Un chercheur scanne les adresses IP en Autriche
et trouve que la plupart des appareils en ligne sont sans sécurité

Christian Haschek est un programmeur et fondateur de Haschek-Solution, une entreprise de solution informatique basée en Autriche. Dans un billet de blog qu’il a publié, il dit avoir scanné la totalité des adresses IP de l’Autriche et a trouvé des caméras IP, des systèmes de contrôles industriels et plusieurs autres appareils informatiques qui sont, pour la plupart, laissés sans sécurité aucune. Le bilan de son scan qu’il énonce dans son billet de blog, indique que de milliers d’appareils dotés du port Windows SMB sont restés non filtrés et donc directement exposés à toute sorte de vulnérabilité.

Ce port, SMB, qu’on retrouve sur les périphériques Windows avait déjà était exploité quelques années plus tôt par des hackers pour pratiquer de l’ingénierie sociale à l’aide de ransomware. Pour l’expliquer, le protocole SMB (Server Message Block) est un protocole permettant le partage de ressources (fichier et imprimantes) sur des réseaux locaux avec des PC sous Windows. Vous êtes certainement au courant qu’une faille dans la version 1 de ce protocole (SMB v1), nommée EternalBlue, était en cause pour la diffusion en mai 2017 d'un des plus grands ransomware de l'histoire d'Internet, WannaCry.

Cette faille de sécurité a été corrigée après une mise à jour diffusée le 14 mars 2017. EternalBlue est un exploit développé par la NSA qui a été révélé et publié par le groupe de hackers The Shadow Brokers en avril 2017. Cet exploit utilise une faille de sécurité présente dans la première version du protocole SMB. Bien que cette faille de sécurité ait déjà été résolue par Microsoft par une mise à jour de sécurité publiée en mars 2017, de nombreux utilisateurs de Windows n'avaient toujours pas installé ce correctif de sécurité lorsque, en mai 2017, le ransomware « WannaCry » a utilisé cette faille de sécurité pour se propager.

En raison de la gravité de l'attaque de WannaCry, Microsoft avait pris la mesure inhabituelle de publier une mise à jour de sécurité pour les systèmes d’exploitation qu’il ne maintenait plus comme Windows XP, Windows 8 et Windows Server 2003. Le nombre de machines Windows directement exposées que Haschek dit avoir trouvé après son scan est de l’ordre de 1273 machines. Cependant, il dit qu’aucune des 1273 machines n’était vulnérable à la faille EternalBlue. Ce qui l’amène après à fouiller dans la panoplie d’adresses IP autrichiennes pour tenter de trouver des résolveurs DNS ouverts. On parle également de OpenDNS ou de résolveurs DNS récursifs ouverts.

Nom : vxcyrz.png
Affichages : 3764
Taille : 19,0 Ko

Ils sont utilisés dans la plupart des cas par des pirates ou des groupes d'individus pour lutter contre la censure sur Internet. Un autre cas d’utilisation fréquent que les gens en font, sont les attaques DDoS (attaque par dénis de services) souvent pour localiser ou bloquer le fonctionnement des serveurs. Haschek indique qu’il a trouvé environ 8728 serveurs DNS exposés publiquement en Autriche. Pour lui, même si ces serveurs paraissent sécurisés, il n’en demeure pas moins que 25 % d’entre eux sont des résolveurs ouverts.

« J'ai trouvé exactement 8728 serveurs DNS exposés publiquement en Autriche. 0,08 % des adresses IP autrichiennes hébergent des serveurs DNS, mais la plupart d'entre eux sont sécurisés. Néanmoins, en utilisant ma méthode, j'ai découvert qu'environ 25 % des serveurs DNS autrichiens étaient des résolveurs ouverts », a-t-il écrit. Il explique en détail dans son billet la méthode qu’il a utilisée pour effectuer son analyse. Dans la suite, il expose également avoir trouvé des serveurs Web, des imprimantes et des webcams ouvertes et dépourvues de toute sécurité. Les imprimantes étant sans mots de passe, il explique avoir réalisé quelques impressions, et l’un d’entre eux lui aurait même permis d’envoyer un fax.

Quant aux caméras IP, il dit en avoir trouvé plus de 300 qui diffusent des flux en direct sans login. Pour lui, la plupart des pays dans le monde qui hébergent des ressources ou disposent d’appareils IP en ligne partagent les mêmes problèmes de sécurité qu’il faudra résoudre. « L’Autriche est un petit pays, mais la sécurité informatique pose les mêmes problèmes que les grands pays. Nous devons développer une meilleure idée de ce qui est sécurisé et de ce qui ne l’est pas. De plus, les fournisseurs et les fabricants d’appareils devraient nous aider à les configurer en toute sécurité. Les entreprises doivent embaucher de bons administrateurs informatiques pour surveiller ce qu’elles exposent au Web et protéger leurs serveurs », a-t-il conseillé pour finir son argumentaire.

Source : Billet de blog

Et vous ?

Que pensez-vous de l'analyse de Christian Haschek ?
Que proposeriez-vous pour la sécurité des périphériques informatiques en ligne ?

Voir aussi

WannaCry : infection de 55 caméras de trafic routier en Australie pendant des opérations de maintenance

Le ransomware WCry prend en otage des milliers d'ordinateurs dans une attaque d'envergure mondiale des rançons de 300 $ minimum sont exigées

Ransomware WannaCry : les délais fixés par les hackers sont passés, mais très peu de rançons ont été payées