IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité
    Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs
    a été publié en ligne

    Un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer l’attaque de déni de service qui a mis hors ligne le site KrebsOnSecurity le mois dernier. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

    Sur le forum spécialisé Hackforum, le pirate s’est présenté comme étant l’utilisateur Anna-sempai et a expliqué avoir publié le code source en réponse à une surveillance accrue de l’industrie de la sécurité. « Quand je me suis lancé dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps », a commencé Anna-sempai. « J’ai fait de l’argent. Il y a beaucoup d’yeux rivés sur l’internet des objets désormais, alors il est temps de se casser », a-t-il continué.

    « Aujourd’hui, j’ai une publication exceptionnelle pour vous. Avec Mirai, je rassemble habituellement 380 000 bots au max uniquement sur telnet », mais les mesures qui sont progressivement prises par les FAI après l’attaque DDoS lancée contre Krebs font « qu’aujourd’hui, mon botnet est constitué d'environ 300 000 bots au maximum » et le nombre continue de diminuer.


    Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

    Selon une étude du cabinet de sécurité Level3 Communications, les réseaux zombies Bashlight sont constitués de près d'un million de dispositifs connectés à internet. « Les deux visent la même exposition des appareils connectés et, dans de nombreux cas, les mêmes dispositifs », a déclaré Dale Drew, chef de la sécurité de Level3. D’ailleurs, selon le cabinet de sécurité, c’est un logiciel malveillant de la famille de Mirai qui a frappé KrebsOnSecurity avec un trafic de 620 Gbps et un autre qui a frappé l’hébergeur OVH avec un pic dépassant le téra octet par seconde.

    Du côté de Dr Web, les chercheurs en sécurité déclarent « qu’il existe déjà une forte augmentation des opérateurs de réseaux de zombies qui tentent de trouver et d'exploiter des dispositifs connectés afin d'avoir accès à des réseaux de botnets uniformes et considérables. Ces botnets sont largement utilisés dans des campagnes qui fournissent d’importants revenus aux opérateurs ainsi que la capacité à passer plus de temps à améliorer leurs capacités et à ajouter des couches supplémentaires de sophistication.

    En publiant ce code source, cela va sans aucun doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis. Et tandis que la plupart des objets actuels compromis l'ont été sur un exploit telnet très spécifique, je prédis que les opérateurs de botnets désireux de commander plusieurs centaines de milliers de nœuds-botnet seront à la recherche d'un plus grand inventaire d’exploits IdO dont ils peuvent tirer partie. Cela pourrait être le début d'une vague d'attaques contre les dispositifs IdO dans l'espace des consommateurs ».

    Comme pour donner du crédit à ce que Dr Web a déclaré, un expert en sécurité, qui a désiré conserver l’anonymat, a déclaré à KrebsOnSecurity avoir lui aussi examiné le code source de Mirai qui a été porté à la connaissance du public. Il a confirmé que ce code inclut une section qui permet de coordonner des attaques GRE (generic routing encapsulation ou Encapsulation Générique de Routage, un protocole de mise en tunnel qui permet d'encapsuler n'importe quel paquet de la couche réseau). D’ailleurs KrebsOnSecurity partage la projection de Dr Web et estime que nous assisterons bientôt à une recrudescence des attaques de ce type.

    Source : KrebsOnSecurity, Dr Web

    Voir aussi :

    OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

    Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

    Des cyberescrocs se font passer pour le groupe de pirates Armada Collective et menacent des entreprises de lancer des attaques DDoS
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Homme Profil pro
    CTO
    Inscrit en
    Mars 2012
    Messages
    62
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Tunisie

    Informations professionnelles :
    Activité : CTO

    Informations forums :
    Inscription : Mars 2012
    Messages : 62
    Points : 161
    Points
    161
    Par défaut
    J'aimerais bien consulter le code source, y'a t'il un lien où on peut le trouver ?

  3. #3
    Membre du Club
    Homme Profil pro
    Développeur Web
    Inscrit en
    Juin 2016
    Messages
    27
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hérault (Languedoc Roussillon)

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Juin 2016
    Messages : 27
    Points : 57
    Points
    57

  4. #4
    Membre averti

    Homme Profil pro
    Directeur de projet
    Inscrit en
    Juillet 2003
    Messages
    106
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Bouches du Rhône (Provence Alpes Côte d'Azur)

    Informations professionnelles :
    Activité : Directeur de projet
    Secteur : Transports

    Informations forums :
    Inscription : Juillet 2003
    Messages : 106
    Points : 354
    Points
    354
    Par défaut
    Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres. En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.

    De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !

  5. #5
    Expert éminent Avatar de BufferBob
    Profil pro
    responsable R&D vidage de truites
    Inscrit en
    Novembre 2010
    Messages
    3 035
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : responsable R&D vidage de truites

    Informations forums :
    Inscription : Novembre 2010
    Messages : 3 035
    Points : 8 400
    Points
    8 400
    Par défaut
    Citation Envoyé par Bigb Voir le message
    Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres.
    donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

    En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.
    ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur

    pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter

    De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !
    sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"

  6. #6
    En attente de confirmation mail
    Homme Profil pro
    Collégien
    Inscrit en
    Mars 2011
    Messages
    6
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Ain (Rhône Alpes)

    Informations professionnelles :
    Activité : Collégien

    Informations forums :
    Inscription : Mars 2011
    Messages : 6
    Points : 21
    Points
    21
    Par défaut Petite suggestion orthographique…
    Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transformE en bots

  7. #7
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Le malware Mirai, qui peut créer des botnets d'objets connectés, se déploie sur des passerelles Sierra Wireles
    Le malware Mirai, qui peut créer des botnets d'objets connectés, se déploie sur des passerelles Sierra Wireless,
    l'équipementier exhorte à changer les identifiants par défaut

    Le mois de septembre a été marqué par la violence des attaques par déni de service qui ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire avec des pics de trafic atteignant 1156 Gbps. Par la suite, au début du mois, un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer ces vagues d’attaques contre ces cibles.

    Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

    Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

    Si les chercheurs ont estimé que cette initiative allait sans doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis, il n’aura pas fallu beaucoup de temps aux cyber criminels pour s’en servir.

    En effet, Sierra Wireless, l’équipementier canadien en dispositifs sans fil, a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». Par la suite, en se servant de la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle et par conséquent simplifie également l’attaque.


    L’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) a expliqué avoir reçu un bulletin de sécurité émanant du Canadien qui décrivait des mesures d'atténuation pour sécuriser les périphériques Airlink infectés par (ou étant potentiellement vulnérables) le logiciel malveillant Mirai. « Bien que les dispositifs Sierra Wireless ne sont pas la cible du logiciel malveillant, ne pas changer les identifiants attribués par défaut, qui sont accessibles publiquement, peut entraîner la compromission du dispositif », a prévenu l’équipe. Les produits qui sont particulièrement vulnérables au logiciel malveillant sont les passerelles Sierra Wireless LS300, GX400, GX/ES440, GX/ES450, et RV50.

    L’ICS-CERT précise qu’aucune vulnérabilité logicielle ou matérielle des passerelles n’est exploitée par Mirai, mais qu’il s’agit d’un problème de gestion de configuration.

    Quoiqu’il en soit, voici ce que Sierra recommande aux propriétaires des dispositifs cités ci-dessus :
    • redémarrer la passerelle afin d’éliminer un quelconque logiciel Mirai existant ;
    • changer immédiatement le mot de passe ACEmanager.

    L’entreprise fait également des recommandations sur la façon de protéger le réseau local.

    Source : ICS-CERT, Sierra Wireless (au format PDF)

    Voir aussi :

    OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  8. #8
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures
    Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures,
    essentiellement pour les internautes américains

    Depuis la publication du code source de Mirai, un logiciel malveillant qui permet la création d’un botnet d’objets connectés pour lancer des attaques de déni de service, le nombre d’opérateurs de réseaux de zombies a augmenté comme le craignaient des experts en sécurité.

    Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

    Des rapports liés à ce logiciel malveillant se sont multipliés, comme un rapport publié il y a quelques jours par Sierra Wireless, l’équipementier canadien en dispositifs sans fil, qui a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ».

    Cette fois-ci, le logiciel a été impliqué dans une attaque DDoS lancée contre Dyn, un fournisseur de service DNS. Vendredi 21 octobre en fin d’après-midi, Dyn a confirmé qu’une attaque a été lancée contre ses services, paralysant ainsi l’accès aux sites de ses clients à l’Est des États-Unis même si certains sites étaient inaccessibles depuis l’Europe. Selon le baromètre DataNyze, Dyn possède 4,7 % des sites figurant sur le top 1M de l’indice Alexa, soit 82 712 sites. Parmi eux, figurent des icônes comme Paypal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb. Peu après minuit (heure de Paris), l’entreprise a annoncé avoir résolu cet incident.


    Dyn a indiqué que l’attaque est venue de millions d’adresses internet, en faisant l’une des plus puissantes jamais observées. Comme pour l’attaque contre OVH ou KrebsOnSecurity, une partie du trafic de l’attaque s’est appuyée sur des milliers de dispositifs connectés comme des caméras de surveillance, des moniteurs de bébé et des routeurs maisons qui ont été infectés à l’insu de l’utilisateur. Dale Drew, chef de la sécurité, a déclaré que d'autres réseaux de machines compromises ont également été utilisés dans l'attaque de vendredi, ce qui suggère que l'auteur avait loué l'accès à plusieurs botnets.

    Face à l’ampleur de l’attaque, le FBI et la sécurité nationale américaine se sont déjà penchés sur cette attaque pour étudier toutes les causes potentielles parmi lesquelles une activité criminelle ou un attaque contre les États-Unis.

    Les chercheurs en sécurité ont longtemps averti que le nombre croissant de dispositifs connectés peut potentiellement représenter un énorme problème de sécurité. Faisant allusion à l’attaque lancée vendredi, les chercheurs ont averti qu’il ne s’agit là que d’un aperçu de la façon dont ces dispositifs peuvent être utilisés pour lancer des attaques en ligne.

    Source : Reuters, Dyn
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  9. #9
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2012
    Messages : 1 711
    Points : 4 442
    Points
    4 442
    Par défaut
    Un article intéressant, en rapport avec les attaques récentes : Someone Is Learning How to Take Down the Internet.

  10. #10
    Rédacteur/Modérateur


    Homme Profil pro
    Développeur .NET
    Inscrit en
    Février 2004
    Messages
    19 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Février 2004
    Messages : 19 875
    Points : 39 749
    Points
    39 749
    Par défaut
    essentiellement pour les internautes américains
    Et les abonnés Numéricable apparemment
    C'était presque impossible de se connecter à Github ou Twitter depuis mon PC hier soir

  11. #11
    Expert éminent Avatar de marsupial
    Homme Profil pro
    Retraité
    Inscrit en
    Mars 2014
    Messages
    1 760
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Autre

    Informations professionnelles :
    Activité : Retraité

    Informations forums :
    Inscription : Mars 2014
    Messages : 1 760
    Points : 7 185
    Points
    7 185
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables


    ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur

    pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter


    sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"

    Dans ma partie, j'ai la conscience tranquille du devoir accompli et achevé sans aller au-delà des possibilités; les jalons sont déjà posés pour l'avenir tout en restant disponible et ouvert à toutes éventualités, c'est-à-dire si je pense à mieux sans être l'ennemi du bien.
    Ce qui a été mis en place reste sous brevet et classé mais peut s'adapter et s'intégrer à peu près partout avec un peu de cervelle et de volonté : tous systèmes et réseaux.

    Donc gros +1 à la nuance près de la révélation du code source encore que cela permettrait de faire une pause pour sérieusement se pencher sur la question.

