+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Webmaster
    Inscrit en
    janvier 2014
    Messages
    635
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Webmaster
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : janvier 2014
    Messages : 635
    Points : 13 572
    Points
    13 572

    Par défaut Attaque DDoS : plus de 5000 objets connectés d’une université utilisés pour paralyser son propre réseau

    Attaque DDoS : plus de 5000 objets connectés d’une université utilisés pour paralyser son propre réseau,
    Verizon donne des détails dans un rapport

    Après les nombreux incidents survenus avec le botnet Mirai qui a utilisé des milliers d’objets connectés comme machines esclaves pour lancer des attaques DDoS contre plusieurs infrastructures et sites web, les experts en sécurité n’ont de cesse de répéter inlassablement de mieux protéger les objets connectés à internet en remplaçant les mots de passe par défaut de ces objets par des mots de passe personnalisés et forts. Toutefois, en dépit de ces nombreux avertissements, certains préfèrent subir les conséquences de ces botnets avant de réaliser que ces alertes ne sont pas l’effet d’une paranoïa organisée, mais relèvent d’un véritable problème de sécurité.

    Dans un récent rapport publié par Verizon, une université dont le nom n’a pas été cité a fait les frais d’une attaque menée à partir des objets connectés installés sur son réseau. Tout a débuté lorsque le centre d’assistance de l’université a commencé à recevoir un nombre croissant de plaintes de la part des étudiants de l’université au sujet d’une lenteur ou d’une inaccessibilité de la connexion internet. Après avoir effectué quelques investigations, l’équipe de sécurité IT réalise que les serveurs de noms responsables des vérifications des noms de domaine émettaient un volume élevé d’alertes et un nombre inquiétant de sous-domaines liés aux aliments de mer.

    Bien évidemment, la majeure partie des étudiants sur le campus n’ont pas tous eu une envie soudaine de consommer les aliments de mer. L’équipe de sécurité IT de l’université a donc contacté le service de sécurité Verizon Risk TEAM afin de l’aider à démêler cette affaire. Sur suggestion de l’équipe de Verizon, le service IT de l’université a commencé à éplucher les journaux du réseau et du pare-feu à la recherche d’indices qui pourraient expliquer cette brusque montée en charge du trafic.

    En analysant les fichiers du pare-feu, l’équipe IT a détecté que plus de 5000 appareils effectuaient des centaines de vérifications DNS toutes les 15 minutes. Et presque tous ces appareils se trouvaient sur le segment du réseau dédié à notre infrastructure IdO (Internet des Objets), a noté un des membres de l’équipe de sécurité IT de l’université. Plus inquiétant encore, tous les objets à partir des ampoules jusqu’aux distributeurs automatiques, ont été connectés au réseau pour faciliter la gestion et améliorer l’efficacité, ce qui impliquait une lourde charge de travail pour résoudre ce problème. Et malheureusement pour l'équipe IT, les systèmes de ces objets connectés qui sont censés être séparés du réseau ont été apparemment configurés pour utiliser les serveurs DNS dans un sous-réseau différent.

    Un attaquant a exploité cette configuration pour paralyser le réseau de l’université avec un botnet qui s’est répandu sur le réseau de l'établissement en brute forçant les mots de passe faibles ou par défaut de ces objets connectés. Une fois le mot de passe d’un objet récupéré par le botnet, le logiciel malveillant vérifie l’infrastructure pour les mises à jour et change le mot de passe de l’appareil, ce qui lui a permis de se rendre maître de plus de 5000 appareils connectés.

    Malgré tous les scénarios envisagés par l’équipe de sécurité IT de l’université pour faire face aux problèmes tels que le remplacement des serveurs d’application ou encore des infrastructures, cette dernière ne s’était pas apprêtée pour un tel incident lié aux objets connectés. Avec les conseils de l’équipe de Verizon, le service IT de l’université a pu intercepter les commandes envoyées via HTTP pour mettre à jour les mots de passe des appareils infectés. Si le pirate avait utilisé le protocole SSL pour envoyer ses commandes, la tâche de l’équipe de l’université aurait été encore plus compliquée pour stopper le botnet, car les commandes auraient été chiffrées ce qui n’aurait pas permis de mettre la main sur les nouveaux mots de passe utilisés par le pirate pour contrôler les appareils infectés. Fort heureusement, les commandes étaient envoyées en texte clair via HTTP.

    Une fois les commandes interceptées, l’équipe de sécurité IT de l’université a interrompu l’accès au réseau pour les segments IdO et après quelques heures d’analyse a pu récupérer les nouveaux mots de passe utilisés par l’attaquant pour contrôler les objets connectés. Un script a été écrit par l’équipe de l’université pour se connecter au réseau, mettre à jour les mots de passe des appareils et enfin supprimer l’infection sur tous les appareils.

    Une des leçons à retenir dans cette histoire est qu’il est indispensable de sécuriser ses objets connectés en supprimant le mot passe par défaut pour le remplacer par un mot de passe personnalisé et fort, car une fois infectés ces appareils peuvent servir à attaquer des réseaux tiers, mais aussi le réseau sur lequel ils sont installés comme on le constate avec cette université.

    Source : Rapport Verizon (PDF)

    Et vous ?

    Que pensez-vous de cette attaque ?

    Négligence humaine ou incident inévitable ?

    Voir aussi

    Deux pirates déclarent avoir mis en place un botnet Mirai de 400 000 machines esclaves qu'ils mettent en location pour mener des attaques DDoS
    Une porte dérobée détectée dans 80 modèles de caméras Sony pourrait être exploitée par un botnet comme Mirai dans des attaques, un patch est fourni
    Un chercheur a découvert un code malveillant sur des caméras IP vendues sur Amazon et qui peut entraîner une surveillance illégale
    Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

    La Rubrique sécurité, Forum sécurité, Cours et tutoriels sécurtité, FAQ Sécurtié
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Profil pro
    Inscrit en
    novembre 2003
    Messages
    40
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : novembre 2003
    Messages : 40
    Points : 95
    Points
    95

    Par défaut

    l'amoralité, c'est qu'il ne faut pas faire transiter ses identifiants en clair
    Ni réutiliser un mot de passe en fait.

    J'imagine les pauvres avec 5000 objets vérolés et autant de mots de passe inconnus différents.

Discussions similaires

  1. objets connectés, comment fait SHODAN pour les répertorier
    Par mapmip dans le forum Webmarketing
    Réponses: 1
    Dernier message: 20/11/2014, 13h34
  2. Réponses: 2
    Dernier message: 13/02/2014, 18h07
  3. Les attaques DDoS de plus en plus menaçantes
    Par Samuel_ dans le forum Actualités
    Réponses: 14
    Dernier message: 09/09/2013, 10h27
  4. Les attaques DDoS plus larges et plus rapides que jamais
    Par Stéphane le calme dans le forum Sécurité
    Réponses: 0
    Dernier message: 25/04/2013, 23h19
  5. Réponses: 6
    Dernier message: 11/02/2011, 12h27

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo