Mirai : le botnet refuse d'abdiquer face aux chercheurs en sécurité

Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs
a été publié en ligne

Un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer l’attaque de déni de service qui a mis hors ligne le site KrebsOnSecurity le mois dernier. Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Sur le forum spécialisé Hackforum, le pirate s’est présenté comme étant l’utilisateur Anna-sempai et a expliqué avoir publié le code source en réponse à une surveillance accrue de l’industrie de la sécurité. « Quand je me suis lancé dans l’industrie du DDoS, je n’avais pas l’intention d’y rester longtemps », a commencé Anna-sempai. « J’ai fait de l’argent. Il y a beaucoup d’yeux rivés sur l’internet des objets désormais, alors il est temps de se casser », a-t-il continué.

« Aujourd’hui, j’ai une publication exceptionnelle pour vous. Avec Mirai, je rassemble habituellement 380 000 bots au max uniquement sur telnet », mais les mesures qui sont progressivement prises par les FAI après l’attaque DDoS lancée contre Krebs font « qu’aujourd’hui, mon botnet est constitué d'environ 300 000 bots au maximum » et le nombre continue de diminuer.

http://www.developpez.com/public/ima...nna-sempai.png

Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Selon une étude du cabinet de sécurité Level3 Communications, les réseaux zombies Bashlight sont constitués de près d'un million de dispositifs connectés à internet. « Les deux visent la même exposition des appareils connectés et, dans de nombreux cas, les mêmes dispositifs », a déclaré Dale Drew, chef de la sécurité de Level3. D’ailleurs, selon le cabinet de sécurité, c’est un logiciel malveillant de la famille de Mirai qui a frappé KrebsOnSecurity avec un trafic de 620 Gbps et un autre qui a frappé l’hébergeur OVH avec un pic dépassant le téra octet par seconde.

Du côté de Dr Web, les chercheurs en sécurité déclarent « qu’il existe déjà une forte augmentation des opérateurs de réseaux de zombies qui tentent de trouver et d'exploiter des dispositifs connectés afin d'avoir accès à des réseaux de botnets uniformes et considérables. Ces botnets sont largement utilisés dans des campagnes qui fournissent d’importants revenus aux opérateurs ainsi que la capacité à passer plus de temps à améliorer leurs capacités et à ajouter des couches supplémentaires de sophistication.

En publiant ce code source, cela va sans aucun doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis. Et tandis que la plupart des objets actuels compromis l'ont été sur un exploit telnet très spécifique, je prédis que les opérateurs de botnets désireux de commander plusieurs centaines de milliers de nœuds-botnet seront à la recherche d'un plus grand inventaire d’exploits IdO dont ils peuvent tirer partie. Cela pourrait être le début d'une vague d'attaques contre les dispositifs IdO dans l'espace des consommateurs ».

Comme pour donner du crédit à ce que Dr Web a déclaré, un expert en sécurité, qui a désiré conserver l’anonymat, a déclaré à KrebsOnSecurity avoir lui aussi examiné le code source de Mirai qui a été porté à la connaissance du public. Il a confirmé que ce code inclut une section qui permet de coordonner des attaques GRE (generic routing encapsulation ou Encapsulation Générique de Routage, un protocole de mise en tunnel qui permet d'encapsuler n'importe quel paquet de la couche réseau). D’ailleurs KrebsOnSecurity partage la projection de Dr Web et estime que nous assisterons bientôt à une recrudescence des attaques de ce type.

Source : KrebsOnSecurity, Dr Web

Voir aussi :

:fleche: OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

:fleche: Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

:fleche: Des cyberescrocs se font passer pour le groupe de pirates Armada Collective et menacent des entreprises de lancer des attaques DDoS

J'aimerais bien consulter le code source, y'a t'il un lien où on peut le trouver ?

https://github.com/jgamblin/Mirai-Source-Code

Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres. En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.

De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !

Citation:

---

Envoyé par Bigb

Etrange quand même cette décision de partager le code source, et je pense que ca va donner des idées à d'autres.

---

donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

Citation:

---

En tout cas ca permet de mettre en lumière une nouvelle fois le peu (ou pas du tout) de sécurité des objets connectés.

---

ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur :aie:

pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter :mouarf:

Citation:

---

De mon coté il est hors de question d'avoir une télé connectée, et encore pire, avec une webcam !

---

sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"

Citation:

---

Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transformE en bots

---

:mrgreen:

Le malware Mirai, qui peut créer des botnets d'objets connectés, se déploie sur des passerelles Sierra Wireless,
l'équipementier exhorte à changer les identifiants par défaut

Le mois de septembre a été marqué par la violence des attaques par déni de service qui ont été dirigées contre KrebsOnSecurity, provoquant l’indisponibilité du site, mais aussi contre l’hébergeur OVH, qui a fait face à l’attaque DDoS la plus violente de l’histoire avec des pics de trafic atteignant 1156 Gbps. Par la suite, au début du mois, un pirate a publié le code source de Mirai, le botnet qui s’est appuyé sur l’internet des objets pour lancer ces vagues d’attaques contre ces cibles.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des sources ont confié à KrebsOnSecurity que Mirai fait partie des deux familles de logiciels malveillants qui sont actuellement utilisés pour constituer rapidement une armée de bots d’objets connectés à internet. L'autre souche dominante dans les logiciels malveillants s’attaquant aux objets connectés est baptisée « Bashlight ». Cette famille fonctionne de la même manière que Mirai en terme de vecteur d’infection : elle pénètre les systèmes en se servant des identifiants (noms d’utilisateur et mot de passe) laissés par défaut sur les dispositifs.

Si les chercheurs ont estimé que cette initiative allait sans doute conduire à une hausse des opérateurs de réseaux de zombies qui vont utiliser ce code pour lancer des attaques contre des consommateurs et de petites entreprises avec des objets connectés compromis, il n’aura pas fallu beaucoup de temps aux cyber criminels pour s’en servir.

En effet, Sierra Wireless, l’équipementier canadien en dispositifs sans fil, a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». Par la suite, en se servant de la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle et par conséquent simplifie également l’attaque.

http://www.developpez.com/public/ima...ra-airlink.jpg

L’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team) a expliqué avoir reçu un bulletin de sécurité émanant du Canadien qui décrivait des mesures d'atténuation pour sécuriser les périphériques Airlink infectés par (ou étant potentiellement vulnérables) le logiciel malveillant Mirai. « Bien que les dispositifs Sierra Wireless ne sont pas la cible du logiciel malveillant, ne pas changer les identifiants attribués par défaut, qui sont accessibles publiquement, peut entraîner la compromission du dispositif », a prévenu l’équipe. Les produits qui sont particulièrement vulnérables au logiciel malveillant sont les passerelles Sierra Wireless LS300, GX400, GX/ES440, GX/ES450, et RV50.

