Le botnet Mirai n'a pas seulement fait couler de l'encre, il a également servi à commettre plus de 15 000 cyberattaques selon les 19 chercheurs issus de grandes entreprises.
Le mois d'octobre 2016 a été marqué par l'apparition d'un fléau informatique d'un nouveau genre. Le botnet Mirai a été le responsable de la chute des services du fournisseur de DNS DYN. S'en étaient suivi des ralentissements et l'arrêt de fonctionnement de différents sites et services : AirBnb, Twitter, Paypal, etc. Cette attaque de déni de service (DDoS) faisait alors intervenir des objets connectés, plus précisément 150 000 caméras IP.
Jusqu'à 600 000 objets connectés sous les ordres du Botnet Mirai
Si le mode opératoire avait été rapidement découvert, c'est-à-dire la prise de contrôle de milliers d'appareils et l'envoi de requêtes depuis ces derniers, personne n'avait encore fait la lumière sur tous les aspects du Botnet Mirai et de son utilisation. C'est maintenant chose faite, grâce à l'association Usenix et les 19 chercheurs qui ont publié leur enquête après un travail de longue haleine lors de la conférence Usenix ayant eu lieu le 18 août dernier.
Première information cruciale, le Botnet Mirai a finalement rassemblé 600 000 objets connectés, ordinateurs et autres terminaux. Seconde information importante, plus de 15 000 attaques ont été perpétrées en grande partie à cause de la publication du code source par son créateur.
On apprend également comment s'est déroulée l'attaque de déni de service contre DYN. La chute d'une grande partie des services du fournisseur de DNS est d'abord passée par l'attaque du Playstation Network (PSN), le service de jeu en ligne de Sony pour ses consoles éponymes. C'est à la suite de la chute du PSN que les autres sites ont été fortement impactés. Il faut dire que l'efficacité du Botnet Mirai est effrayante.
Retracer l'historique du vers informatique
Les chercheurs rappellent qu'une des premières victimes identifiées est KrebsOnSecurity, le site spécialisé dans l'actualité de la cybersécurité et la lutte contre les pirates informatiques. Ce dernier avait reçu des requêtes de données atteignant 600 Gigas par seconde. Mais c'est surtout la capacité d'infection du Botnet Mirai qui le rend si efficace.
En effet, les auteurs de l'enquête scientifique estiment que le malware a infecté 65 000 dispositifs IoT en moins de 20 heures après son activation, le premier août 2016. Le pic des 600 000 objets infectés a été atteint en novembre 2016, tandis que les chercheurs situent une moyenne entre 200 000 et 300 000 “slaves” lors des attaques contre KrebsOnSecurity, OVH et DYN.
Néanmoins, les auteurs estiment qu'il y a une rapide baisse d'activité en février 2017, puisque le réseau ne rassemble plus que 100 000 terminaux à cette période.
Le Botnet Mirai a principalement sévi en Amérique du Sud et en Asie. Les autres études ne précisent pas exactement l'ampleur des dégâts. Si au départ l'on parlait de l'infection en Chine et aux États-Unis, plus de 40 % des appareils infectés sont situés dans seulement trois pays : la Colombie, le Vietnam et le Brésil. C'est là que se trouvaient selon les chercheurs les produits les moins bien protégés.
Un exemple pour favoriser le renforcement de la cybersécurité
Encore une fois, la conception des caméras connectées ou de certains appareils de surveillance laisse à désirer. Le problème réside dans la faiblesse des mots de passe codés en dur et répétés à l'envi pour les différents exemplaires d'un même produit. Résultat, l'automatisation de l'infection est grandement accélérée.
Ce problème ne se limite pas aux mauvaises habitudes de certains fabricants méconnus. Des grands noms de cette industrie comme Samsung, Panasonic, Sony ou encore D-Link ont été pointés du doigt pour la faiblesse de la faible sécurité de leurs équipements.
Ce phénomène combiné à la mise en libre service du code du Botnet Mirai par son créateur (donc l'émergence de variantes plus ou moins dangereuses) a permis plus de 15 000 cyberattaques. Les auteurs de l'enquête s'entendent sur le fait que les conséquences pourraient être plus importantes à cause du manque de recul et des données encore incomplètes sur les dégâts causés par le réseau de zombies informatiques.
Le but de ce document est clairement d'ouvrir les yeux des concepteurs des produits et des entreprises les utilisant afin de réduire l'ampleur des DDoS par le biais de l'Internet des Objets. Les chercheurs notent qu'à moyen terme la division entre les objets peu sécurisés déjà installés et les terminaux mieux conçus risque de nuire à tout l'écosystème Internet. Il faudra donc, comme pour Windows XP, déconnecter ces éléments à risque afin de favoriser la confiance dans l'Internet des Objets.
- Partager l'article :