Le logiciel malveillant Mirai exploite les failles de sécurité des appareils IdO et dispose du potentiel d'exploiter la puissance collective de millions de ces appareils au sein de botnets, afin de lancer des attaques.
Cet article s'articule autour des points suivants :
Contenu associé
L'univers du botnet DDoS
Déni de service
DDoS : mode d'emploi
Internet des objets (IdO)
Routage vers un trou noir
Abonnez-vous à theNET, le récapitulatif mensuel de Cloudflare des idées les plus populaires concernant Internet !
Copier le lien de l'article
Mirai est un logiciel malveillant qui infecte les appareils intelligents qui fonctionnent grâce à des processeurs ARC, en les transformant en un réseau de bots ou « zombies » contrôlés à distance. Ce réseau de bots, appelé botnet, est souvent utilisé pour lancer des attaques DDoS.
Un logiciel malveillant (ou malware, abréviation de « malicious software ») est un terme générique qui recouvre les vers informatiques, les virus, les chevaux de Troie, les rootkits et les logiciels espions (spyware).
En septembre 2016, les auteurs du logiciel malveillant Mirai ont lancé une attaque DDoS sur le site web d'un expert en sécurité bien connu. Une semaine plus tard, ils mirent en ligne le code source à disposition partout dans le monde, peut-être dans une tentative de dissimuler leur trace. Ce code a été rapidement reproduit par d'autres cybercriminels et serait à l'origine de l'attaque massive qui a rendu indisponible Dyn, le fournisseur de services d'enregistrement de domaines, en octobre 2016.
Mirai recherche sur Internet des appareils IdO fonctionnant à partir d'un processeur ARC. Ce processeur exécute une version allégée du système d'exploitation Linux. Si la combinaison nom d'utilisateur et mot de passe par défaut n'est pas modifiée, Mirai peut se connecter à l'appareil et l'infecter.
IdO est l'acronyme d'Internet des objets (en anglais IoT, Internet of Things), une expression sophistiquée désignant les appareils intelligents capables de se connecter à Internet. Ces appareils se révèlent très variés : babyphones, véhicules, routeurs réseau, machines agricoles, appareils médicaux, dispositifs de surveillance de l'environnement, appareils électroménagers, enregistreurs vidéo numériques, caméras de surveillance, écouteurs ou détecteurs de fumée.
Le botnet Mirai a utilisé cent mille appareils IdO détournés pour rendre indisponible l'accès aux services de Dyn.
Paras Jha, 21 ans, et Josiah White, 21 ans, ont cofondé Protraf Solutions, une entreprise proposant des services d'atténuation des attaques DDoS. Il s'agissait d'un cas classique de racket : leur entreprise offrait des services d'atténuation des attaques DDoS aux entreprises mêmes auxquelles s'attaquait leur logiciel malveillant.
Mirai est en train de muter.
Bien que ses créateurs originaux aient été arrêtés, leur code source subsiste. Il a donné naissance à des variantes telles que Okiru, Satori, Masuta et PureMasuta. PureMasuta, par exemple, est capable d'utiliser à son profit le bug HNAP dans le protocole D-Link. La souche OMG, d'autre part, transforme les appareils IdO en un réseau de proxies qui permettent aux cybercriminels de rester anonymes.
Il y a également le puissant botnet récemment découvert, surnommé IoTrooper ou Reaper, qui est capable de compromettre les dispositifs IdO à un rythme beaucoup plus rapide que Mirai. Reaper est capable de cibler un plus grand nombre de fabricants d'appareils et a un contrôle beaucoup plus important sur ses bots.
Si l'on compare un botnet à une pièce de théâtre, le serveur C & C (Command and Control Server, également appelé C2) est le metteur en scène. Les acteurs de cette pièce sont les différents bots qui ont été compromis après avoir été infectés par un logiciel malveillant et qui font partie du botnet.
Lorsque le logiciel malveillant infecte un appareil, le bot envoie des signaux temporisés pour informer le C&C qu'il existe désormais. Cette session de connexion est maintenue ouverte jusqu'à ce que le C&C soit prêt à commander au bot de passer à l'action : il peut s'agir de l'envoi de spam, de craquage de mots de passe, d'attaques DDoS, etc.
Dans un botnet centralisé, le C&C est capable de transmettre les commandes du botmaster directement aux bots. Cependant, le C&C est également un point de défaillance unique : s'il est supprimé, le botnet devient inefficace.
Le contrôle du botnet peut être organisé en plusieurs niveaux, avec plusieurs C&C. Des groupes de serveurs dédiés peuvent être désignés dans un but spécifique, par exemple, pour organiser les bots en sous-groupes, pour fournir du contenu désigné, etc. Cela rend le botnet plus difficile à neutraliser.
Les botnets pair-à-pair (P2P) constituent la prochaine génération de botnets. Plutôt que de communiquer avec un serveur centralisé, les robots P2P agissent à la fois comme un serveur de commandes et comme un client qui reçoit des commandes. Cela évite le problème de point de défaillance unique inhérent aux botnets centralisés. Étant donné que les botnets P2P fonctionnent sans C&C, ils sont plus difficiles à arrêter. Trojan.Peacomm et Stormnet sont des exemples de logiciels malveillants qui commandent des botnets P2P.
En général, l'hameçonnage (ou phishing) par courrier électronique est un moyen manifestement efficace d'infecter l'ordinateur. La victime est incitée à cliquer sur un lien pointant vers un site web malveillant ou à télécharger une pièce jointe infectée. Souvent, le code malveillant est écrit de telle manière que les logiciels antivirus courants ne sont pas en mesure de le détecter.
Dans le cas de Mirai, l'utilisateur a simplement négligé de changer le nom d'utilisateur et le mot de passe par défaut sur un appareil nouvellement installé.
Pay-per-click (PPC) ou paiement par clic, également connu sous le nom de coût par clic (CPC), est une forme de publicité en ligne dans laquelle une entreprise paie un site web pour héberger sa publicité. La rémunération dépend du nombre de visiteurs de ce site qui ont cliqué sur cette annonce.
Lorsque les données CPC sont manipulées frauduleusement, on parle de fraude aux clics. Cela peut être fait en faisant cliquer manuellement des internautes sur l'annonce, en utilisant un logiciel automatisé ou à l'aide de bots. Grâce à ce processus, des profits frauduleux peuvent être générés pour le site Web au détriment de l'entreprise qui a placé ces annonces.
Les auteurs originaux de Mirai ont été reconnus coupables d'avoir loué leur botnet pour des attaques DDoS et des fraudes aux clics.
Les botnets peuvent avoir un impact sur pratiquement tous les aspects de la vie quotidienne, que les personnes utilisent ou non des appareils IdO, ou même Internet. Les botnets peuvent :
Il existe de nombreuses raisons qui expliquent pourquoi il est si difficile d'arrêter la prolifération des réseaux de botnets :
Il n'y a aucun coût ni interruption de service, ils n'ont donc aucune motivation particulière à sécuriser l'appareil intelligent.
Les systèmes infectés peuvent être nettoyés en étant redémarrés, mais comme l'analyse des bots potentiels se produit à un rythme constant, il est possible que les appareils soient réinfectés quelques minutes après le redémarrage. Les utilisateurs doivent en fait changer le mot de passe par défaut immédiatement après le redémarrage ou empêcher l'appareil d'accéder à Internet tant qu'ils n'ont pas réinitialisé le firmware et modifié le mot de passe hors ligne. La plupart des propriétaires d'appareils n'ont ni les compétences, ni la motivation pour le faire.
L'augmentation du trafic sur leur réseau à partir de l'appareil infecté est souvent minime par rapport au trafic généré par le streaming multimédia, il ne sont donc pas très incités à traiter le problème.
Les fabricants d'appareils n'ont aucun intérêt particulier à investir dans la sécurité des appareils bon marché. Les tenir responsables des attaques pourrait être un moyen de forcer le changement, mais des mesures coercitives pourraient être inefficaces dans les régions où l'application de la loi est laxiste.
Ignorer la sécurité des appareils est très risqué : Mirai, par exemple, est capable de désactiver les logiciels antivirus, ce qui rend sa détection difficile.
Plus d'un milliard et demi d'appareils équipés d'un processeur ARC inonde le marché chaque année. Ce simple nombre vertigineux d'appareils susceptibles d'être enrôlés dans des réseaux de botnets puissants signifie que l'impact possible des variantes de ces logiciels malveillants a augmenté.
Les kits de botnet prêts à l'emploi ne nécessitent pas de connaissances techniques particulières. Pour un coût compris entre 14,99 $ et 19,99 $, un botnet peut être loué pour un mois entier. Pour en savoir plus, consulter Qu'est-ce qu'un Booter/Stresser DDoS ?.
Il n'y a pas d'entité mondiale ni de consensus pour définir et appliquer les normes de sécurité IdO.
Bien que des correctifs de sécurité soient disponibles pour certains appareils, les utilisateurs peuvent ne pas avoir les compétences ou la motivation nécessaires pour les mettre à jour. De nombreux fabricants d'appareils bas de gamme n'offrent aucun type de maintenance. Pour ceux qui procèdent à une mise à jour, celle-ci n'est souvent pas à long terme. Il n'y a également aucun moyen de déclasser les appareils une fois que les mises à jour ne sont plus disponibles, ce qui les rend indéfiniment non sécurisés.
La difficulté de traquer et de poursuivre les créateurs de botnets rend difficile d'endiguer la prolifération de ces botnets. Il n'existe pas d'équivalent mondial d'Interpol (Organisation internationale de police criminelle) pour la cybercriminalité, avec les compétences d'enquête correspondantes. Les forces de l'ordre du monde entier ne sont généralement pas en mesure de suivre les cybercriminels sur le terrain des dernières technologies.
De nombreux botnets utilisent désormais une technique DNS appelée Fast Flux afin de masquer les domaines qu'ils utilisent pour télécharger des logiciels malveillants ou pour héberger des sites de hameçonnage. Cela les rend extrêmement difficiles à suivre et à éliminer.
C'est possible. De temps à autre, les appareils infectés peuvent fonctionner plus lentement, mais dans l'ensemble ils fonctionnent comme prévu. Les propriétaires ne sont pas forcément motivés pour trouver des moyens d'éliminer l'infection.
Une loi sur le bureau du gouverneur de Californie, Jerry Brown, exige que les appareils IdO disposent de fonctionnalités de sécurité raisonnables « adaptées à la nature et à la fonction de l'appareil ». Cette loi doit entrer en vigueur en janvier 2020.
Pourquoi cette législation est-elle si importante ? Les sociétés ne peuvent pas négliger le marché juteux de la Californie. Pour pouvoir vendre en Californie, elles devront améliorer la sécurité de leurs appareils. Cela profitera à tous les États.