
© Proven & Run
Vendredi 21 octobre, une cyberattaque majeure a perturbé les internautes du monde entier. En effet, une attaque par déni de service (DDoS) a paralysé le service DNS Dyn, utilisé notamment par Netflix, Twitter, Spotify ou encore le Playstation Network, bloquant l’accès à ces services. David Emm, chercheur en sécurité chez l’expert Kaspersky Lab, explique comment les attaquants ont exploité les failles de sécurité des objets connectés pour faire trembler une partie de la toile.
Les attaquants ont utilisé le malware Mirai
Le vendredi 21 octobre, les médias du monde entier se sont fait l’écho d’une cyber attaque de grande envergure exploitant des objets connectés domestiques, comme des caméras de vidéosurveillance et des imprimantes. Cette attaque visait un fournisseur de services DNS et, indirectement, des sites web très populaires comme Twitter, Spotify, AirBnB et Reddit. Certains suggèrent que l’attaque a été menée, au moins en partie, par un réseau botnet d’objets connectés (IoT). Les attaquants ont infecté des appareils vulnérables avec le malware Mirai. Ce malware avait déjà été utilisé dans une attaque DDoS (Distributed Denial of Service) contre le chercheur en sécurité Brian Krebs. Cependant, le code source de Mirai ayant été récemment publié en ligne, il est impossible de confirmer avec certitude que nous avons affaire aux mêmes criminels.
Les configurations par défaut : une porte d'entrée pour les attaquants
Il semblerait que la méthode d’infection ait été particulièrement simple et repose en partie sur la complaisance humaine – celle des fabricants qui livrent leurs produits avec des configurations par défaut, et celles des utilisateurs qui ne changent pas ces configurations. Les attaquants utilisent les informations par défaut pour accéder aux services en ligne – y compris les routeurs, caméras IP, enregistreurs DVR, etc. Une fois que le code malicieux a été écrit sur l’appareil, il fait partie du réseau botnet. Comme dans toutes les attaques DDoS, les cybercriminels utilisent les appareils infectés pour submerger de trafic le site de leur victime, l’empêchant de fonctionner normalement. Pour arriver à écrire le code sur un objet connecté, il faut que l’objet dispose de suffisamment d’espace de stockage, ce qui écarte un certain nombre d’appareils (comme les grille-pain ou les machines à café).
Les objets connectés sont des cibles faciles
Ce n’est pas la première fois que des objets connectés sont utilisés pour mener ce type d’attaque. Au cours des dernières années, des vulnérabilités dans des moniteurs pour bébé et des webcams avaient été mises au jour, permettant d’utiliser ces appareils pour d’autres buts que ceux pour lesquels ils ont été conçus. Les objets connectés sont des cibles faciles car beaucoup fonctionnent avec des configurations par défaut que les attaquants peuvent exploiter, il y a rarement des mises à jour du firmware et ils disposent souvent d’une connectivité 24/7.
Les fabricants doivent adopter une approche secure by design
Le meilleur conseil à donner aux gens qui utilisent des appareils connectés chez eux est de changer tous les mots de passe par défaut (en utilisant des mots de passe uniques et complexes). Cela permettra d’éviter qu’ils soient accessibles à distance – ce conseil est valable pour les box internet qui donnent accès au réseau domestique. Déconnecter tous ses appareils pourrait apparaître comme une bonne solution, mais il faut être pragmatiques et une bonne gestion de ses mots de passe suffit déjà à prévenir un grand nombre d’attaques. L’affaire de vendredi doit également rappeler aux fabricants qu’ils ont un rôle à jouer dans la sécurisation de leurs appareils, et ce dès leur conception.
David Emm, chercheur en sécurité chez l’expert Kaspersky Lab.
Hube - 25/10/2016 17h:56
Le paragraphe de début annonce vendredi 21 février L'évènement s'est produit le 21 octobre. petit bug ?
Répondre au commentaire | Signaler un abus