    Edit : gros merci à vous tous pour votre patience et votre veille.
    Repeat after me
    Le monsieur lutte pour la défense des libertés individuelles et collectives

    Repeat after me...

  12. #12
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2012
    Messages : 1 711
    Points : 4 442
    Points
    4 442
    Par défaut
    Citation Envoyé par BufferBob Voir le message
    donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables
    La sécurité est un "jeu" très déséquilibré :
    l'équipe en défense ne peut pas gagner : dans le meilleur des cas elle empêche une attaque et évite ainsi de "perdre".
    l'équipe en attaque ne peut pas perdre : dans le pire des cas l'attaque est repoussée et elle ne "gagne" pas.

    Maintenant si un hack simpliste marche, ça ne veut pas dire que les hackeurs sont mauvais (c'est pas de leur faute si le système n'est pas sécurisé du tout...).

    Après le DDoS, c'est un cran au dessus niveau déséquilibre : facile à mettre en place / dur de s'en protéger.

  13. #13
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut XiongMai Technologies, une entreprise chinoise admet que ses appareils ont été utilisés par Mirai
    XiongMai Technologies, une entreprise chinoise admet que ses appareils ont été utilisés par Mirai
    dans les récentes attaques DDoS menées contre les infrastructures de Dyn

    Alors que les experts en sécurité avaient longtemps attiré l’attention de la communauté IT sur les risques que représentent les objets connectés, c’est vendredi dernier qu’il nous a été donné de voir le danger réel que représentent ces appareils. En effet, ce vendredi, Dyn, le fournisseur de service DNS a subi trois vagues d’attaques par déni de service hautement distribué contre ses infrastructures. Ces attaques jamais enregistrées auparavant par l’entreprise ont été si virulentes qu’elles ont entraîné des lenteurs pour certains sites et l’inaccessibilité des sites de ses clients à l’est des États-Unis.

    Derrière ces attaques, Dyn indexe Mirai, un botnet qui exploite sur la toile les objets connectés mal protégés avec des identifiants attribués par défaut par leurs fabricants. Ces failles sont alors exploitées par Mirai afin d’utiliser ces objets dans des attaques massives par déni de service contre des plateformes.

    Avec l’aide de Flashpoint et Akamai, Dyn a pu recenser des dizaines de millions d’adresses IP utilisées pour étouffer ses infrastructures DNS. Le fournisseur de backbone, Level 3 Communications, parle pour sa part d’au moins 500 000 appareils utilisés dans ces cyberattaques. Face à une telle ampleur, il ne serait pas surprenant de voir un grand nombre d’objets fabriqués par des entreprises de grands noms être impliqués dans ces attaques.

    Et depuis quelques heures, on en sait un peu plus sur les objets utilisés pour tenter de faire tomber la plateforme de Dyn. En effet, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR vient de confesser que ses produits ont par inadvertance joué un rôle dans la cyberattaque massive qui a perturbé les principaux sites internet aux États-Unis le vendredi.

    Plus précisément, l’entreprise chinoise assène que « Mirai est un grand désastre pour l’internet des objets ». Et d’ajouter que « nous devons admettre que nos produits ont également souffert d’effractions et d’utilisations illégales par les pirates ».

    Il faut noter que lorsque les attaques sont survenues, le fournisseur de solutions de sécurité, Flashpoint a souligné ouvertement que Mirai cible les objets connectés comme les routeurs, les enregistreurs DVR, les webcams, les caméras de sécurité afin de les asservir pour ensuite les utiliser dans des attaques DDoS.

    La sortie de XiongMai Technologies pour préciser que ses équipements ont été également utilisés dans ces attaques n’est donc pas une surprise. L’entreprise explique que le malware a pu se rendre maître des appareils des utilisateurs pour lesquels les mots de passe par défaut du fabricant n’avaient pas été changés. Un patch avait déjà été publié en septembre 2015 afin d’éviter un tel scénario. Le correctif du firmwire demandait aux clients de changer le mot de passe par défaut lorsqu’ils utilisaient les appareils de l’entreprise pour la première fois. Mais les appareils tournant avec de vieilles versions du système sont toujours vulnérables.

    Etant donné que la menace est constante, les utilisateurs des équipements connectés sont donc priés de changer les mots de passe par défaut de leurs appareils qui ont été fournis par leur fabriquant au risque de contribuer involontairement à propager les effets de Mirai et autres malwares sur la toile.

    Source : China Cyber Safety

    Et vous ?

    De quelle entreprise pensez-vous que les appareils puissent être également impliqués dans ces récentes attaques ?

    Voir aussi

    Des hackeurs utilisent un malware pour faire tomber le réseau électrique Dans l'ouest de l'Ukraine

    La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  14. #14
    Membre averti
    Profil pro
    Développeur .NET
    Inscrit en
    Octobre 2010
    Messages
    78
    Détails du profil
    Informations personnelles :
    Localisation : Canada

    Informations professionnelles :
    Activité : Développeur .NET
    Secteur : High Tech - Produits et services télécom et Internet

    Informations forums :
    Inscription : Octobre 2010
    Messages : 78
    Points : 362
    Points
    362
    Par défaut
    Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues"). Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

    Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).

  15. #15
    Membre éclairé
    Profil pro
    Inscrit en
    Avril 2008
    Messages
    467
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Avril 2008
    Messages : 467
    Points : 681
    Points
    681
    Par défaut
    Citation Envoyé par Omote Voir le message
    Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe (...)
    Pour moi ce n'est pas Le problème. Car il y aura toujours plus d'objets connectés utilisés par de plus en plus de monde sans aucune connaissance informatique et ce fait ne changera pas.

    Le problème est qu'il n'existe toujours pas de solution de protection standardisée et universelle qui ne fasse pas intervenir les travers de l'humain - le laisser choisir et se souvenir de mots de passe est d'une grande hérésie !

    A mon avis il serait temps d'inventer une clé universelle individuelle se branchant sur chaque appareil et se chargeant seule d'assigner les mots de passe et de s'en souvenir.

  16. #16
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    Janvier 2011
    Messages
    3 146
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : Janvier 2011
    Messages : 3 146
    Points : 9 386
    Points
    9 386
    Par défaut
    Ce n'est même pas forcement un problème d'utilisateur...
    J'ai coupé récemment l'accès internet à mon imprimante l'ayant retrouvé sur un moteur de recherche d'objets connectés mal sécurisés.
    Je n'ai aucune interface me permettant de modifier le mot de passe...
    Donc à part lui couper l'accès vers le monde extérieur je peux pas faire grand chose...
    C'est la même chose pour bon nombre d'objets connectés, vous pouvez changer le mot de passe de l'interface locale d'administration, mais pas celui de la connexion de mise à jour ou d'administration distante d'usine ou encore de debug...

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

  17. #17
    Expert confirmé
    Homme Profil pro
    Étudiant
    Inscrit en
    Juin 2012
    Messages
    1 711
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Étudiant

    Informations forums :
    Inscription : Juin 2012
    Messages : 1 711
    Points : 4 442
    Points
    4 442
    Par défaut
    Citation Envoyé par Omote Voir le message
    Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues"). Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

    Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).
    C'est la seule protection viable contre le DDoS (c'est pour ça que ça fait tant de dégâts...)

    Mais sinon c'est assez ironique. Étant petit, on a tous entendu nos parents nous dire "ne parle pas à des inconnus" "n'accepte pas de bonbons d'un inconnu" etc...
    Appliquer les mêmes règles sur le net réduirait drastiquement le phishing (et donc le vol d'identité / DDoS / autre joyeuseté). Les règles tout le monde les connait, personne ne les applique.

  18. #18
    Expert confirmé
    Avatar de Loceka
    Profil pro
    Inscrit en
    Mars 2004
    Messages
    2 276
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mars 2004
    Messages : 2 276
    Points : 4 845
    Points
    4 845
    Par défaut
    Citation Envoyé par transgohan Voir le message
    Ce n'est même pas forcement un problème d'utilisateur...
    Non mais je pense que ce serait la réponse de notre gouvernement (cf. Hadopi) : "si vous ne sécurisez pas vos appareils connectés et qu'un délit est commis avec, vous serez responsable"

    C'est tellement plus simple que de s'attaquer au problème à la source...

  19. #19
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    Janvier 2014
    Messages
    1 089
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2014
    Messages : 1 089
    Points : 26 554
    Points
    26 554
    Par défaut Le groupe d’hacktivistes baptisé New World Hackers serait-il derrière les attaques contre Dyn ?
    Le groupe d’hacktivistes baptisé New World Hackers serait-il derrière les attaques contre Dyn ?
    Le groupe a revendiqué les attaques sur Twitter

    Vendredi dernier, le fournisseur de services informatiques Dyn a essuyé plusieurs vagues d’attaques rendant parfois inaccessibles les adresses internet de ses clients à partir de certains points des États-Unis et de l’Europe. En cause, le malware Mirai qui avait déjà été utilisé dans des attaques contre OVH, le fournisseur français de services internet et d’hébergement, et contre le blog de Brian Krebs, le chercheur en sécurité informatique où l’on a noté que le site fut bloqué par une attaque DDoS qui faisait converger 620 milliards de bits de données par seconde vers le site.

    Dans les dernières attaques contre Dyn, des dizaines de millions d’adresses IP et plus de 500 000 appareils ont été utilisés pour tenter de mettre à terre les infrastructures de Dyn. La prompte réaction de Dyn conjuguée avec le soutien des partenaires de la communauté technologique a permis d’endiguer ces attaques qui ont déferlé sur les infrastructures du fournisseur américain du service DynDNS.

    Le problème ayant été surmonté, les regards sont maintenant tournés vers les acteurs et les facteurs impliqués dans ces attaques. À ce sujet, il n'a pas fallu longtemps pour que XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR reconnaisse ouvertement que ses produits ont par inadvertance joué un rôle dans les attaques qui ont perturbé les principaux sites internet aux États-Unis vendredi dernier.

    Par ailleurs, l'on constate que généralement les motivations des acteurs malveillants dans ce genre de forfaits sont soit la méchanceté gratuite, soit l’argent. Mais pour cette fois, ce ne serait pas l’argent selon les propos des personnes revendiquant les attaques. En effet, au lendemain des attaques, un groupe d’hacktivistes baptisé New World Hackers a revendiqué sur Twitter la responsabilité de ces attaques en expliquant que le groupe n'est pas motivé par le gain financier et n'a rien de personnel contre Dyn, Twitter ainsi que les autres sites affectés par les attaques.

    Comme raisons avancées pour justifier ces attaques, le groupe explique sur le site de microblogging que c’était pour prendre du plaisir en ajoutant qu’il s’agissait d’un « test annuel de puissance ». Un des membres du groupe nommé Prophet aurait également confié à l’agence de presse américaine AP News qu’ils ont organisé des réseaux d’objets connectés pour créer un bot qui envoyait environ 1,2 trillion de bits de données par seconde vers les serveurs de Dyn, bien que ces chiffres n’aient pas été confirmés par Dyn. Par ailleurs, AP News rapporte que le groupe envisage comme prochaine étape de s’attaquer au gouvernement russe pour avoir été accusé d’être impliqué dans les cyberattaques contre les États-Unis un peu plus tôt cette année.

    Il faut noter également que le groupe n’en est pas à son premier acte de sabotage. Il a déjà par le passé revendiqué la paternité d’attaques similaires contre l’État islamique d’Irak et de Syrie ainsi que des attaques contre les sites ESPN.com en septembre dernier et BBC le 31 décembre passé. Enfin, AP News rapporte que le groupe New World Hackers est composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde.