L’ICS-CERT précise qu’aucune vulnérabilité logicielle ou matérielle des passerelles n’est exploitée par Mirai, mais qu’il s’agit d’un problème de gestion de configuration.

Quoiqu’il en soit, voici ce que Sierra recommande aux propriétaires des dispositifs cités ci-dessus :

• redémarrer la passerelle afin d’éliminer un quelconque logiciel Mirai existant ;
• changer immédiatement le mot de passe ACEmanager.

L’entreprise fait également des recommandations sur la façon de protéger le réseau local.

Source : ICS-CERT, Sierra Wireless (au format PDF)

Voir aussi :

:fleche: OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

Une attaque DDoS perturbe l'accès à de nombreux sites importants pendant plusieurs heures,
essentiellement pour les internautes américains

Depuis la publication du code source de Mirai, un logiciel malveillant qui permet la création d’un botnet d’objets connectés pour lancer des attaques de déni de service, le nombre d’opérateurs de réseaux de zombies a augmenté comme le craignaient des experts en sécurité.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

Des rapports liés à ce logiciel malveillant se sont multipliés, comme un rapport publié il y a quelques jours par Sierra Wireless, l’équipementier canadien en dispositifs sans fil, qui a indiqué à ses clients que « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ».

Cette fois-ci, le logiciel a été impliqué dans une attaque DDoS lancée contre Dyn, un fournisseur de service DNS. Vendredi 21 octobre en fin d’après-midi, Dyn a confirmé qu’une attaque a été lancée contre ses services, paralysant ainsi l’accès aux sites de ses clients à l’Est des États-Unis même si certains sites étaient inaccessibles depuis l’Europe. Selon le baromètre DataNyze, Dyn possède 4,7 % des sites figurant sur le top 1M de l’indice Alexa, soit 82 712 sites. Parmi eux, figurent des icônes comme Paypal, Twitter, Github, Playstation Network, Netflix, Spotify ou encore Airbnb. Peu après minuit (heure de Paris), l’entreprise a annoncé avoir résolu cet incident.

http://www.developpez.com/public/ima...ws/dyn-dns.png

Dyn a indiqué que l’attaque est venue de millions d’adresses internet, en faisant l’une des plus puissantes jamais observées. Comme pour l’attaque contre OVH ou KrebsOnSecurity, une partie du trafic de l’attaque s’est appuyée sur des milliers de dispositifs connectés comme des caméras de surveillance, des moniteurs de bébé et des routeurs maisons qui ont été infectés à l’insu de l’utilisateur. Dale Drew, chef de la sécurité, a déclaré que d'autres réseaux de machines compromises ont également été utilisés dans l'attaque de vendredi, ce qui suggère que l'auteur avait loué l'accès à plusieurs botnets.

Face à l’ampleur de l’attaque, le FBI et la sécurité nationale américaine se sont déjà penchés sur cette attaque pour étudier toutes les causes potentielles parmi lesquelles une activité criminelle ou un attaque contre les États-Unis.

Les chercheurs en sécurité ont longtemps averti que le nombre croissant de dispositifs connectés peut potentiellement représenter un énorme problème de sécurité. Faisant allusion à l’attaque lancée vendredi, les chercheurs ont averti qu’il ne s’agit là que d’un aperçu de la façon dont ces dispositifs peuvent être utilisés pour lancer des attaques en ligne.

Source : Reuters, Dyn

Un article intéressant, en rapport avec les attaques récentes : Someone Is Learning How to Take Down the Internet.

Citation:

---

essentiellement pour les internautes américains

---

Et les abonnés Numéricable apparemment :?
C'était presque impossible de se connecter à Github ou Twitter depuis mon PC hier soir

Citation:

---

Envoyé par BufferBob

donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables


ah oui, entièrement d'accord là dessus, arriver à générer un DDoS de 620Gbps (~67Go/s ?) rien qu'en ramassant des hôtes sur Telnet, en root et avec une wordlist d'à peine 30 logins/passwords ça laisse vraiment songeur :aie:

pour laisser un accès distant en root sur des équipements en 2016, les entreprises responsables devraient être clouées au pilori, les décisionnaires écartelés et le cdp coupé en petits morceaux pour donner à manger aux devs avant qu'ils se fassent copieusement fouetter :mouarf:


sauf qu'on laisse pas forcément le choix, le consommateur achète les produits disponibles, et les entreprises se livrent la bataille des features sur leurs produits, et la sécurité c'est "si on a le temps, si ça coûte pas trop cher, si quelqu'un pense à évoquer la question en réunion"

---

Dans ma partie, j'ai la conscience tranquille du devoir accompli et achevé sans aller au-delà des possibilités; les jalons sont déjà posés pour l'avenir tout en restant disponible et ouvert à toutes éventualités, c'est-à-dire si je pense à mieux sans être l'ennemi du bien.
Ce qui a été mis en place reste sous brevet et classé mais peut s'adapter et s'intégrer à peu près partout avec un peu de cervelle et de volonté : tous systèmes et réseaux.

Donc gros +1 à la nuance près de la révélation du code source encore que cela permettrait de faire une pause pour sérieusement se pencher sur la question.

Edit : gros merci à vous tous pour votre patience et votre veille.

Citation:

---

Envoyé par BufferBob

donner des idées de quoi, partager le code source de leurs bouses ? ma foi j'espère, ça permet de se rendre compte du niveau réel (ridicule !) des pirates en comparaison aux dégâts dont ils sont capables

---

La sécurité est un "jeu" très déséquilibré :
l'équipe en défense ne peut pas gagner : dans le meilleur des cas elle empêche une attaque et évite ainsi de "perdre".
l'équipe en attaque ne peut pas perdre : dans le pire des cas l'attaque est repoussée et elle ne "gagne" pas.

Maintenant si un hack simpliste marche, ça ne veut pas dire que les hackeurs sont mauvais (c'est pas de leur faute si le système n'est pas sécurisé du tout...).

Après le DDoS, c'est un cran au dessus niveau déséquilibre : facile à mettre en place / dur de s'en protéger.

XiongMai Technologies, une entreprise chinoise admet que ses appareils ont été utilisés par Mirai
dans les récentes attaques DDoS menées contre les infrastructures de Dyn

Alors que les experts en sécurité avaient longtemps attiré l’attention de la communauté IT sur les risques que représentent les objets connectés, c’est vendredi dernier qu’il nous a été donné de voir le danger réel que représentent ces appareils. En effet, ce vendredi, Dyn, le fournisseur de service DNS a subi trois vagues d’attaques par déni de service hautement distribué contre ses infrastructures. Ces attaques jamais enregistrées auparavant par l’entreprise ont été si virulentes qu’elles ont entraîné des lenteurs pour certains sites et l’inaccessibilité des sites de ses clients à l’est des États-Unis.

