Alerte sur Mirai, le malware créant des botnets d'objets connectés

Alerte sur Mirai, le malware créant des botnets d’objets connectés

Des équipements pratiquement offerts aux menaces

Avatar de l'auteur

Vincent Hermann

Publié dansInternet

17/10/2016
27
Alerte sur Mirai, le malware créant des botnets d'objets connectés

Le malware Mirai s’en prend aux passerelles cellulaires, habituellement utilisées pour connecter certains équipements à Internet. Il est à l’origine de quelques-unes des plus vastes attaques distribuées par déni de service jamais enregistrées. Il fleurit malheureusement là où les consignes élémentaires de sécurité ne sont pas respectées.

Un signal d’alarme a été tiré jeudi dernier par l’ICS-CERT (Industrial Control Systems Cyber Emergency Response Team). Dans son bulletin, l’équipe indique que le constructeur Sierra Wireless est touché par un malware du nom de « Mirai ». Ses passerelles cellulaires AirLink sont attaquées et, une fois contaminées, sont capables de réunir une foule d’appareils connectés pour en faire une armée. En d’autres termes, un botnet d’objets connectés.

Ce sont plus précisément les modèles LS300, GX400, GX/ES440, GX/ES450 et RV50 qui sont concernés. Dans son propre bulletin de sécurité, Sierra Wireless indique que les infections réussissent quand l’interface de contrôle ACEmanager est utilisée sans que le mot de passe par défaut n’ait jamais été changé. Une règle de sécurité pourtant élémentaire en entreprise.

Des mots de passe par défaut non modifiés

L’entreprise indique : « Sierra Wireless a confirmé les rapports selon lesquels le malware Mirai infecte les passerelles AirLink utilisant le mot de passe par défaut d’ACEmanager et accessibles depuis Internet ». En utilisant la fonctionnalité de mise à jour du firmware, Mirai récupère une version vérolée qui simplifie ensuite les opérations de contrôle, donc d’attaque.

Les conseils sont donc simples pour les entreprises qui utilisent des produits Sierra Wireless, et plus globalement n’importe quel produit du même acabit. Le changement du mot de passe par défaut est la priorité. Le constructeur indique que les administrateurs doivent vérifier l’ensemble des accès extérieurs et couper tout ce qui n’est pas nécessaire, pour réduire la surface d’attaque. Si de tels accès sont requis, il conseille d’utiliser la redirection de ports, et surtout pas les fonctions DMZ Host et Public Mode.

La présence du malware se signale quant à elle de plusieurs manières, notamment un trafic anormal sur le port TCP 23. Le port TCP 48101 est utilisé par le malware pour tout ce qui touche aux instructions, émises et reçues. Si la passerelle est utilisée pour une attaque DDoS, le trafic sortant sera bien sûr très élevé. Pour information, OVH a indiqué que lors des plus fortes attaques de ces dernières semaines, des pics de 1 Tb/s avaient été enregistrés. Il rappelle également, tout comme Ars Technica récemment, que si Mirai a beaucoup été mis en avant, un autre malware – Bashlite – participait lui aussi aux manoeuvres. 

D'autres rapports à prévoir

Cela fait environ un mois que Mirai sévit, avec une intensification probable à prévoir, due à la publication de son code source il y a deux semaines. Actuellement, les estimations font état d’au moins 1,2 million d’appareils contaminés, chacun pouvant contrôler un parc d’autres appareils, puisque ces passerelles sont notamment utilisées dans les chaines industrielles, les caméras de sécurité, etc.

En outre, il est probable que si Mirai réussit ce type de contrôle, d’autres malwares peuvent en faire autant, non seulement sur les produits Sierra Wireless, mais également sur d’autres équipements du même acabit. Il ne serait donc pas étonnant de voir arriver d’autres bulletins de sécurité dans les jours et semaines qui viennent

27
Avatar de l'auteur

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Et bonne nuit les petits

00:04 Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

13:40 Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

11:47 Next 43

Sommaire de l'article

Introduction

Des mots de passe par défaut non modifiés

D'autres rapports à prévoir

#LeBrief : faux avis sur Internet, enquêtes sur l’accord Microsoft et OpenAI, cybersécurité aux États-Unis

Un mélange entre une réunion d’Anonymous et de tête d’ampoules, pour le meilleur et le pire

652e édition des LIDD : Liens Intelligents Du Dimanche

Next 8
dessin de Flock

#Flock distribue des mandales tous azimuts

Flock 14
Un Sébastien transformé en lapin par Flock pour imiter le Quoi de neuf Docteur des Looney Tunes

Quoi de neuf à la rédac’ #11 et résumé de la semaine

Next 43
Carte graphique AMD GeForce

Cartes graphiques : 30 ans d’évolution des GPU

Hard 24

Google lance son opération de communications Gemini pour rivaliser avec OpenAI

IA 6
Ecran bleu de Windows

Linux : le composant systemd se dote d’un écran bleu de la mort

Soft 41
Une petite fille en train d'apprendre à programmer et hacker logiciels et appareils électroniques

Un roman graphique explique les logiciels libres aux enfants

SoftSociété 21
Nouveautés pour Messenger

Meta lance (enfin) le chiffrement de bout en bout de Messenger, entre autres

Socials 5

#LeBrief : cloud européen, OSIRIS-REx a frôlée la catastrophe, CPU AMD Ryzen 8040

Windows en 2024 : beaucoup d’IA, mais pas forcément un « 12 »

Soft 21
Einstein avec des qubits en arrière plan

Informatique quantique, qubits : avez-vous les bases ?

HardScience 9
Notifications iPhone

Surveillance des notifications : un sénateur américain demande la fin du secret

DroitSécu 17

En ligne, les promos foireuses restent d’actualité

DroitWeb 19

#LeBrief : modalité des amendes RGPD, cyberattaque agricole, hallucinations d’Amazon Q, 25 ans d’ISS

Logo Twitch

Citant des « coûts prohibitifs », Twitch quitte la Corée du Sud

ÉcoWeb 30
Formation aux cryptomonnaies par Binance à Pôle Emploi

Binance fait son marketing pendant des formations sur la blockchain destinées aux chômeurs

Éco 10
Consommation électrique du CERN

L’empreinte écologique CERN en 2022 : 1 215 GWh, 184 173 teqCO₂, 3 234 Ml…

Science 8
station électrique pour voitures

Voitures électriques : dans la jungle, terrible jungle, des bornes de recharge publiques

Société 78

#LeBrief : intelligence artificielle à tous les étages, fichier biométrique EURODAC

KDE Plasma 6

KDE Plasma 6 a sa première bêta, le tour des nouveautés

Soft 13
Un homme noir regarde la caméra. Sur son visage, des traits blancs suggèrent un traitement algorithmique.

AI Act et reconnaissance faciale : la France interpelée par 45 eurodéputés

DroitSociété 4
Api

La CNIL préconise l’utilisation des API pour le partage de données personnelles entre organismes

SécuSociété 3
Fouet de l’Arcep avec de la fibre

Orange sanctionnée sur la fibre : l’argumentaire de l’opérateur démonté par l’Arcep

DroitWeb 25
Bombes

Israël – Hamas : comment l’IA intensifie les attaques contre Gaza

IA 22

#LeBrief : bande-annonce GTA VI, guerre électronique, Spotify licencie massivement

Acheter sur Internet et payer avec sa carte bancaire

La DGCCRF traque les faux avis sur Internet avec son Polygraphe

ÉcoWeb 4

Logo OpenAI

Au Royaume-Uni et aux États-Unis, l’accord entre Microsoft et OpenAI à la loupe

Droit 0

Une main tenant de gros paquets de dollars

87 % des agences états-uniennes ne parviennent pas à respecter les normes de cybersécurité

DroitSécu 2

Florie Marie démissionne de la présidence du Parti Pirate International

Société 2

Commentaires (27)


Silenus
Le 17/10/2016 à 12h19

Et que dire de électroménager connecté dernier cri.

Bientot un botnet de frigo Laden ou de lave linge Samsumg <img data-src=" />


matroska
Le 17/10/2016 à 12h22

User : admin
Password : admin

<img data-src=" />


Glandos Abonné
Le 17/10/2016 à 12h24

C’est bien plus qu’une classe de matériel, mais c’est toujours le même principe : le mot de passe par défaut n’est pas changé. Et parfois, ce n’est pas de la faute du propriétaire, puisque même en changeant le mot de passe via l’interface Web proposée, ça ne change pas celui du système, toujours accessible en ssh ou en telnet.


Winderly Abonné
Le 17/10/2016 à 12h26


Il fleurit malheureusementlogiquement là où les consignes élémentaires de sécurité ne sont pas respectées.

<img data-src=" />


thomgamer
Le 17/10/2016 à 12h32

Les lave-linge Samsung ça sera un peu les kamikazes de l’armée des botnet.


Rufh
Le 17/10/2016 à 12h42

Tu veux parler de ça ?


ArchangeBlandin Abonné
Le 17/10/2016 à 12h51

Je l’ai toujours dit !&nbsp;<img data-src=" />

Je vais retourner prendre soin de mes objets non connectés…


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Le 17/10/2016 à 13h11

c’est ça de vouloir mettre du connecté partout et avoir des devs manchots


anonyme_751eb151a3e6ce065481d43bf0d18298
Le 17/10/2016 à 13h16






darkbeast a écrit :

c’est ça de vouloir mettre du connecté partout et avoir des devs manchots


Ce sont les devs qui doivent changer les mots de passe par défaut ?



anonyme_6d3c8325027b08b8beb8eb7f143f3660
Le 17/10/2016 à 13h19






ActionFighter a écrit :

Ce sont les devs qui doivent changer les mots de passe par défaut ?


ben ouais c’est le mec qui développe l’appli pour l’objet qui ne doit pas mettre un mot de passe de merde de base stou



anonyme_751eb151a3e6ce065481d43bf0d18298
Le 17/10/2016 à 13h24






darkbeast a écrit :

ben ouais c’est le mec qui développe l’appli pour l’objet qui ne doit pas mettre un mot de passe de merde de base stou


Si c’est le même pour tous, aucun intérêt <img data-src=" />

Il faudrait qu’il soit généré aléatoirement et fourni avec le matériel. Mais dans tous les cas, l’utilisateur doit toujours le changer dès réception, c’est la base de la sécurité.



matroska
Le 17/10/2016 à 13h24

Voilà.

<img data-src=" />


matroska
Le 17/10/2016 à 13h26

En gros il faudrait qu’à la première installation/configuration du matériel il soit obligé de modifier les identifiants/mot de passe par défaut sans quoi il serait impossible de pouvoir continuer l’installation.

<img data-src=" />


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Le 17/10/2016 à 13h33






ActionFighter a écrit :

Si c’est le même pour tous, aucun intérêt <img data-src=" />

Il faudrait qu’il soit généré aléatoirement et fourni avec le matériel. Mais dans tous les cas, l’utilisateur doit toujours le changer dès réception, c’est la base de la sécurité.


ça doit se faire comme pour les mots de passe ad t’as une case “changer à la première connexion” et il faut faire en sorte de ne pas pouvoir remettre les mot de passe



anonyme_751eb151a3e6ce065481d43bf0d18298
Le 17/10/2016 à 13h38






matroska a écrit :

En gros il faudrait qu’à la première installation/configuration du matériel il soit obligé de modifier les identifiants/mot de passe par défaut sans quoi il serait impossible de pouvoir continuer l’installation.

<img data-src=" />




darkbeast a écrit :

ça doit se faire comme pour les mots de passe ad t’as une case “changer à la première connexion” et il faut faire en sorte de ne pas pouvoir remettre les mot de passe


Cela ne change pas le problème si le bazar est accessible de base de l’extérieur en fonction de la conf réseau.

Bon après, faudrait vraiment pas avoir de bol de se faire attaquer entre le branchement et le changement de mot de passe, mais ça reste techniquement possible.

Par contre, un mot de passe par défaut totalement aléatoire et fourni avec le matériel évite tout ça, tout en permettant que le matériel soit utilisable dès installation.



anonyme_6d3c8325027b08b8beb8eb7f143f3660
Le 17/10/2016 à 13h41






ActionFighter a écrit :

Cela ne change pas le problème si le bazar est accessible de base de l’extérieur en fonction de la conf réseau.

Bon après, faudrait vraiment pas avoir de bol de se faire attaquer entre le branchement et le changement de mot de passe, mais ça reste techniquement possible.

Par contre, un mot de passe par défaut totalement aléatoire et fourni avec le matériel évite tout ça, tout en permettant que le matériel de soit utilisable dès installation.


Aussi mais bon comme ça va leur couter cher les fabricants préféreront mettre un mot de passe pourrit et reporter la faute sur l’utilisateur.



anonyme_751eb151a3e6ce065481d43bf0d18298
Le 17/10/2016 à 13h46






darkbeast a écrit :

Aussi mais bon comme ça va leur couter cher les fabricants préféreront mettre un mot de passe pourrit et reporter la faute sur l’utilisateur.


Oui, au bout d’un moment, t’es obligé de choisir entre pas cher et bien fait…

Après, quand tu laisses un équipement accessible de l’extérieur avec les identifiants par défaut, faut pas s’étonner qu’il finisse dans un botnet.



Col._Tatane Abonné
Le 17/10/2016 à 13h48

Il est plus que temps que les États légifèrent et mettent en place des règles de sécurité exigibles sur tout objet connecté.

On pourrait penser par exemple:

Interdiction des mots de passe par défaut,
Utilisation de mises à jour signées par le constructeur
Obligation de mise à jour sur les failles de sécurité pendant un temps déterminé

Tant que ça ne sera pas une norme légale on pourra toujours aller se brosser et laissera les serveurs connectés à Internet être victime de groupes utilisant des réseaux de zombies pour réaliser des attaques et des DDOS à volonté.


anonyme_6d3c8325027b08b8beb8eb7f143f3660
Le 17/10/2016 à 13h54






ActionFighter a écrit :

Oui, au bout d’un moment, t’es obligé de choisir entre pas cher et bien fait…

Après, quand tu laisses un équipement accessible de l’extérieur avec les identifiants par défaut, faut pas s’étonner qu’il finisse dans un botnet.


ouais mais là c’est un peu défaut de negligeance, que fait la hadopi ?



numerid Abonné
Le 17/10/2016 à 14h36

On ne rigole pas ! J’avais commencé par libre “bonnet” au lieu de botnet. Des bonnets dans un lave-linge ça n’a rien d’extraordinaire d’abord.


spamator
Le 17/10/2016 à 14h44

Il me semble avoir lu (je ne sais plusoù sinon je mettrais le lien <img data-src=" />
&nbsp;) que l’auteur du malware a publié son code source pcq il en avait assez profité.&nbsp;

&nbsp;Peut etre que je me trompe de malware mais ca en était un qui permettait de faire des botnets d’objets connectés.


Patch Abonné
Le 17/10/2016 à 14h45






numerid a écrit :

On ne rigole pas ! J’avais commencé par libre “bonnet” au lieu de botnet. Des bonnets dans un lave-linge ça n’a rien d’extraordinaire d’abord.

Par contre un bonnet libre… <img data-src=" /> <img data-src=" />



Fabz31
Le 17/10/2016 à 15h35

C’est dans le read.me du code source


Silly_INpact Abonné
Le 17/10/2016 à 15h55






Patch a écrit :

Par contre un bonnet libre… <img data-src=" /> <img data-src=" />


Les bonnets rouges? <img data-src=" />



numerid Abonné
Le 17/10/2016 à 16h11

Ah ! Poisse, voilà e qui arrive quand on ne se relit pas est libriste.


Patch Abonné
Le 17/10/2016 à 16h19






Silly_INpact a écrit :

Les bonnets rouges? <img data-src=" />

Ca dépend, ils sont libres? <img data-src=" />



Maxouime
Le 18/10/2016 à 07h38






Silenus a écrit :

Et que dire de électroménager connecté dernier cri.


Je sais:

AAAAAAAAAAAAAAAAAAAAAAAAAAAHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHHH !