Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #21
    Responsable Systèmes


    Homme Profil pro
    Technicien maintenance
    Inscrit en
    août 2011
    Messages
    11 879
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Technicien maintenance
    Secteur : High Tech - Matériel informatique

    Informations forums :
    Inscription : août 2011
    Messages : 11 879
    Points : 26 661
    Points
    26 661
    Par défaut
    Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.
    Ma page sur developpez.com : http://chrtophe.developpez.com/ (avec mes articles)
    Mon article sur la création d'un système : http://chrtophe.developpez.com/tutoriels/minisysteme/
    Mon article sur le P2V : http://chrtophe.developpez.com/tutoriels/p2v/
    Consultez nos FAQ : Windows, Linux, Virtualisation

  2. #22
    Membre habitué Avatar de bclinton
    Profil pro
    Inscrit en
    novembre 2008
    Messages
    47
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2008
    Messages : 47
    Points : 146
    Points
    146
    Par défaut
    Les produits ne devraient pas pouvoir être mis en service sans modification préalable par l'utilisateur du mot de passe par défaut.

    Cette faille est très connue parce que très répandue. On sait qu'un grand nombre d'utilisateurs laisse le mot de passe défini en usine par le constructeur.

  3. #23
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Analyste
    Inscrit en
    juillet 2013
    Messages
    2 294
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Analyste
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 294
    Points : 74 807
    Points
    74 807
    Billets dans le blog
    2
    Par défaut USA : l'attaque DDoS contre Dyn ne serait pas l’œuvre d’un État
    L’attaque DDoS contre Dyn ne serait pas l’œuvre d'un État
    d’après les premières conclusions des États-Unis

    Le weekend dernier a commencé par une attaque DDoS de grande ampleur lancée contre les services de Dyn, un fournisseur de service DNS. Cette attaque a paralysé une bonne partie du réseau internet des États-Unis avec des répercussions enregistrées en Europe. Considérée comme l’une des plus grandes attaques jamais enregistrées, l’attaque DDoS contre Dyn est venue de plusieurs millions d’adresses IP et s’est appuyée sur des centaines de milliers de dispositifs connectés.

    L’envergure de cette attaque a suscité des interrogations chez les autorités américaines qui ont décidé de mener des investigations sur son origine, pensant surtout à une manœuvre d’un pays comme la Russie ou la Chine.

    La Russie, parce que le pays a été récemment accusé par les USA d’être l’auteur de plusieurs attaques contre les Américains. Au début du mois d’octobre, l’administration Obama a en effet formellement accusé le gouvernement russe d’être impliqué dans le vol de milliers d’emails. Le directeur US du renseignement national et le chef du département de la sécurité intérieure ont également affirmé être « convaincus » de l’implication du gouvernement russe dans des cyberattaques liées à la campagne présidentielle américaine constatées au cours des derniers mois. Ces attaques ciblaient le Democratic National Committee (DNC), la plus haute instance du Parti démocrate, ainsi que les services chargés des listes électorales dans plusieurs États, dont l’Arizona et l’Illinois.

    Mais, il y avait également des raisons de penser que la Chine soit impliquée à cause des antécédents du pays, mais surtout après que le fournisseur chinois XiongMai a avoué que ses appareils ont été détournés pour lancer l’attaque. XiongMai a décidé de rappeler ses produits vulnérables, alors que les médias et certains chercheurs en sécurité accusaient l’entreprise d’être la principale source des dispositifs non sécurisés qui ont été utilisés dans l’attaque. Il faut également noter qu’avec l’aveu du fabricant chinois de composants électroniques, c’était également l’occasion pour certains d’indexer implicitement la Chine, ce qui aurait poussé le ministère chinois de la Justice à se saisir de l’affaire, en menaçant de poursuivre tous les accusateurs occidentaux en justice.

    Pendant ce temps, le groupe de hackers baptisé New World Hackers a revendiqué l’attaque DDoS contre Dyn, en expliquant qu’il s’agissait d’un « test de puissance » pour préparer une attaque contre la Russie, accusée d’être impliquée dans les cyberattaques contre les États-Unis. Le groupe, qui serait composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde, a déjà par le passé revendiqué des attaques similaires contre l’État islamique de l’Irak et de la Syrie.

    Si New World Hackers est vraiment à l’origine de cette attaque, on peut se demander s’il est parrainé par un État particulier. Mais vu son intention d’attaquer la Russie, on pourrait affirmer qu’il n’est pas parrainé par l’État russe. Il semble d’ailleurs que l’attaque ne serait liée à aucun État, d’après James Clapper, le coordinateur du renseignement américain.

    Au cours d'une conférence du centre de recherche Council on Foreign Relations (CFR), celui qui chapeaute toutes les agences américaines du renseignement a été interrogé par le modérateur pour savoir si l’attaque a été lancée par un acteur non étatique. « L’enquête est toujours en cours. Il y a beaucoup de données à amasser », a-t-il répondu dans un premier temps. Il finit toutefois par lâcher le morceau quand la question lui a été posée pour la deuxième fois et avoue que les premières conclusions tendent à faire croire qu’il ne s’agit pas d’un État. « Oui », a-t-il répondu lorsque la question lui a été posée à nouveau. « Mais je ne voudrais pas conclure de façon définitive là-dessus. C’est une première estimation ». Et de poursuivre : « Nous avons ce contraste entre les cyberacteurs les plus sophistiqués, du niveau des États, qui sont clairement la Chine et la Russie, mais qui ont peut-être des intentions plus bénignes. Et puis vous avez d’autres pays qui ont des intentions plus néfastes. Et ensuite arrivent les acteurs non-étatiques qui sont encore plus malsains ».

    Sources : L’Express, CBS News

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  4. #24
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 854
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 854
    Points : 125 960
    Points
    125 960
    Par défaut Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation HTTP
    Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation HTTP,
    première piste de défense active

    Il y a quelques semaines, le code source de Mirai a été publié. Depuis, les attaques s’appuyant sur le logiciel malveillant, capable de créer des réseaux de zombies d’objets connectés pour lancer des attaques DDoS, se sont multipliées. Certaines ont été couronnée de succès, comme l’attaque qui a frappé Dyn, un fournisseur de service DNS, qui a entraîné la perturbation de l’accès à de nombreux sites internet populaires en termes de trafic pendant des heures (PayPal, Twitter, GitHub, Netflix, Spotify, pour ne citer que ceux-là).

    Le weekend dernier, Scott Tenaglia, le directeur de la recherche chez Invincea, a expliqué que le laboratoire s’est lancé dans l’étude de ce logiciel malveillant pour en exposer les failles : « les attaquants exploitent souvent de failles dans les logiciels pour installer leurs outils sur les systèmes. Lorsque ces outils sont sur des dispositifs IdO, les choses deviennent plus compliquées parce que les attaquants ont accès à plus de dispositifs que nous. Alors pourquoi ne pas utiliser leur propre stratégie contre eux ? ». « C’est la première d’une série de publications qui va exposer les vulnérabilités de Mirai et montrer comment s’en servir pour stopper les attaques », a-t-il promis.

    Pour commencer, il estime qu’il est important de comprendre comment Mirai initialise une attaque afin de comprendre les implications de l'exploitation des vulnérabilités dans le code d'attaque. Ci-dessous le code de la fonction attack_start() telle qu’écrite dans bot/attack.c :

    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    26
    27
    28
    29
    30
    31
    32
    33
    34
    35
    36
    37
    void attack_start(int duration, ATTACK_VECTOR vector, uint8_t targs_len, struct attack_target *targs, uint8_t opts_len, struct attack_option *opts)
      {
          int pid1, pid2;
     
          pid1 = fork();
          if (pid1 == -1 || pid1 > 0)
              return;
     
          pid2 = fork();
          if (pid2 == -1)
             exit(0);
         else if (pid2 == 0)
         {
             sleep(duration);
             kill(getppid(), 9);
             exit(0);
         }
         else
         {
             int i;
     
             for (i = 0; i < methods_len; i++)
             {
                 if (methods[i]->vector == vector)
                 {
     #ifdef DEBUG
                     printf("[attack] Starting attack...\n");
     #endif
                     methods[i]->func(targs_len, targs, opts_len, opts);
                     break;
                 }
             }
     
             //just bail if the function returns
             exit(0);
         }
     }

    Les lignes 5 à 7 font un fork d’un processus enfant qui sera responsable de l'attaque. Les lignes 9 à 16 font un fork d’un autre processus enfant qui va arrêter l'attaque après la durée spécifiée, simplement en la mettant en sommeil sur cette durée puis en terminant le processus parent lorsqu’il tente de s’exécuter à nouveau. Enfin, le processus d'attaque appelle le gestionnaire de fonction correcte pour l'attaque spécifiée (lignes 22 à 32), puis effectue un exit (ligne 35). Cela signifie que si le processus d'attaque se bloque, alors l'attaque s'arrêtera mais le bot lui-même restera fonctionnel.

    Par la suite le chercheur indique avoir trouvé une vulnérabilité stack buffer overflow dans le code de l’attaque par inondation HTTP. Lorsque cette vulnérabilité est exploitée, elle va provoquer un « signal de violation de segmentation » (SIGSEGV, un signal envoyé à un processus lorsque celui-ci fait référence à une zone de mémoire invalide, par exemple parce qu'elle ne lui appartient pas. Une interruption est alors déclenchée et interrompt le programme). Le SIGSEGV va donc interrompre le processus et par conséquent arrêter l’attaque du bot. « La vulnérabilité du code est tributaire de la façon dont Mirai traite l'emplacement en-tête HTTP qui peut faire partie de la réponse HTTP envoyée depuis une requête d’inondation HTTP », explique-t-il. Elle réside dans la fonction attack_app_http () du bot / attack_app.c, et se présente comme suit :

    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    1
    2
    3
    4
    5
    6
    7
    8
    9
    10
    11
    12
    13
    14
    15
    16
    17
    18
    19
    20
    21
    22
    23
    24
    25
    int offset = util_stristr(generic_memes, ret, table_retrieve_val(TABLE_ATK_LOCATION_HDR, NULL));
      if (generic_memes[offset] == ' ')
          offset++;
     
      int nl_off = util_memsearch(generic_memes + offset, ret - offset, "\r\n", 2);
      if (nl_off != -1)
      {
          char *loc_ptr = &(generic_memes[offset]);
     
         if (nl_off >= 2)
             nl_off -= 2;
         generic_memes[offset + nl_off] = 0;
     
         //increment it one so that it is length of the string excluding null char instead of 0-based offset
         nl_off++;
     
         if (util_memsearch(loc_ptr, nl_off, "http", 4) == 4)
         {
             //this is an absolute url, domain name change maybe?
             ii = 7;
             //http(s)
             if (loc_ptr[4] == 's')
                 ii++;
     
            memmove(loc_ptr, loc_ptr + ii, nl_off - ii);

    Pour commencer, supposons que l’en-tête de l’emplacement est quelque chose de simple comme http://google.com\r\n.

    Les lignes 1 à 3 du code ci-dessus cherchent l’emplacement de l'en-tête de l'emplacement et mette l’indice du début d l’URL (notamment le caractère “h”) dans la variable offset. Ensuite, les lignes 5 à 15 s’occupent de mettre l’index “\ r \ n” qui termine l’URL dans la variable nl_off. Tenagila précise qu’il est important de noter qu’il s’agit d’un index de base zéro (une façon de numérotage qui voudrait que le premier élément d’une séquence soit associé à “0” au lieu de “1”. L’élément initial dans ce cas est donc appelé “élément zéro” au lieu de “premier élément”) de l’URL et PAS du début de l’emplacement de l’en-tête ou du buffer generic_memes.

    Dans la ligne 25, l’appel de memmove tente d’enlever le "http: //" de l'URL en déplaçant simplement ce qui vient après vers la gauche de 7 caractères. C’est la raison pour laquelle la variable ii est fixée à 7 sur la ligne 20. Dans le cas que nous étudions, nl_off vaut 18, ce qui signifie que le paramètre len de memmove est 11 (nl_off - ii, soit 18 - 7).

    Code C : Sélectionner tout - Visualiser dans une fenêtre à part
    memmove(loc_ptr, loc_ptr + 7, 11);

    Ce qui contribue à déplacer “google.com” (une chaîne de 10 caractères plus un caractère de fin de chaîne) vers la gauche de 7 caractères. Cependant, si l’entête de location était http\r\n. Alors nl_off vaut 5, ce qui signifie que le paramètre lenvaut -2 (nl_off - ii, soit 5 - 7). Étant donné que le paramètre len est traité comme un entier non signé (à savoir de type size_t), alors -2 sera traité comme un entier positif très large, 0xFFFFFFFE. Par conséquent, memmove va inonder le buffer generic_memes et corrompre une bonne partie de la mémoire.

    Pour vérifier leur supposition, les chercheurs se sont servi de trois machines virtuelles où Mirai a été déployé et le programme a effectivement reçu un SIGSEGV comme le montre le montre la capture d’écran ci-dessous.


    « Ce simple “exploit” est un exemple de défense active contre un botnet IdO pouvant être utilisé par tout service d’atténuation d’attaque DDoS pour se défendre contre une attaque Mirai par inondation HTTP en temps réel », a conclu Tenaglia. Il prévient toutefois que « bien qu’il ne peut pas être utilisé pour enlever le bot d’un dispositif IdO, il peut être utilisé pour stopper l’attaque en provenance de ce dispositif ».

    Il regrette néanmoins que cet exploit ne soit spécifique qu’aux attaques par inondation HTTP et n’aurait donc pas pu servir à défendre Dyn. Quoiqu’il en soit, d’autres publications dans ce sens sont attendues.

    Mirai est l’une des plus dangereuses familles de botnets avec plus de 791 000 zombies à sa disposition et uniquement sur le port 23 d’après des statistiques de Qihoo 360.


    Source : blog Invincea, Qihoo 360
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  5. #25
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 057
    Points : 3 825
    Points
    3 825
    Par défaut
    De mon point de vue, si je mets la sécurité cela les rend invulnérable.

    Bon, il va falloir isoler et nettoyer relativement vite. Avant de blinder.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  6. #26
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 855
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 855
    Points : 7 857
    Points
    7 857
    Par défaut
    donc en clair on a un chercheur en sécurité qui a trouvé -ô exploit- un overflow dans le code moisi d'un botnet, autant dire qu'il bosse dur
    et avec cette vuln on peut désormais stopper le botnet... ou en prendre le contrôle pour avoir un botnet encore plus grand, tout dépend qui arrive en premier sur la machine avec son sploit
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  7. #27
    Membre confirmé
    Profil pro
    Inscrit en
    septembre 2009
    Messages
    181
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : septembre 2009
    Messages : 181
    Points : 463
    Points
    463
    Par défaut
    Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...

  8. #28
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 057
    Points : 3 825
    Points
    3 825
    Par défaut
    Citation Envoyé par chrtophe Voir le message
    Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.
    Une appli sur smartphone en 'boucle locale' ?
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  9. #29
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    novembre 2010
    Messages
    2 855
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : novembre 2010
    Messages : 2 855
    Points : 7 857
    Points
    7 857
    Par défaut
    Citation Envoyé par marsupial Voir le message
    Une appli sur smartphone en 'boucle locale' ?
    la boucle locale c'est ce qu'on appelle en anglais le "loopback", et par définition ça ne sort pas de la carte réseau, peu de chances d'atteindre le micro-onde donc

    je pense que chrtophe devait plus probablement faire référence au fait que le quidam n'y connait rien à la sécurité, donc même si on lui donne une interface c'est pas ce qui lui donnera les bons réflexes à avoir ou changera ses habitudes
    Avant donc que d'écrire, apprenez à penser.
    Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure.
    Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément.
                                                        - Nicolas Boileau, L'Art poétique

  10. #30
    Membre à l'essai
    Homme Profil pro
    Développeur COBOL
    Inscrit en
    mars 2015
    Messages
    11
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 28
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur COBOL
    Secteur : Finance

    Informations forums :
    Inscription : mars 2015
    Messages : 11
    Points : 23
    Points
    23
    Par défaut
    C'est vraiment trop génial voir le code source d'un bot. Comme quoi ces des programmeurs comme nous, ils se mettent des commentaires, écrivent du code selon leur style, tout comme nous

  11. #31
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 707
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 707
    Points : 4 380
    Points
    4 380
    Par défaut
    Citation Envoyé par codec_abc Voir le message
    Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...
    Cette faille est coté client, pour la corriger, il faut mettre à jour les ~800k machines infectées. C'est pas simple, surtout si le truc n'a pas été pensé pour permettre les mises à jour.
    Il n'y a par contre aucun doute que le bug est corrigé, pour les prochaines victimes.

  12. #32
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 057
    Points : 3 825
    Points
    3 825
    Par défaut
    Bouble locale radio évidemment, pas le loopback

    Parce-que le bluetooth bonjour la passoire
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  13. #33
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Analyste
    Inscrit en
    juillet 2013
    Messages
    2 294
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 29
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Analyste
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 294
    Points : 74 807
    Points
    74 807
    Billets dans le blog
    2
    Par défaut Linux/IRCTelnet, un nouveau malware pour succéder à Mirai
    Linux/IRCTelnet, un nouveau malware pour succéder à Mirai
    qui pourrait avoir infecté environ 3500 appareils connectés en cinq jours

    La récente vague d’attaques DDoS lancées contre les services du fournisseur DNS Dyn a montré que les objets connectés peuvent être utilisés pour mettre en mal le réseau internet mondial. Avec la prolifération de ces dispositifs connectés, c’est une armée potentielle de bots qui se déploie sur la toile. Et depuis que le code source de Mirai a été rendu public, il semble que les pirates ont tout ce qu’il faut pour lancer des attaques DDoS de grande ampleur.

    Sur le site Malware Must Die, des chercheurs en sécurité ont publié un rapport sur un nouveau malware capable de créer des botnets d’objets connectés en s’attaquant aux périphériques IoT (routeurs, systèmes d'éclairage intelligents, caméras de surveillance, etc.) qui utilisent des informations d'identification par défaut ou codées en dur. Pour être plus sophistiqué, ce nouveau malware exploite les codes source de différents autres botnets IoT.

    Baptisé Linux/IRCTelnet, le nouveau malware est d’abord basé sur le code source du botnet Aidra. Aidra est l’un des premiers botnets d’objets connectés connus qui, dans le passé, a infecté des périphériques connectés à Internet, y compris des systèmes embarqués, pour effectuer des attaques DDoS. Linux/IRCTelnet utilise également la fonction de scanner Telnet d'un autre bot d’objets connectés connu sous le nom de Bashlight. Et pour détourner les appareils connectés à internet, il utilise les combinaisons de mots de passe et nom utilisateur fournies dans le code source de Mirai, le malware qui a été utilisé dans l’attaque contre Dyn.

    « Le malware (le client bot) est conçu pour viser le périphérique IoT via le protocole Telnet », indiquent les chercheurs. Ils affirment également que le botnet utilise différents mécanismes d’attaques comme les inondations UDP (User Datagram Protocol) qui consistent à envoyer un grand nombre de paquets UDP depuis des adresses source usurpées à des ports aléatoires sur un hôte ciblé. Il peut employer bien d’autres méthodes d'attaque, à la fois à travers les protocoles IPv4 et IPv6.

    D’après les chercheurs, il pourrait avoir infecté 3500 appareils connectés en seulement 5 jours. Il faut toutefois noter que comme la plupart des bots IoT, Linux/IRCTelnet n'est pas persistant. En d’autres termes, un simple redémarrage pourrait permettre d’effacer le malware sur les appareils infectés. Mais, c’est une solution éphémère puisqu’ils pourront être infectés à nouveau. En effet, une fois qu'un périphérique est infecté, son adresse IP est stockée afin que l’attaquant puisse le réinfecter s'il perd le contact avec le canal de commande et de contrôle. Il faudrait donc prendre des mesures plus efficaces qu’un simple redémarrage, en commençant par exemple par un changement des identifiants de connexion.

    Linux/IRCTelnet pourrait être le début d’une nouvelle génération de malwares qui pourraient transformer l’internet des objets en internet des menaces, surtout avec la prolifération des appareils connectés à internet qui par défaut sont sans défense contre ces menaces.

    Source : Malware Must Die

    Et vous ?

    Qu’en pensez-vous ?

    Voir aussi :

    Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation http, première piste de défense active
    Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut
    Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  14. #34
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 707
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 707
    Points : 4 380
    Points
    4 380
    Par défaut
    C'est plutôt cool ces attaques quand même.

    Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
    Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

    Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.

  15. #35
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 057
    Points : 3 825
    Points
    3 825
    Par défaut
    Pour quand le protocole de sécurité sur internet ? Parce-que https ne suffit visiblement pas quand bien même les sites commerciaux se croient protégés avec
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  16. #36
    Membre à l'essai
    Homme Profil pro
    Étudiant
    Inscrit en
    avril 2016
    Messages
    7
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loiret (Centre)

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : avril 2016
    Messages : 7
    Points : 12
    Points
    12
    Par défaut
    Citation Envoyé par Iradrille Voir le message
    C'est plutôt cool ces attaques quand même.

    Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
    Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

    Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention.
    C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent )
    Dommage que les médias grand-public n'en parlent pas vraiment...

  17. #37
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    mars 2013
    Messages
    4 854
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : mars 2013
    Messages : 4 854
    Points : 125 960
    Points
    125 960
    Par défaut Les opérateurs de Mirai ont presque fait plier les services internet d'un pays
    Les opérateurs de Mirai ont presque fait plier les services internet d'un pays,
    qui disposait d'un point unique de défaillance à l'accès internet

    Après la publication du code source de Mirai, plusieurs membres de la communauté des experts en sécurité se sont inquiétés de voir une augmentation de l’utilisation de ce logiciel malveillant capable de créer un réseau de zombies d’objets connectés pour lancer des attaques DDoS. Peu de temps après, une attaque a été lancée contre Dyn, un fournisseur de service DNS, qui a entraîné la perturbation de l’accès à de nombreux sites internet populaires en termes de trafic pendant des heures (PayPal, Twitter, GitHub, Netflix, Spotify, pour ne citer que ceux-là).

    Cette fois-ci, c’est un autre botnet Mirai, Mirai Botnet 14, qui a été utilisé dans une attaque lancée contre le Libéria, un petit pays situé en Afrique de l’Ouest. Kevin Beaumont, un chercheur en sécurité, explique « qu’au courant de la semaine dernière, nous avons assisté à des attaques de courte durée sur les infrastructures contre la nation libérienne. Le Libéria dispose d’un câble Internet, installé en 2011, qui fournit un point unique de défaillance à l'accès à Internet. De ce que nous avons pu observer, les sites hébergés dans le pays ont été mis hors ligne pendant les attaques - en outre, une source dans le pays travaillant pour une Télécom a confirmé à un journaliste qu'ils ont vu la connectivité internet devenir intermittente à des moments qui coïncident avec l'attaque. Ces attaques sont extrêmement inquiétantes car elles suggèrent qu’un opérateur de Mirai, disposant de capacité suffisante, peut avoir un impact sérieux sur les systèmes à l’échelle d’un État ».

    De plus, il estime qu’étant donné le volume du trafic, il est probable que ce soit les personnes derrière l’attaque contre Dyn qui ont également lancé cette attaque contre le Libéria.


    Les attaques étaient reportées au même moment par le compte Twitter @MiraiAttacks qui a été ouvert par MalwareTech.com, un spécialiste en sécurité qui surveille également les activités de Mirai. Le botnet n’a pas manqué de s’attaquer à ses propres infrastructures comme il l’a signalé sur le même compte Twitter ainsi qu’une entreprise tierce qui a noté l’attaque. Beaumont explique que « tandis que je faisais des tweets en live sur ces problèmes générés par Mirai, voici le message qui a été envoyé par le botnet » :


    À cause de ce message subtil qui lui a été envoyé, Kevin a baptisé Botnet 14 « Shadow Kill ».

    Avec une guerre civile qui a durée plus d’une décennie, le Libéria a vu ses infrastructures de télécommunication ravagées et, à ce moment-là, seule une très petite portion des citoyens avait accès à Internet via une communication par satellite.

    Toutefois, certains progrès ont été réalisés plus tard en 2011, lorsque le câble de fibre optique sous-marin ACE (Africa Coast to Europe) de 17 000 km a été déployé à des profondeurs avoisinant les 6000 mètres sous le niveau de la mer de la France au Cap, via la côte ouest de l'Afrique. Pour rappel, il s'agit un projet au long cours, mené par un consortium international piloté par Orange, qui y a impliqué ses filiales africaines.

    En décembre 2012, le premier tronçon, d’une longueur de 12000 km, desservait déjà 18 pays : la France, le Portugal, les Îles Canaries, la Mauritanie, le Sénégal, la Gambie, la Guinée, la Sierra Leone, le Liberia, la Côte d’Ivoire, le Bénin, le Ghana, le Nigéria, la Guinée Equatoriale, le Gabon et Sao Tomé & Principe. Le Mali et le Niger, deux pays sans façade maritime, ont été connectés grâce à un prolongement terrestre.

    Le second tronçon, d’une longueur de 5000 km, relie désormais l’île de Sao Tomé et Principe, dans le golfe de Guinée, et Le Cap en Afrique du Sud. C’est donc bien un total de 17 000 km de fibres optiques qui apportent désormais la connectivité Internet à toute la façade Atlantique du continent africain, en incluant le Cameroun, la République Démocratique du Congo, l'Angola, la Namibie et l'Afrique du Sud.

    Pourquoi avoir attaqué le Libéria ? Les hypothèses sont nombreuses. Mais l’une d’elle émane d’un chercheur en sécurité qui estime que le botnet s’attaque à de petits pays peu connus qui peuvent être un camp d’entraînement idéal pour tester les armes dont dispose Mirai à une plus grande échelle. Certains experts pensent que les futures attaques de Mirai pourraient atteindre les 10 Tbps, soit des attaques bien plus violentes que le pic record qui a été observé contre OVH qui était de 1,5 Tbps.

    Source : billet Kevin Beaumont

    Voir aussi :

    OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  18. #38
    Membre expert Avatar de marsupial
    Homme Profil pro
    DevOp, Tech leader
    Inscrit en
    mars 2014
    Messages
    1 057
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : DevOp, Tech leader

    Informations forums :
    Inscription : mars 2014
    Messages : 1 057
    Points : 3 825
    Points
    3 825
    Par défaut
    Citation Envoyé par Kirisute Gomen Voir le message
    C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent )
    Dommage que les médias grand-public n'en parlent pas vraiment...
    Tout comme un électricien/électronicien qui ne connaît pas la mécanique concevant une voiture fera de gros dégats. Comparativement à ces disciplines, l'informatique est encore jeune et pleine de "mystères" jalousement secret pour des raisons X ou Y plus ou moins éthiques. Il n'y a pas de religions, juste des origines applicatives qui font que la conception peut prêter à sourire ou facher, c'est selon. Nul n'est parfait et on ne peut pas penser à tout dans un domaine neuf. Sauf lorsque des livres d'anticipation ont prévenu. Pour la plupart d'origine anglo-saxonne.

    "Chacun doit rester conscient qu'il ne sait rien."

    Techniquement, je me pose une question ou deux.
    Pourquoi cet angle d'attaque ?
    Pourquoi est-il connu ?

    Je ne réfléchis pas trop aux diverses réponses qui s'offrent; par contre, j'ai des doutes.

    Voilà la lune noire dont rêvait les américains. Au moins celle-ci ne fait pas de morts. Pour l'instant.
    Par contre, ce coup-ci, le(s) opérateur(s) ont tapé là où tous les informaticiens s'interdisent tous de taper : le réseau internet.

    edit : media mainstream qui a fait plus de bruit que les impôts que ne paient pas Apple.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  19. #39
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    juin 2012
    Messages
    1 707
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : juin 2012
    Messages : 1 707
    Points : 4 380
    Points
    4 380
    Par défaut
    Citation Envoyé par Stéphane le calme Voir le message
    Pourquoi avoir attaqué le Libéria ? Les hypothèses sont nombreuses. Mais l’une d’elle émane d’un chercheur en sécurité qui estime que le botnet s’attaque à de petits pays peu connus qui peuvent être un camp d’entraînement idéal pour tester les armes dont dispose Mirai à une plus grande échelle. Certains experts pensent que les futures attaques de Mirai pourraient atteindre les 10 Tbps, soit des attaques bien plus violentes que le pic record qui a été observé contre OVH qui était de 1,5 Tbps.
    Çà semble logique : test et/ou menace.

    Si le but était de couper le net au Libéria, une attaque physique serait bien plus efficace : il n'y a qu'un câble à couper.

  20. #40
    Modérateur
    Avatar de gangsoleil
    Homme Profil pro
    Cyber sécurité
    Inscrit en
    mai 2004
    Messages
    9 731
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Haute Savoie (Rhône Alpes)

    Informations professionnelles :
    Activité : Cyber sécurité

    Informations forums :
    Inscription : mai 2004
    Messages : 9 731
    Points : 26 249
    Points
    26 249
    Par défaut
    L'article de Brian Krebs sur l'attaque sur le Liberia est très intéressante : https://krebsonsecurity.com/2016/11/...beria-offline/

    Pour ceux qui ont la flemme de lire :
    “Neither @dynresearch nor @akamai_soti have data supporting the assertion that Liberia suffered a national outage,” tweeted Dyn’s Doug Madory.
    To recap: Did a Mirai botnet attack an infrastructure provider in Liberia? No question. Is the IoT problem bad enough that we have to worry about entire countries being knocked offline? Quite possibly. Was there an outage that knocked the country of Liberia offline this week? I have yet to see the evidence to support that claim.
    "La route est longue, mais le chemin est libre" -- https://framasoft.org/
    Les règles du forum

Discussions similaires

  1. Réponses: 13
    Dernier message: 21/10/2015, 21h14
  2. Réponses: 0
    Dernier message: 07/04/2013, 17h21
  3. Réponses: 3
    Dernier message: 08/12/2011, 14h49
  4. Réponses: 0
    Dernier message: 01/07/2010, 11h35
  5. Réponses: 3
    Dernier message: 24/04/2008, 17h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo