Mirai : la police britannique arrête un suspect dans le hack de 900 000 routeurs allemands

Un homme de 29 ans a été arrêté au Royaume-Uni le 22 février. Il est soupçonné d'avoir piloté un réseau de routeurs infectés par Mirai, dont près d'un million de l'opérateur allemand Deutsche Telekom. Une arrestation qui ne règle pas les problèmes importants liés à la sécurité des objets connectés.

En novembre dernier, plus de 900 000 routeurs de l'opérateur allemand Deutsche Telekom étaient touchés par une variante du botnet Mirai. Résultat : de forts ralentissements, voire la coupure de certains services en ADSL. Trois mois plus tard, un suspect est aux mains de la police. Dans un communiqué du 23 février, l'Office fédéral allemand de police criminelle (BKA) annonce l'arrestation d'un suspect la veille à midi au Royaume-Uni.

Une extradition vers l'Allemagne prévue

La National Crime Agency (NCA) britannique a ainsi mis la main sur un ancien ressortissant de 29 ans, ici accusé de sabotage informatique. Cela sur la base d'un mandat d'arrêt émis par le procureur de Cologne, en collaboration avec le BKA et Europol. La justice allemande prépare d'ailleurs son extradition. La peine encourue en Allemagne est de six mois à dix ans de prison, selon la gravité du piratage.

Dans son communiqué, le BKA affirme qu'un million de routeurs ont été touchés, alors que l'opérateur avait confirmé que 4 à 5 % de son parc de 20 millions de foyers était touché (donc entre 900 000 et un million). Par bonheur, le botnet pouvait disparaître après un simple redémarrage de l'appareil. Un comportement non-voulu et rappelant celui de Linux/Moose, qui ne reste que temporairement sur les appareils infectés, pour éviter toute suspicion (voir notre analyse).

Deutsche Telekom proche de « l'ANSSI » allemande

Début décembre, c'étaient plus de 100 000 routeurs de trois fournisseurs d'accès britanniques qui étaient touchés. À une semaine d'écart, les deux vagues d'infection semblaient d'autant plus similaires. Interrogés fin novembre, des opérateurs français nous affirmaient ne pas être concernés par ces problèmes, ayant déjà pris des mesures en amont pour s'en prémunir, avant ou peu après l'épisode de Deutsche Telekom.

D'ailleurs, Deutsche Telekom s'est rapproché de l'équivalent allemand de l'ANSSI, l'Office fédéral de la sécurité des technologies de l'information (BSI), pour contribuer à l'enquête. Pour mémoire, les opérateurs télécoms français sont considérés comme des opérateurs d'infrastructure vitale, donc en lien avec l'agence de sécurité.

La sécurité des objets connectés toujours en question

Dans l'absolu, ces infections massives ont été permises par deux problèmes importants. Le premier est la fuite du code de Mirai début octobre, qui a permis l'éclosion de nombreuses variantes, dont celle qui a touché les routeurs de Deutsche Telekom. Moins d'un mois plus tard, plus de 500 000 appareils étaient encore contaminés.

Le second problème est la sécurité des objets connectés, encore très limite. Fin octobre, un fabricant chinois de caméras IP avait lancé un rappel massif de ses produits, comportant un mot de passe en dur dans le code. Même des marques connues, comme D-Link et Netgear, ne sont pas à l'abri de failles importantes dans leurs systèmes, comme ils nous l'ont prouvé ces derniers mois.

Le principal fait d'armes du botnet originel est l'attaque contre le service DNS Dyn, fin novembre, qui a causé de nombreuses indisponibilités de sites, majoritairement outre-Atlantique (voir notre analyse).

Début novembre, à l'occasion de la Botconf 2016, l'ANSSI nous expliquait que l'heure en était encore aux discussions avec les acteurs du secteur. La piste réglementaire n'est donc pas la priorité, même si l'État se laisse toujours la possibilité d'user de la carotte (comme des normes européennes) ou du bâton pour imposer une sécurité minimale pour les machines en circulation dans l'Hexagone.