Derrière ces attaques, Dyn indexe Mirai, un botnet qui exploite sur la toile les objets connectés mal protégés avec des identifiants attribués par défaut par leurs fabricants. Ces failles sont alors exploitées par Mirai afin d’utiliser ces objets dans des attaques massives par déni de service contre des plateformes.

Avec l’aide de Flashpoint et Akamai, Dyn a pu recenser des dizaines de millions d’adresses IP utilisées pour étouffer ses infrastructures DNS. Le fournisseur de backbone, Level 3 Communications, parle pour sa part d’au moins 500 000 appareils utilisés dans ces cyberattaques. Face à une telle ampleur, il ne serait pas surprenant de voir un grand nombre d’objets fabriqués par des entreprises de grands noms être impliqués dans ces attaques.

Et depuis quelques heures, on en sait un peu plus sur les objets utilisés pour tenter de faire tomber la plateforme de Dyn. En effet, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR vient de confesser que ses produits ont par inadvertance joué un rôle dans la cyberattaque massive qui a perturbé les principaux sites internet aux États-Unis le vendredi.

Plus précisément, l’entreprise chinoise assène que « Mirai est un grand désastre pour l’internet des objets ». Et d’ajouter que « nous devons admettre que nos produits ont également souffert d’effractions et d’utilisations illégales par les pirates ».

Il faut noter que lorsque les attaques sont survenues, le fournisseur de solutions de sécurité, Flashpoint a souligné ouvertement que Mirai cible les objets connectés comme les routeurs, les enregistreurs DVR, les webcams, les caméras de sécurité afin de les asservir pour ensuite les utiliser dans des attaques DDoS.

La sortie de XiongMai Technologies pour préciser que ses équipements ont été également utilisés dans ces attaques n’est donc pas une surprise. L’entreprise explique que le malware a pu se rendre maître des appareils des utilisateurs pour lesquels les mots de passe par défaut du fabricant n’avaient pas été changés. Un patch avait déjà été publié en septembre 2015 afin d’éviter un tel scénario. Le correctif du firmwire demandait aux clients de changer le mot de passe par défaut lorsqu’ils utilisaient les appareils de l’entreprise pour la première fois. Mais les appareils tournant avec de vieilles versions du système sont toujours vulnérables.

Etant donné que la menace est constante, les utilisateurs des équipements connectés sont donc priés de changer les mots de passe par défaut de leurs appareils qui ont été fournis par leur fabriquant au risque de contribuer involontairement à propager les effets de Mirai et autres malwares sur la toile.

Source : China Cyber Safety

Et vous ?

:fleche: De quelle entreprise pensez-vous que les appareils puissent être également impliqués dans ces récentes attaques ?

Voir aussi

:fleche: Des hackeurs utilisent un malware pour faire tomber le réseau électrique Dans l'ouest de l'Ukraine

:fleche: La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues"). Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).

Citation:

---

Envoyé par Omote

Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe (...)

---

Pour moi ce n'est pas Le problème. Car il y aura toujours plus d'objets connectés utilisés par de plus en plus de monde sans aucune connaissance informatique et ce fait ne changera pas.

Le problème est qu'il n'existe toujours pas de solution de protection standardisée et universelle qui ne fasse pas intervenir les travers de l'humain - le laisser choisir et se souvenir de mots de passe est d'une grande hérésie !

A mon avis il serait temps d'inventer une clé universelle individuelle se branchant sur chaque appareil et se chargeant seule d'assigner les mots de passe et de s'en souvenir.

Ce n'est même pas forcement un problème d'utilisateur...
J'ai coupé récemment l'accès internet à mon imprimante l'ayant retrouvé sur un moteur de recherche d'objets connectés mal sécurisés.
Je n'ai aucune interface me permettant de modifier le mot de passe...
Donc à part lui couper l'accès vers le monde extérieur je peux pas faire grand chose...
C'est la même chose pour bon nombre d'objets connectés, vous pouvez changer le mot de passe de l'interface locale d'administration, mais pas celui de la connexion de mise à jour ou d'administration distante d'usine ou encore de debug...

Citation:

---

Envoyé par Omote

Le problème vient aussi des utilisateurs de ces objets qui les branche à Internet sans changer de mot de passe. Encore une question d'éducation (à mettre dans le lot avec "ne pas ouvrir les fichiers joints de sources inconnues"). Je pense que les gouvernements qui veulent absolument apprendre à des enfants de coder, devraient commencer par leur apprendre à utiliser les convenablement outils existant à la place.

Peut être que cela diminuerait la possibilité d'attaque de ce genre. Ou du moins, cela viendrait ajouter une protection supplémentaire à celui par défaut (on s'entend que les entreprises sont aussi responsable d'obliger le changement de mot de passe à la première utilisation).

---

C'est la seule protection viable contre le DDoS (c'est pour ça que ça fait tant de dégâts...)

Mais sinon c'est assez ironique. Étant petit, on a tous entendu nos parents nous dire "ne parle pas à des inconnus" "n'accepte pas de bonbons d'un inconnu" etc...
Appliquer les mêmes règles sur le net réduirait drastiquement le phishing (et donc le vol d'identité / DDoS / autre joyeuseté). Les règles tout le monde les connait, personne ne les applique.

Citation:

---

Envoyé par transgohan

Ce n'est même pas forcement un problème d'utilisateur...

---

Non mais je pense que ce serait la réponse de notre gouvernement (cf. Hadopi) : "si vous ne sécurisez pas vos appareils connectés et qu'un délit est commis avec, vous serez responsable" :mouarf:

C'est tellement plus simple que de s'attaquer au problème à la source...

Le groupe d’hacktivistes baptisé New World Hackers serait-il derrière les attaques contre Dyn ?
Le groupe a revendiqué les attaques sur Twitter

Vendredi dernier, le fournisseur de services informatiques Dyn a essuyé plusieurs vagues d’attaques rendant parfois inaccessibles les adresses internet de ses clients à partir de certains points des États-Unis et de l’Europe. En cause, le malware Mirai qui avait déjà été utilisé dans des attaques contre OVH, le fournisseur français de services internet et d’hébergement, et contre le blog de Brian Krebs, le chercheur en sécurité informatique où l’on a noté que le site fut bloqué par une attaque DDoS qui faisait converger 620 milliards de bits de données par seconde vers le site.

Dans les dernières attaques contre Dyn, des dizaines de millions d’adresses IP et plus de 500 000 appareils ont été utilisés pour tenter de mettre à terre les infrastructures de Dyn. La prompte réaction de Dyn conjuguée avec le soutien des partenaires de la communauté technologique a permis d’endiguer ces attaques qui ont déferlé sur les infrastructures du fournisseur américain du service DynDNS.

Le problème ayant été surmonté, les regards sont maintenant tournés vers les acteurs et les facteurs impliqués dans ces attaques. À ce sujet, il n'a pas fallu longtemps pour que XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs DVR reconnaisse ouvertement que ses produits ont par inadvertance joué un rôle dans les attaques qui ont perturbé les principaux sites internet aux États-Unis vendredi dernier.

Par ailleurs, l'on constate que généralement les motivations des acteurs malveillants dans ce genre de forfaits sont soit la méchanceté gratuite, soit l’argent. Mais pour cette fois, ce ne serait pas l’argent selon les propos des personnes revendiquant les attaques. En effet, au lendemain des attaques, un groupe d’hacktivistes baptisé New World Hackers a revendiqué sur Twitter la responsabilité de ces attaques en expliquant que le groupe n'est pas motivé par le gain financier et n'a rien de personnel contre Dyn, Twitter ainsi que les autres sites affectés par les attaques.

Comme raisons avancées pour justifier ces attaques, le groupe explique sur le site de microblogging que c’était pour prendre du plaisir en ajoutant qu’il s’agissait d’un « test annuel de puissance ». Un des membres du groupe nommé Prophet aurait également confié à l’agence de presse américaine AP News qu’ils ont organisé des réseaux d’objets connectés pour créer un bot qui envoyait environ 1,2 trillion de bits de données par seconde vers les serveurs de Dyn, bien que ces chiffres n’aient pas été confirmés par Dyn. Par ailleurs, AP News rapporte que le groupe envisage comme prochaine étape de s’attaquer au gouvernement russe pour avoir été accusé d’être impliqué dans les cyberattaques contre les États-Unis un peu plus tôt cette année.

Il faut noter également que le groupe n’en est pas à son premier acte de sabotage. Il a déjà par le passé revendiqué la paternité d’attaques similaires contre l’État islamique d’Irak et de Syrie ainsi que des attaques contre les sites ESPN.com en septembre dernier et BBC le 31 décembre passé. Enfin, AP News rapporte que le groupe New World Hackers est composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde.

Du côté des autorités américaines, les investigations sont toujours en cours afin de trouver les coupables derrière les attaques.

Source : Twitter, AP News, CBS News

Et vous ?

:fleche: Pensez-vous que New World Hackers soit responsable de ces attaques ?

Voir aussi

:fleche: Des hackers ont détourné des centaines de caméras de surveillance pour mener des attaques DDoS en utilisant l'outil dédié LizardStresser

:fleche: La Rubrique sécurité, Forum sécurité, Cours et turoriels sécurtité, FAQs Sécurtié

DDoS contre Dyn : XiongMai rappelle ses produits susceptibles d’avoir été piratés
mais la Chine menace de poursuivre les accusateurs en justice

Le vendredi 21 octobre, une attaque DDoS de grande ampleur lancée contre les services de Dyn, un fournisseur de service DNS, a paralysé une grande partie du réseau internet sur la côte Est des États-Unis avec des répercussions enregistrées en Europe. Cette vaste attaque a été lancée par un réseau de plusieurs millions d’appareils piratés dont des caméras de surveillance et autres objets connectés détournés par Mirai, un logiciel malveillant qui permet la création de botnets d’objets connectés pour lancer des attaques de déni de service.

Pour rappel, Mirai se déploie sur des dispositifs vulnérables en analysant en continu internet pour rechercher des systèmes connectés protégés par les identifiants attribués par défaut ou codés directement dans les systèmes. Les dispositifs vulnérables sont alors attaqués par le logiciel qui les transforme en bots, les obligeant à communiquer avec un serveur de contrôle central qui peut être utilisé comme lieu de préparation pour lancer des attaques DDoS puissantes qui peuvent entre autres paralyser un site.

En ce qui concerne les appareils utilisés dans cette attaque contre Dyn, XiongMai Technologies, un fournisseur chinois de caméras connectées et d’enregistreurs numériques a reconnu que certains de ses produits ont été impliqués après avoir été détournés par Mirai.

Les chercheurs en sécurité ont ensuite accusé l’entreprise chinoise d’avoir expédié des produits qui présentent des erreurs de sécurité basiques, et qui les rendent plus faciles à pirater par Mirai. D’après de nombreux rapports, les dispositifs du fabricant chinois de composants électroniques constitueraient également la majeure partie des dispositifs utilisés pour lancer l’attaque DDoS contre le fournisseur de service DNS.

Dans un communiqué publié sur son blog officiel, XiongMai Technologies dément le fait que ses dispositifs étaient majoritairement utilisés dans l’attaque contre Dyn, et explique au passage que le véritable problème, c’est plutôt les utilisateurs qui ne changent pas les mots de passe par défaut. Le fabricant chinois affirme également que seuls les appareils vendus aux États-Unis avant avril 2015 sont vulnérables. La société affirme en fait qu’en avril 2015, ses ingénieurs ont déployé une nouvelle mise à jour du firmware qui rend l'exploitation de ses appareils par le malware Mirai impossible. Elle a donc décidé de rappeler ses dispositifs vendus aux États-Unis avant cette date. Il s’agit principalement de modèles de webcams que le fabricant va rappeler. La firme prévoit par ailleurs de renforcer les fonctions de mots de passe sur ses produits.

En principe, le malware Mirai qui est utilisé pour créer les botnets peut être effacé par un simple redémarrage des dispositifs affectés. Mais le risque qu’ils soient affectés à nouveau est élevé avec de nombreux appareils piratés connectés à internet. Il faudrait donc qu’une protection plus sure qu’un simple redémarrage soit mise en place. Pendant ce temps, le ministère chinois de la Justice menace d'engager des poursuites judiciaires contre les médias, les organisations ou individus qui, selon le gouvernement chinois, font de « fausses déclarations » contre la société. Il fait notamment allusion au fait que certains indexent XiongMai comme étant la principale source des dispositifs non sécurisés qui ont été utilisés dans l’attaque.

Sources : The Guardian, Krebs on Security

Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.

Les produits ne devraient pas pouvoir être mis en service sans modification préalable par l'utilisateur du mot de passe par défaut.

Cette faille est très connue parce que très répandue. On sait qu'un grand nombre d'utilisateurs laisse le mot de passe défini en usine par le constructeur.

L’attaque DDoS contre Dyn ne serait pas l’œuvre d'un État
d’après les premières conclusions des États-Unis

Le weekend dernier a commencé par une attaque DDoS de grande ampleur lancée contre les services de Dyn, un fournisseur de service DNS. Cette attaque a paralysé une bonne partie du réseau internet des États-Unis avec des répercussions enregistrées en Europe. Considérée comme l’une des plus grandes attaques jamais enregistrées, l’attaque DDoS contre Dyn est venue de plusieurs millions d’adresses IP et s’est appuyée sur des centaines de milliers de dispositifs connectés.

L’envergure de cette attaque a suscité des interrogations chez les autorités américaines qui ont décidé de mener des investigations sur son origine, pensant surtout à une manœuvre d’un pays comme la Russie ou la Chine.

La Russie, parce que le pays a été récemment accusé par les USA d’être l’auteur de plusieurs attaques contre les Américains. Au début du mois d’octobre, l’administration Obama a en effet formellement accusé le gouvernement russe d’être impliqué dans le vol de milliers d’emails. Le directeur US du renseignement national et le chef du département de la sécurité intérieure ont également affirmé être « convaincus » de l’implication du gouvernement russe dans des cyberattaques liées à la campagne présidentielle américaine constatées au cours des derniers mois. Ces attaques ciblaient le Democratic National Committee (DNC), la plus haute instance du Parti démocrate, ainsi que les services chargés des listes électorales dans plusieurs États, dont l’Arizona et l’Illinois.

Mais, il y avait également des raisons de penser que la Chine soit impliquée à cause des antécédents du pays, mais surtout après que le fournisseur chinois XiongMai a avoué que ses appareils ont été détournés pour lancer l’attaque. XiongMai a décidé de rappeler ses produits vulnérables, alors que les médias et certains chercheurs en sécurité accusaient l’entreprise d’être la principale source des dispositifs non sécurisés qui ont été utilisés dans l’attaque. Il faut également noter qu’avec l’aveu du fabricant chinois de composants électroniques, c’était également l’occasion pour certains d’indexer implicitement la Chine, ce qui aurait poussé le ministère chinois de la Justice à se saisir de l’affaire, en menaçant de poursuivre tous les accusateurs occidentaux en justice.

Pendant ce temps, le groupe de hackers baptisé New World Hackers a revendiqué l’attaque DDoS contre Dyn, en expliquant qu’il s’agissait d’un « test de puissance » pour préparer une attaque contre la Russie, accusée d’être impliquée dans les cyberattaques contre les États-Unis. Le groupe, qui serait composé d’une trentaine de personnes réparties en Chine, en Russie et en Inde, a déjà par le passé revendiqué des attaques similaires contre l’État islamique de l’Irak et de la Syrie.

Si New World Hackers est vraiment à l’origine de cette attaque, on peut se demander s’il est parrainé par un État particulier. Mais vu son intention d’attaquer la Russie, on pourrait affirmer qu’il n’est pas parrainé par l’État russe. Il semble d’ailleurs que l’attaque ne serait liée à aucun État, d’après James Clapper, le coordinateur du renseignement américain.

Au cours d'une conférence du centre de recherche Council on Foreign Relations (CFR), celui qui chapeaute toutes les agences américaines du renseignement a été interrogé par le modérateur pour savoir si l’attaque a été lancée par un acteur non étatique. « L’enquête est toujours en cours. Il y a beaucoup de données à amasser », a-t-il répondu dans un premier temps. Il finit toutefois par lâcher le morceau quand la question lui a été posée pour la deuxième fois et avoue que les premières conclusions tendent à faire croire qu’il ne s’agit pas d’un État. « Oui », a-t-il répondu lorsque la question lui a été posée à nouveau. « Mais je ne voudrais pas conclure de façon définitive là-dessus. C’est une première estimation ». Et de poursuivre : « Nous avons ce contraste entre les cyberacteurs les plus sophistiqués, du niveau des États, qui sont clairement la Chine et la Russie, mais qui ont peut-être des intentions plus bénignes. Et puis vous avez d’autres pays qui ont des intentions plus néfastes. Et ensuite arrivent les acteurs non-étatiques qui sont encore plus malsains ».

Sources : L’Express, CBS News

Et vous ?

:fleche: Qu’en pensez-vous ?

Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation HTTP,
première piste de défense active

Il y a quelques semaines, le code source de Mirai a été publié. Depuis, les attaques s’appuyant sur le logiciel malveillant, capable de créer des réseaux de zombies d’objets connectés pour lancer des attaques DDoS, se sont multipliées. Certaines ont été couronnée de succès, comme l’attaque qui a frappé Dyn, un fournisseur de service DNS, qui a entraîné la perturbation de l’accès à de nombreux sites internet populaires en termes de trafic pendant des heures (PayPal, Twitter, GitHub, Netflix, Spotify, pour ne citer que ceux-là).

Le weekend dernier, Scott Tenaglia, le directeur de la recherche chez Invincea, a expliqué que le laboratoire s’est lancé dans l’étude de ce logiciel malveillant pour en exposer les failles : « les attaquants exploitent souvent de failles dans les logiciels pour installer leurs outils sur les systèmes. Lorsque ces outils sont sur des dispositifs IdO, les choses deviennent plus compliquées parce que les attaquants ont accès à plus de dispositifs que nous. Alors pourquoi ne pas utiliser leur propre stratégie contre eux ? ». « C’est la première d’une série de publications qui va exposer les vulnérabilités de Mirai et montrer comment s’en servir pour stopper les attaques », a-t-il promis.

Pour commencer, il estime qu’il est important de comprendre comment Mirai initialise une attaque afin de comprendre les implications de l'exploitation des vulnérabilités dans le code d'attaque. Ci-dessous le code de la fonction attack_start() telle qu’écrite dans bot/attack.c :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

void attack_start(int duration, ATTACK_VECTOR vector, uint8_t targs_len, struct attack_target *targs, uint8_t opts_len, struct attack_option *opts) { int pid1, pid2;   pid1 = fork(); if (pid1 == -1 || pid1 > 0) return;   pid2 = fork(); if (pid2 == -1) exit(0); else if (pid2 == 0) { sleep(duration); kill(getppid(), 9); exit(0); } else { int i;   for (i = 0; i < methods_len; i++) { if (methods[i]->vector == vector) { #ifdef DEBUG printf("[attack] Starting attack...\n"); #endif methods[i]->func(targs_len, targs, opts_len, opts); break; } }   //just bail if the function returns exit(0); } }

---

Les lignes 5 à 7 font un fork d’un processus enfant qui sera responsable de l'attaque. Les lignes 9 à 16 font un fork d’un autre processus enfant qui va arrêter l'attaque après la durée spécifiée, simplement en la mettant en sommeil sur cette durée puis en terminant le processus parent lorsqu’il tente de s’exécuter à nouveau. Enfin, le processus d'attaque appelle le gestionnaire de fonction correcte pour l'attaque spécifiée (lignes 22 à 32), puis effectue un exit (ligne 35). Cela signifie que si le processus d'attaque se bloque, alors l'attaque s'arrêtera mais le bot lui-même restera fonctionnel.

Par la suite le chercheur indique avoir trouvé une vulnérabilité stack buffer overflow dans le code de l’attaque par inondation HTTP. Lorsque cette vulnérabilité est exploitée, elle va provoquer un « signal de violation de segmentation » (SIGSEGV, un signal envoyé à un processus lorsque celui-ci fait référence à une zone de mémoire invalide, par exemple parce qu'elle ne lui appartient pas. Une interruption est alors déclenchée et interrompt le programme). Le SIGSEGV va donc interrompre le processus et par conséquent arrêter l’attaque du bot. « La vulnérabilité du code est tributaire de la façon dont Mirai traite l'emplacement en-tête HTTP qui peut faire partie de la réponse HTTP envoyée depuis une requête d’inondation HTTP », explique-t-il. Elle réside dans la fonction attack_app_http () du bot / attack_app.c, et se présente comme suit :

Code:

---

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25

int offset = util_stristr(generic_memes, ret, table_retrieve_val(TABLE_ATK_LOCATION_HDR, NULL)); if (generic_memes[offset] == ' ') offset++;   int nl_off = util_memsearch(generic_memes + offset, ret - offset, "\r\n", 2); if (nl_off != -1) { char *loc_ptr = &(generic_memes[offset]);   if (nl_off >= 2) nl_off -= 2; generic_memes[offset + nl_off] = 0;   //increment it one so that it is length of the string excluding null char instead of 0-based offset nl_off++;   if (util_memsearch(loc_ptr, nl_off, "http", 4) == 4) { //this is an absolute url, domain name change maybe? ii = 7; //http(s) if (loc_ptr[4] == 's') ii++;   memmove(loc_ptr, loc_ptr + ii, nl_off - ii);

---

Pour commencer, supposons que l’en-tête de l’emplacement est quelque chose de simple comme http://google.com\r\n.

Les lignes 1 à 3 du code ci-dessus cherchent l’emplacement de l'en-tête de l'emplacement et mette l’indice du début d l’URL (notamment le caractère “h”) dans la variable offset. Ensuite, les lignes 5 à 15 s’occupent de mettre l’index “\ r \ n” qui termine l’URL dans la variable nl_off. Tenagila précise qu’il est important de noter qu’il s’agit d’un index de base zéro (une façon de numérotage qui voudrait que le premier élément d’une séquence soit associé à “0” au lieu de “1”. L’élément initial dans ce cas est donc appelé “élément zéro” au lieu de “premier élément”) de l’URL et PAS du début de l’emplacement de l’en-tête ou du buffer generic_memes.

Dans la ligne 25, l’appel de memmove tente d’enlever le "http: //" de l'URL en déplaçant simplement ce qui vient après vers la gauche de 7 caractères. C’est la raison pour laquelle la variable ii est fixée à 7 sur la ligne 20. Dans le cas que nous étudions, nl_off vaut 18, ce qui signifie que le paramètre len de memmove est 11 (nl_off - ii, soit 18 - 7).

Code:

---

memmove(loc_ptr, loc_ptr + 7, 11);

---

Ce qui contribue à déplacer “google.com” (une chaîne de 10 caractères plus un caractère de fin de chaîne) vers la gauche de 7 caractères. Cependant, si l’entête de location était http\r\n. Alors nl_off vaut 5, ce qui signifie que le paramètre lenvaut -2 (nl_off - ii, soit 5 - 7). Étant donné que le paramètre len est traité comme un entier non signé (à savoir de type size_t), alors -2 sera traité comme un entier positif très large, 0xFFFFFFFE. Par conséquent, memmove va inonder le buffer generic_memes et corrompre une bonne partie de la mémoire.

Pour vérifier leur supposition, les chercheurs se sont servi de trois machines virtuelles où Mirai a été déployé et le programme a effectivement reçu un SIGSEGV comme le montre le montre la capture d’écran ci-dessous.

http://www.developpez.com/public/ima...tp-SIGSEGV.png

« Ce simple “exploit” est un exemple de défense active contre un botnet IdO pouvant être utilisé par tout service d’atténuation d’attaque DDoS pour se défendre contre une attaque Mirai par inondation HTTP en temps réel », a conclu Tenaglia. Il prévient toutefois que « bien qu’il ne peut pas être utilisé pour enlever le bot d’un dispositif IdO, il peut être utilisé pour stopper l’attaque en provenance de ce dispositif ».

Il regrette néanmoins que cet exploit ne soit spécifique qu’aux attaques par inondation HTTP et n’aurait donc pas pu servir à défendre Dyn. Quoiqu’il en soit, d’autres publications dans ce sens sont attendues.

Mirai est l’une des plus dangereuses familles de botnets avec plus de 791 000 zombies à sa disposition et uniquement sur le port 23 d’après des statistiques de Qihoo 360.

http://www.developpez.com/public/ima...vite-mirai.png

Source : blog Invincea, Qihoo 360

De mon point de vue, si je mets la sécurité cela les rend invulnérable.

Bon, il va falloir isoler et nettoyer relativement vite. Avant de blinder.

donc en clair on a un chercheur en sécurité qui a trouvé -ô exploit- un overflow dans le code moisi d'un botnet, autant dire qu'il bosse dur :aie:
et avec cette vuln on peut désormais stopper le botnet... ou en prendre le contrôle pour avoir un botnet encore plus grand, tout dépend qui arrive en premier sur la machine avec son sploit :lol:

Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...

Citation:

---

Envoyé par chrtophe

Les objets connectés sont un vrai problème. Comment voulez-vous que le quidam gère la sécurité sur un téléviseur, un frigo, le jouet du gosse ? etc.

---

Une appli sur smartphone en 'boucle locale' ?

Citation:

---

Envoyé par marsupial

Une appli sur smartphone en 'boucle locale' ?

---

la boucle locale c'est ce qu'on appelle en anglais le "loopback", et par définition ça ne sort pas de la carte réseau, peu de chances d'atteindre le micro-onde donc

je pense que chrtophe devait plus probablement faire référence au fait que le quidam n'y connait rien à la sécurité, donc même si on lui donne une interface c'est pas ce qui lui donnera les bons réflexes à avoir ou changera ses habitudes

C'est vraiment trop génial voir le code source d'un bot. Comme quoi ces des programmeurs comme nous, ils se mettent des commentaires, écrivent du code selon leur style, tout comme nous

Citation:

---

Envoyé par codec_abc

Est-ce vraiment utile ? Parce que l'information a été rendu publique. Il suffit pour les pirates de recompiler le code avec le bug fix. Et donc cette méthode de défense active tombe à l'eau...

---

Cette faille est coté client, pour la corriger, il faut mettre à jour les ~800k machines infectées. C'est pas simple, surtout si le truc n'a pas été pensé pour permettre les mises à jour.
Il n'y a par contre aucun doute que le bug est corrigé, pour les prochaines victimes.

Bouble locale radio évidemment, pas le loopback ;)

Parce-que le bluetooth bonjour la passoire :P

Linux/IRCTelnet, un nouveau malware pour succéder à Mirai
qui pourrait avoir infecté environ 3500 appareils connectés en cinq jours

La récente vague d’attaques DDoS lancées contre les services du fournisseur DNS Dyn a montré que les objets connectés peuvent être utilisés pour mettre en mal le réseau internet mondial. Avec la prolifération de ces dispositifs connectés, c’est une armée potentielle de bots qui se déploie sur la toile. Et depuis que le code source de Mirai a été rendu public, il semble que les pirates ont tout ce qu’il faut pour lancer des attaques DDoS de grande ampleur.

Sur le site Malware Must Die, des chercheurs en sécurité ont publié un rapport sur un nouveau malware capable de créer des botnets d’objets connectés en s’attaquant aux périphériques IoT (routeurs, systèmes d'éclairage intelligents, caméras de surveillance, etc.) qui utilisent des informations d'identification par défaut ou codées en dur. Pour être plus sophistiqué, ce nouveau malware exploite les codes source de différents autres botnets IoT.

Baptisé Linux/IRCTelnet, le nouveau malware est d’abord basé sur le code source du botnet Aidra. Aidra est l’un des premiers botnets d’objets connectés connus qui, dans le passé, a infecté des périphériques connectés à Internet, y compris des systèmes embarqués, pour effectuer des attaques DDoS. Linux/IRCTelnet utilise également la fonction de scanner Telnet d'un autre bot d’objets connectés connu sous le nom de Bashlight. Et pour détourner les appareils connectés à internet, il utilise les combinaisons de mots de passe et nom utilisateur fournies dans le code source de Mirai, le malware qui a été utilisé dans l’attaque contre Dyn.

« Le malware (le client bot) est conçu pour viser le périphérique IoT via le protocole Telnet », indiquent les chercheurs. Ils affirment également que le botnet utilise différents mécanismes d’attaques comme les inondations UDP (User Datagram Protocol) qui consistent à envoyer un grand nombre de paquets UDP depuis des adresses source usurpées à des ports aléatoires sur un hôte ciblé. Il peut employer bien d’autres méthodes d'attaque, à la fois à travers les protocoles IPv4 et IPv6.

D’après les chercheurs, il pourrait avoir infecté 3500 appareils connectés en seulement 5 jours. Il faut toutefois noter que comme la plupart des bots IoT, Linux/IRCTelnet n'est pas persistant. En d’autres termes, un simple redémarrage pourrait permettre d’effacer le malware sur les appareils infectés. Mais, c’est une solution éphémère puisqu’ils pourront être infectés à nouveau. En effet, une fois qu'un périphérique est infecté, son adresse IP est stockée afin que l’attaquant puisse le réinfecter s'il perd le contact avec le canal de commande et de contrôle. Il faudrait donc prendre des mesures plus efficaces qu’un simple redémarrage, en commençant par exemple par un changement des identifiants de connexion.

Linux/IRCTelnet pourrait être le début d’une nouvelle génération de malwares qui pourraient transformer l’internet des objets en internet des menaces, surtout avec la prolifération des appareils connectés à internet qui par défaut sont sans défense contre ces menaces.

Source : Malware Must Die

Et vous ?

:fleche: Qu’en pensez-vous ?

Voir aussi :

:fleche: Un bogue dans le code source de Mirai pourrait permettre de mettre fin aux attaques par inondation http, première piste de défense active
:fleche: Le malware Mirai, qui peut créer des botnets d'objets connectés, utilise des gateway Sierra Wireless, qui exhorte à changer les MdP par défaut
:fleche: Le code source du malware Mirai, qui est responsable de l'attaque DDoS de 620 Gbps lancée contre Krebs, a été publié en ligne

C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention. :)

Pour quand le protocole de sécurité sur internet ? Parce-que https ne suffit visiblement pas quand bien même les sites commerciaux se croient protégés avec :ptdr:

Citation:

---

Envoyé par Iradrille

C'est plutôt cool ces attaques quand même.

Cette mode de tout connecter et de ne rien sécuriser est dangereuse (sans même parler du coté collecte de données).
Ces attaques arrivent au bon moment pour faire prendre conscience au gens qu'ils jouent avec le feu et que les industriels les prennent pour des cons en leur vendant de la merde.

Pour l'instant rien de méchant (en espérant que ça dure...); mais ça fait de la prévention. :)

---

C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent :ptdr: )
Dommage que les médias grand-public n'en parlent pas vraiment...

Les opérateurs de Mirai ont presque fait plier les services internet d'un pays,
qui disposait d'un point unique de défaillance à l'accès internet

Après la publication du code source de Mirai, plusieurs membres de la communauté des experts en sécurité se sont inquiétés de voir une augmentation de l’utilisation de ce logiciel malveillant capable de créer un réseau de zombies d’objets connectés pour lancer des attaques DDoS. Peu de temps après, une attaque a été lancée contre Dyn, un fournisseur de service DNS, qui a entraîné la perturbation de l’accès à de nombreux sites internet populaires en termes de trafic pendant des heures (PayPal, Twitter, GitHub, Netflix, Spotify, pour ne citer que ceux-là).

Cette fois-ci, c’est un autre botnet Mirai, Mirai Botnet 14, qui a été utilisé dans une attaque lancée contre le Libéria, un petit pays situé en Afrique de l’Ouest. Kevin Beaumont, un chercheur en sécurité, explique « qu’au courant de la semaine dernière, nous avons assisté à des attaques de courte durée sur les infrastructures contre la nation libérienne. Le Libéria dispose d’un câble Internet, installé en 2011, qui fournit un point unique de défaillance à l'accès à Internet. De ce que nous avons pu observer, les sites hébergés dans le pays ont été mis hors ligne pendant les attaques - en outre, une source dans le pays travaillant pour une Télécom a confirmé à un journaliste qu'ils ont vu la connectivité internet devenir intermittente à des moments qui coïncident avec l'attaque. Ces attaques sont extrêmement inquiétantes car elles suggèrent qu’un opérateur de Mirai, disposant de capacité suffisante, peut avoir un impact sérieux sur les systèmes à l’échelle d’un État ».

De plus, il estime qu’étant donné le volume du trafic, il est probable que ce soit les personnes derrière l’attaque contre Dyn qui ont également lancé cette attaque contre le Libéria.

http://www.developpez.com/public/ima...ue-liberia.png

Les attaques étaient reportées au même moment par le compte Twitter @MiraiAttacks qui a été ouvert par MalwareTech.com, un spécialiste en sécurité qui surveille également les activités de Mirai. Le botnet n’a pas manqué de s’attaquer à ses propres infrastructures comme il l’a signalé sur le même compte Twitter ainsi qu’une entreprise tierce qui a noté l’attaque. Beaumont explique que « tandis que je faisais des tweets en live sur ces problèmes générés par Mirai, voici le message qui a été envoyé par le botnet » :

http://www.developpez.com/public/ima...fear-mirai.png

À cause de ce message subtil qui lui a été envoyé, Kevin a baptisé Botnet 14 « Shadow Kill ».

Avec une guerre civile qui a durée plus d’une décennie, le Libéria a vu ses infrastructures de télécommunication ravagées et, à ce moment-là, seule une très petite portion des citoyens avait accès à Internet via une communication par satellite.

Toutefois, certains progrès ont été réalisés plus tard en 2011, lorsque le câble de fibre optique sous-marin ACE (Africa Coast to Europe) de 17 000 km a été déployé à des profondeurs avoisinant les 6000 mètres sous le niveau de la mer de la France au Cap, via la côte ouest de l'Afrique. Pour rappel, il s'agit un projet au long cours, mené par un consortium international piloté par Orange, qui y a impliqué ses filiales africaines.

En décembre 2012, le premier tronçon, d’une longueur de 12000 km, desservait déjà 18 pays : la France, le Portugal, les Îles Canaries, la Mauritanie, le Sénégal, la Gambie, la Guinée, la Sierra Leone, le Liberia, la Côte d’Ivoire, le Bénin, le Ghana, le Nigéria, la Guinée Equatoriale, le Gabon et Sao Tomé & Principe. Le Mali et le Niger, deux pays sans façade maritime, ont été connectés grâce à un prolongement terrestre.

Le second tronçon, d’une longueur de 5000 km, relie désormais l’île de Sao Tomé et Principe, dans le golfe de Guinée, et Le Cap en Afrique du Sud. C’est donc bien un total de 17 000 km de fibres optiques qui apportent désormais la connectivité Internet à toute la façade Atlantique du continent africain, en incluant le Cameroun, la République Démocratique du Congo, l'Angola, la Namibie et l'Afrique du Sud.

Pourquoi avoir attaqué le Libéria ? Les hypothèses sont nombreuses. Mais l’une d’elle émane d’un chercheur en sécurité qui estime que le botnet s’attaque à de petits pays peu connus qui peuvent être un camp d’entraînement idéal pour tester les armes dont dispose Mirai à une plus grande échelle. Certains experts pensent que les futures attaques de Mirai pourraient atteindre les 10 Tbps, soit des attaques bien plus violentes que le pic record qui a été observé contre OVH qui était de 1,5 Tbps.

Source : billet Kevin Beaumont

Voir aussi :

:fleche: OVH victime de la plus violente attaque DDoS jamais enregistrée, par un botnet de caméras connectées qui n'étaient pas sécurisées

Citation:

---

Envoyé par Kirisute Gomen

C'est triste à dire, mais c'est vrai que ces attaques vont montrer aux gens que l'informatique c'est dangereux et jamais totalement sécurisé. (et on ne parle pas des téléphones qui explosent :ptdr: )
Dommage que les médias grand-public n'en parlent pas vraiment...

---

Tout comme un électricien/électronicien qui ne connaît pas la mécanique concevant une voiture fera de gros dégats. Comparativement à ces disciplines, l'informatique est encore jeune et pleine de "mystères" jalousement secret pour des raisons X ou Y plus ou moins éthiques. Il n'y a pas de religions, juste des origines applicatives qui font que la conception peut prêter à sourire ou facher, c'est selon. Nul n'est parfait et on ne peut pas penser à tout dans un domaine neuf. Sauf lorsque des livres d'anticipation ont prévenu. Pour la plupart d'origine anglo-saxonne.

"Chacun doit rester conscient qu'il ne sait rien."

Techniquement, je me pose une question ou deux.
Pourquoi cet angle d'attaque ?
Pourquoi est-il connu ?

Je ne réfléchis pas trop aux diverses réponses qui s'offrent; par contre, j'ai des doutes.

Voilà la lune noire dont rêvait les américains. Au moins celle-ci ne fait pas de morts. Pour l'instant.
Par contre, ce coup-ci, le(s) opérateur(s) ont tapé là où tous les informaticiens s'interdisent tous de taper : le réseau internet.

edit : media mainstream qui a fait plus de bruit que les impôts que ne paient pas Apple.

Citation:

---

Envoyé par Stéphane le calme

Pourquoi avoir attaqué le Libéria ? Les hypothèses sont nombreuses. Mais l’une d’elle émane d’un chercheur en sécurité qui estime que le botnet s’attaque à de petits pays peu connus qui peuvent être un camp d’entraînement idéal pour tester les armes dont dispose Mirai à une plus grande échelle. Certains experts pensent que les futures attaques de Mirai pourraient atteindre les 10 Tbps, soit des attaques bien plus violentes que le pic record qui a été observé contre OVH qui était de 1,5 Tbps.

---

Çà semble logique : test et/ou menace.

Si le but était de couper le net au Libéria, une attaque physique serait bien plus efficace : il n'y a qu'un câble à couper.

L'article de Brian Krebs sur l'attaque sur le Liberia est très intéressante : https://krebsonsecurity.com/2016/11/...beria-offline/

Pour ceux qui ont la flemme de lire :

Citation:

---

“Neither @dynresearch nor @akamai_soti have data supporting the assertion that Liberia suffered a national outage,” tweeted Dyn’s Doug Madory.
To recap: Did a Mirai botnet attack an infrastructure provider in Liberia? No question. Is the IoT problem bad enough that we have to worry about entire countries being knocked offline? Quite possibly. Was there an outage that knocked the country of Liberia offline this week? I have yet to see the evidence to support that claim.

---