Selon ZDNet.com, un hacker surnommé Subby a pris le contrôle de 29 botnets IoT. Une opération assez simple d'après l'intéressé.
Les hackers font peur. Surtout ceux qui gèrent des botnets IoT. Ils sont en capacité d'organiser des attaques de déni de service pour neutraliser un site Web dont dépend toute une économie. Pour autant, ces cyberpirates seraient pour la plupart des faussaires patentés selon Subby. Lui-même hacker, il a pris le contrôle de 29 botnets IoT avant d'en discuter avec le maintenant célèbre Ankit Anubhav, chercheur en cybersécurité chez NewSky Security.
Des botnets IoT peu… sécurisés
Encore une fois, Anubhav a partagé ce témoignage avec ZDNET.com. Subby déclare avoir employé une bibliothèque de noms d'utilisateur et de mots de passe communs pour se faufiler au sein des infrastructures régissant les 29 botnets IoT. Selon lui, certains appliquaient des identifiants pauvres comme root/root, admin/admin, ou même oof/oof.
Serait-ce un affront lancé au village des entreprises attaquées ? Non. Pour Subby, les opérateurs des IoT suivent en grande majorité des tutoriels sur YouTube. En faisant cela, il ne change pas le mot de passe par défaut et quand ils le font, ils utilisent des identifiants faibles sensibles aux attaques par force brute. En cas de dysfonctionnement, ils se plaignent aux auteurs des vidéos diffusées sur la plateforme.
Subby a tout simplement déclenché un script pour tester un à un les mots de passe de ces botnets IoT. Anubhav avait également interviewé l'orchestrateur du botnet IoT Kepler. Celui-ci avait suivi un tutoriel, puis avait pioché des astuces sur le site ExploitDB.
YouTube, victime de son succès
Ainsi, les supposés hackers ne seraient que des “trolls” sans compétences techniques véritables. Ils ne cachent même pas l'adresse IP du serveur C&C utilisé pour leurs méfaits. Heureusement, Subby déclare que les 29 botnets IoT n'étaient pas si imposants que cela. En enlevant les doublons, le hacker a compté 40 000, puis 25 000 objets connectés infectés. Nous sommes bien loin des millions de périphériques zombifiés par le botnet mirai.
Cependant, cet amateurisme n'en reste pas moins dangereux. Les explications des pirates Youtubeurs sont assez bonnes pour que les attaques DDoS fonctionnent.
Autrement dit, il suffit aux possesseurs d'objets connectés et aux fabricants de changer les identifiants par défaut. D'un autre côté, YouTube aurait tout intérêt à bannir ce type de contenu afin d'éviter les risques inutiles. Il y a une différence entre expliquer un délit et montrer la manière de le reproduire.
- Partager l'article :