    Du côté des autorités américaines, les investigations sont toujours en cours afin de trouver les coupables derrière les attaques.

    Source : Twitter, AP News, CBS News

    Et vous ?

    Pensez-vous que New World Hackers soit responsable de ces attaques ?

    Voir aussi

    Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

    La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  20. #20
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    Juillet 2013
    Messages
    2 875
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 33
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juillet 2013
    Messages : 2 875
    Points : 86 930
    Points
    86 930
    Billets dans le blog
    2
    Par défaut DDoS contre Dyn : XiongMai rappelle ses produits vulnérables, la Chine menace de poursuivre les accusateurs
    DDoS contre Dyn : XiongMai rappelle ses produits susceptibles d’avoir été piratés
    mais la Chine menace de poursuivre les accusateurs en justice

    Le vendredi 21 octobre, une attaque DDoS de grande ampleur lancée contre les services de Dyn, un fournisseur de service DNS, a paralysé une grande partie du réseau internet sur la côte Est des États-Unis avec des répercussions enregistrées en Europe. Cette vaste attaque a été lancée par un réseau de plusieurs millions d’appareils piratés dont des caméras de surveillance et autres objets connectés détournés par Mirai, un logiciel malveillant qui permet la création de botnets d’objets connectés pour lancer des attaques de déni de service.

    Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

    En ce qui concerne les appareils utilisés dans cette attaque contre Dyn, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs numériques a reconnu que certains de ses produits ont été impliqués après avoir été détournés par Mirai.

    Les chercheurs en sécurité ont ensuite accusé l’entreprise chinoise d’avoir expédié des produits qui présentent des erreurs de sécurité basiques, et qui les rendent plus faciles à pirater par Mirai. D’après de nombreux rapports, les dispositifs du fabricant chinois de composants électroniques constitueraient également la majeure partie des dispositifs utilisés pour lancer l’attaque DDoS contre le fournisseur de service DNS.

    Dans un communiqué publié sur son blog officiel, XiongMai Technologies dément le fait que ses dispositifs étaient majoritairement utilisés dans l’attaque contre Dyn, et explique au passage que le véritable problème, c’est plutôt les utilisateurs qui ne changent pas les mots de passe par défaut. Le fabricant chinois affirme également que seuls les appareils vendus aux États-Unis avant avril 2015 sont vulnérables. La société affirme en fait qu’en avril 2015, ses ingénieurs ont déployé une nouvelle mise à jour du firmware qui rend l'exploitation de ses appareils par le malware Mirai impossible. Elle a donc décidé de rappeler ses dispositifs vendus aux États-Unis avant cette date. Il s’agit principalement de modèles de webcams que le fabricant va rappeler. La firme prévoit par ailleurs de renforcer les fonctions de mots de passe sur ses produits.

    En principe, le malware Mirai qui est utilisé pour créer les botnets peut être effacé par un simple redémarrage des dispositifs affectés. Mais le risque qu’ils soient affectés à nouveau est élevé avec de nombreux appareils piratés connectés à internet. Il faudrait donc qu’une protection plus sure qu’un simple redémarrage soit mise en place. Pendant ce temps, le ministère chinois de la Justice menace d'engager des poursuites judiciaires contre les médias, les organisations ou individus qui, selon le gouvernement chinois, font de « fausses déclarations » contre la société. Il fait notamment allusion au fait que certains indexent XiongMai comme étant la principale source des dispositifs non sécurisés qui ont été utilisés dans l’attaque.

    Sources : The Guardian, Krebs on Security
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

Discussions similaires

  1. Réponses: 13
    Dernier message: 21/10/2015, 21h14
  2. Réponses: 0
    Dernier message: 07/04/2013, 17h21
  3. Réponses: 3
    Dernier message: 08/12/2011, 14h49
  4. Réponses: 0
    Dernier message: 01/07/2010, 11h35
  5. Réponses: 3
    Dernier message: 24/04/2008, 17h30

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo