Le malware Wifatch renforce la sécurité des objets connectés, mais dans quel but ?

Le malware Wifatch renforce la sécurité des objets connectés, mais dans quel but ?

Le feu par le feu ?

Avatar de l'auteur
Vincent Hermann

Publié dans

Logiciel

06/10/2015 5 minutes
48

Le malware Wifatch renforce la sécurité des objets connectés, mais dans quel but ?

Symantec a publié des informations au sujet d’un malware au comportement assez surprenant. Plutôt que de chercher à nuire à l’utilisateur de l’équipement connecté contaminé, il colmate des brèches et vise une meilleure sécurité. L’éditeur indique cependant que la méfiance reste de mise, ne serait-ce qu'à cause de la présence de portes dérobées.

Un malware qui cherche à mieux sécuriser l’équipement qu’il contamine : voilà ce sur quoi Symantec a mis la main. La société dispose de nombreux objets connectés qui servent de « pots de miel », autrement dit des pièges pour récolter spécifiquement des malwares afin de les analyser. L’un d’entre eux a fini par afficher des caractéristiques singulières. Il a été décrit pour la première fois en novembre de l’année dernière, mais il se répand actuellement de manière active.

Wifatch, le gentil malware

Nommé Linux.Wifatch, ou plus simplement Wifatch, il était considéré initialement comme un parmi tant d’autres. Les premières analyses ont livré cependant des résultats intéressants, voire surprenants. Il est ainsi écrit intégralement en langage de script Perl et peut viser plusieurs architectures matérielles en embarquant les interpréteurs adaptés pour chacune d’entre elles. Le code n’est pas masqué, et Symantec indique qu’à ce degré de sophistication, il ne peut s’agir que d’un choix du ou des auteurs.

Wifatch s’installe sur des appareils connectés (routeurs Wi-Fi, télévisions, etc.) en s’appuyant a priori sur des connexions dont les accès ne sont protégés que par de faibles identifiants. Mais une fois en place, il ne déclenche apparemment aucune action malveillante, ne contenant d’ailleurs aucun code de ce genre. C’est même le contraire : ses premiers gestes sont de débusquer certains malwares pour les supprimer et modifier la configuration de l’appareil pour le rendre plus sécurisé.

wifatch
Crédits : Symantec

Renforcer la sécurité et supprimer les autres malwares

Parmi les actions enregistrées, on note par exemple le déclenchement d’une demande obligeant l’utilisateur à choisir de nouveaux identifiants. Même si ce dernier peut ne pas faire preuve d’une grande originalité (c’est bien trop souvent le cas), cela permet au moins de ne pas laisser ceux par défaut. Quand Wifatch n’a qu’une marge de manœuvre limitée pour supprimer les autres malwares ou renforcer la sécurité, il peut lui arriver de programmer un redémarrage hebdomadaire de l’appareil pour réinitialiser sa configuration. Il va même jusqu’à stopper le service Telnet pour ne pas que d’autres malwares s’en servent.

Les objectifs du ou des auteurs semblent « nobles » à première vue, mais Symantec invite les utilisateurs à une grande méfiance. On ne peut pas enlever à Wifatch une caractéristique symptomatique : il s’installe comme un malware, en douce et donc sans que l’utilisateur ait son mot à dire. Il s’agit peut-être de la création d’un développeur ayant estimé que les constructeurs ne prenaient pas assez au sérieux la sécurité, mais Wifatch contient quoi qu’il en soit plusieurs portes dérobées. On ne sait donc pas en pratique ce qui peut être fait, mais un système de signatures permet de contrôler l’origine des ordres qui y sont envoyés.

Mieux vaut réinitialiser les appareils et en changer les mots de passe

Symantec estime que Wifatch est présent désormais dans plusieurs dizaines de milliers d’objets connectés. Presque un tiers d’entre eux se trouvent en Chine, 16 % au Brésil, 9 % en Inde et au Mexique, puis viennent le Vietnam, l’Italie, la Turquie, la Corée du Sud, les États-Unis et la Pologne. 83 % des objets touchés utilisent une architecture ARM, 10 % une MIPS et 7 % une SH4. Mais dans tous les cas, l’éditeur invite à la prudence : bien que l’auteur ait toutes les apparences d’un « hacker vigilant », rien ne permet d’affirmer qu’il ne s’agit pas d’un pirate aux intentions bien cachées, qui essaierait par exemple de faire de la place pour sa création avant de passer à l’attaque. En effet, même si les objets connectés comme les télévisions n’ont pas de nombreuses données personnelles à voler, ils peuvent être utilisés en masse pour déclencher de vastes attaques distribuées par déni de service (DDoS).

Du coup, pour s’en débarrasser, Symantec recommande de réinitialiser complètement l’appareil et sa configuration. Il reviendra alors à ses réglages d’usine, sans plus aucun malware installé. Après quoi, il faudra vérifier la présence d’une mise à jour du firmware puis changer les mots de passe par défaut, idéalement pour en choisir un assez complexe pour ne pas être deviné aisément. L’entreprise indique en attendant qu’elle gardera un œil sur ce petit logiciel surprenant.

Écrit par Vincent Hermann

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Wifatch, le gentil malware

Renforcer la sécurité et supprimer les autres malwares

Mieux vaut réinitialiser les appareils et en changer les mots de passe

Fermer

Commentaires (48)


Les applications légitimes pillent les données personnelles, traquent les utilisateurs et les malwares renforcent la sécurité <img data-src=" />


Un peu le monde à l’envers en effet <img data-src=" />


<img data-src=" />

&nbsp;



&nbsp;Bon à voir si ça un malabar après. <img data-src=" />








djludo61 a écrit :



Bon à voir si ça un malabar après. <img data-src=" />





Je crois que tu t’es fait hacker un mot dans ta phrase <img data-src=" />









ActionFighter a écrit :



Je crois que tu t’es fait hacker un mot dans ta phrase <img data-src=" />





Un peu comme l’auteur de l’article ?&nbsp; <img data-src=" />









Shadam a écrit :



Un peu comme l’auteur de l’article ?  <img data-src=" />





?



Je n’ai pas vu de mot manquant dans l’article ? Ou alors, c’est que je comprends définitivement plus rien à ce monde <img data-src=" />









djludo61 a écrit :



Bon à voir si ça un malabar après. <img data-src=" />





Tu pourrais attendre dix heures avant de picoler.



le coup du mot de passe… du coup je me demande pourquoi, au premier démarrage du bouzin (tv bidule, truc) ca ne demanderait pas justement de changer ce mdp pour un personnalisé, histoire au moins qu’il soit changé partout ?

quitte à ce que l’utilisateur le note dans la notice, mais au moins ce mdp serait changé…


On vit effectivement dans un monde à l’envers.

&nbsp;



&nbsp;Ce serait tellement bien si le malware visait vraiment à renforcer la sécurité du bousin qu’il infecte, mais on peut rêver. dans le meilleur des cas, le mec qui l’a fait était plein de bonnes intentions, mais il va se laisser tenter par les millions à gagner ou se fera lui même pirater, etc…

&nbsp;



&nbsp;Il manque en effet un mot dans la news, je l’ai signalé aussi :)


à la lecture de la démarche du mec, j’ai un peu pensé à Jésus II : “Vous allez finir par vous aimer les uns les autres, bordel de merde ?”

<img data-src=" />









Tohrnoriac a écrit :



le coup du mot de passe… du coup je me demande pourquoi, au premier démarrage du bouzin (tv bidule, truc) ca ne demanderait pas justement de changer ce mdp pour un personnalisé, histoire au moins qu’il soit changé partout ?

quitte à ce que l’utilisateur le note dans la notice, mais au moins ce mdp serait changé…





ça serait pas du luxe effectivement :/





…il était considéré initialement comme un malware parmi tant d’autres.








ActionFighter a écrit :



?



Je n’ai pas vu de mot manquant dans l’article ? Ou alors, c’est que je comprends définitivement plus rien à ce monde <img data-src=" />







c’est normal, un malware vient de l’ajouter



C’est quand même assez fort de café … La prudence reste de mise, mais ça interpelle …


petite coquille dans le début de l’article :

&nbsp;



&nbsp;”. L’un d’entre a fini par afficher des caractéristiques singulières. Il a été décrit pour la première fois&nbsp;en novembre de l’année dernière, mais il se répand actuellement de manière active.”

&nbsp;

&nbsp;il semble qu’il y ai un oubli de mot :

&nbsp;



“ . L’un d’entre eux a fini par afficher des caractéristiques singulières. Il a été décrit pour la première fois&nbsp;en novembre de l’année dernière, mais il se répand actuellement de manière active.”


L’agissement est totalement a l’encontre de la définition de malware.

Il fraudait plutôt employer un terme plus juste non ?


Un goodware du coup?

&nbsp;







ActionFighter a écrit :



Les applications légitimes pillent les données personnelles, traquent les utilisateurs et les malwares renforcent la sécurité <img data-src=" />





Pas mieux.

&nbsp;

&nbsp;

&nbsp;



<img data-src=" />


Wifatcheuh de con&nbsp;<img data-src=" />

On marche sur les pieds là.. Euh attend… Ah oui … On tête sur les mains là&nbsp;<img data-src=" />

&nbsp;

&nbsp;*

&nbsp;

&nbsp;Je suis en pestacle dans toutes les bonnes MJC de votre pays, 5€ l’entrée.


Amusante histoire digne d’un scénario de fiction. J’aime bien la mise en abime, terrorisons les terroristes.

Ceci dit, je comprend les reco de kapersky, le fait même qu’il n’y ait pas de comm de l’auteur sur sa bebete incite à la prudence. Il doit avoir une idée derrière la tête, le malin, et il semble assez dégourdi.









Northernlights a écrit :



L’agissement est totalement a l’encontre de la définition de malware.

Il fraudait plutôt employer un terme plus juste non ?





Goodware ? cleanware ? strangeware ?









Koxinga22 a écrit :



Goodware ? cleanware ? strangeware ?





<img data-src=" />



Strangeware c’est bien. <img data-src=" />



Parce que pour clean et good il faudrait être sûr qu’il n’y ait pas de mauvaises intentions, or vu qu’il y a des portes dérobées, on imagine que ce n’est pas pour faire de la maintenance active après.<img data-src=" />


Tient y’en a qui a joue a Plague Inc. mais avec des malwares !

&nbsp;

&nbsp;Après la phase infiltration, place à la contamination :p


C’est exactement ce que j’ai pensé!

&nbsp;



Mais partons du principe que ces gens sont “bien intentionnés”…

&nbsp;

C’est fou de se dire qu’il faut en arriver là pour que les gens commencent à faire de la sécurité chez eux. On va dire que de toute façon ça restera plus efficace qu’un Norton/Daubeton Pro-Virus <img data-src=" />



&nbsp;

Faut pas voir le mal partout… pareil c’est vraiment pour une bonne cause…


Si ça se trouve l’auteur du bidule s’était tout simplement écrit ça pour automatiser la sécurisation de son matos perso mais “la bête ” s’est échappée <img data-src=" />








Koxinga22 a écrit :



Goodware ? cleanware ? strangeware ?







Fakeware ?

<img data-src=" />



si on imagine que potentiellement il s’agit d’une sorte poupée russe avec un joli minois en apparence externe, &nbsp;ce pourrait être un tupperware&nbsp;<img data-src=" />








Guinnness a écrit :



Si ça se trouve l’auteur du bidule s’était tout simplement écrit ça pour automatiser la sécurisation de son matos perso mais “la bête ” s’est échappée <img data-src=" />





Ah, le joli scénario :)

Mais même d’un départ comme ça, Hollywood a trouvé des développements catastrophiques : “pour créer la protection parfaite, il faut créer le mal absolu” (Tony Stark et Ultron ; MI2:Belerophon & La Chimère ; Cybertraque:Contempt, etc)



Sommes nous en présence du mal ou de sa solution ?







JoePike a écrit :



Fakeware ?

<img data-src=" />





Voyons voir … il s’agit d’un soft qui touche des trucs important sans nous le dire, mais apparemment pour notre bien … Googleware ? Ah non trop proche du nom des montres connectées <img data-src=" />

Politiware ?







Vincent_H a écrit :



<img data-src=" />





Pour une perspective plus frenchie, j’hésite entre LoupSolitware et VerSolitware.



En fait je crois que j’ai trouvé



C’est lemondealenware



<img data-src=" />


A une époque les hackers qui prenaient le contrôle d’un serveur commençaient par le sécuriser … pas par philanthropie mais histoire d’avoir les coudés franches et de garder le contrôle du serveur en évitant qu’un autre gus vienne pourrir la machine.

&nbsp;

&nbsp;Je dirai attention à la backdoor donc :p


oh c’est bon çà … dur mais direct !








Skywa a écrit :



A une époque les hackers qui prenaient le contrôle d’un serveur commençaient par le sécuriser … pas par philanthropie mais histoire d’avoir les coudés franches et de garder le contrôle du serveur en évitant qu’un autre gus vienne pourrir la machine.

&nbsp;

&nbsp;Je dirai attention à la backdoor donc :p





Il est clairement dit “le code n’est pas masqué”.&nbsp; Après, je me demande bien comment il debuggent les objets connectés&nbsp;<img data-src=" />. Au pire il y a l’analyse statique mais bon.

&nbsp;

Si il y avait vraiment un mauvais comportement caché, je pense qu’il l’auraient vu. Mais comme ce sont des experts pour l’instant il est plus sérieux de les gens se méfier









JoePike a écrit :



En fait je crois que j’ai trouvé



C’est lemondealenware



<img data-src=" />





<img data-src=" />









JoePike a écrit :



En fait je crois que j’ai trouvé



C’est lemondealenware



<img data-src=" />





<img data-src=" />









Northernlights a écrit :



L’agissement est totalement a l’encontre de la définition de malware.

Il fraudait plutôt employer un terme plus juste non ?





Avec un pseudo pareil tu pourrais l’appeler HaroldFinchWare.









JoePike a écrit :



En fait je crois que j’ai trouvé



C’est lemondealenware



<img data-src=" />





<img data-src=" /> <img data-src=" />



Mais en effet, ça semble quand même bizarreware tout ça. <img data-src=" />



Une partie des sources sont ici. La FAQ est intéressante …


Ça sent quand même le malware qui s’implante et sécurise les accès pour être le seul maître à bord pour lancer des attaques quand même. Et quand on en sera là, il y en a qui l’auront dans le fondement (et ça fera un suppositware, inutile de me chercher je suis déjà dehors <img data-src=" />)


Google s’en inspirera peut-être pour boucher stagefright <img data-src=" />

&nbsp;







Northernlights a écrit :



L’agissement est totalement a l’encontre de la définition de malware.

Il fraudait plutôt employer un terme plus juste non ?





Soyons Français ! Je recommande sécuriciel <img data-src=" />









ActionFighter a écrit :



Les applications légitimes pillent les données personnelles, traquent les utilisateurs et les malwares renforcent la sécurité <img data-src=" />





<img data-src=" /> <img data-src=" />









tlabourdette a écrit :



Une partie des sources sont ici. La FAQ est intéressante …





indeed :



Q: Why did you write this and let it go?

A: First, for learning. Second, for understanding. Third, for fun, and fourth, for your (and our) security. Apart from the learning experience, this is a truly altruistic project, and no malicious actions are planned



Si c’est vrai, c’est très bien et même rassurant.





Q: Who are you?

A: We are nobody important. Really.



Anonymat. Là, c’est quitte ou double : le particulier altruiste qui ne veut pas attirer l’attention (plausible) ou le black hat qui cherche à masquer ses intentions (tout aussi plausible). Je ne saurais dire pourquoi mais la phrase n’est pas de nature à me rassurer.





Q: Why is this not a problem?

A: Linux.Wifatch doesn’t use elaborate backdoors or 0day exploits to hack devices. It basically just uses telnet and a few other protocols and tries a few really dumb or default passwords (our favourite is “password”). These passwords are well-known - anybody can do that, without having to steal any secret key.



Basically it only infects devices that are not protected at all in the first place!



Bon en gros, la page explique que c’est un essai tout mignon pour tenter des accès “faciles” sur des machines non sécurisées, afin de les sécuriser un peu et alerter leur propriétaire.





J’ai vraiment envie d’y croire, mais de la bouche de l’auteur lui-même, je ne devrais pas :)



Q: Should I trust you?

A: Of course not





Pour finir :



Q: Is there a proof that this is the official repository?

A: Here is a nistp256 signature of the sha256 of the repository URL on gitlab, using the actual signing key used for the real version.

http://gitlab.com/rav7teif/linux.wifatch

3678992952743f6596730c8936263ecdaca200f0aa87a3bf6d287561d1a55c4c a331e24b1d6aae7e8983adb9a9b9f68b3dc609278593bdbfbf60556a8acc42e2









Koxinga22 a écrit :



indeed :



Q: Why did you write this and let it go?

A: First, for learning. Second, for understanding. Third, for fun, and fourth, for your (and our) security. Apart from the learning experience, this is a truly altruistic project, and no malicious actions are planned



Si c’est vrai, c’est très bien et même rassurant.





Q: Who are you?

A: We are nobody important. Really.



Anonymat. Là, c’est quitte ou double : le particulier altruiste qui ne veut pas attirer l’attention (plausible) ou le black hat qui cherche à masquer ses intentions (tout aussi plausible). Je ne saurais dire pourquoi mais la phrase n’est pas de nature à me rassurer.





Q: Why is this not a problem?

A: Linux.Wifatch doesn’t use elaborate backdoors or 0day exploits to hack devices. It basically just uses telnet and a few other protocols and tries a few really dumb or default passwords (our favourite is “password”). These passwords are well-known - anybody can do that, without having to steal any secret key.



Basically it only infects devices that are not protected at all in the first place!



Bon en gros, la page explique que c’est un essai tout mignon pour tenter des accès “faciles” sur des machines non sécurisées, afin de les sécuriser un peu et alerter leur propriétaire.





J’ai vraiment envie d’y croire, mais de la bouche de l’auteur lui-même, je ne devrais pas :)



Q: Should I trust you?

A: Of course not





Pour finir :



Q: Is there a proof that this is the official repository?

A: Here is a nistp256 signature of the sha256 of the repository URL on gitlab, using the actual signing key used for the real version.

http://gitlab.com/rav7teif/linux.wifatch

3678992952743f6596730c8936263ecdaca200f0aa87a3bf6d287561d1a55c4c a331e24b1d6aae7e8983adb9a9b9f68b3dc609278593bdbfbf60556a8acc42e2





<img data-src=" />



C’est pour ça que je pencherais plutôt pour le tuvaware


Infiltrer les systèmes sécurisés pour les transformer en passoire est devenu tellement facile que les blackhats font maintenant l’inverse: transformer des passoires en systèmes sécurisés… et ensuite ils pourront les infiltrer.



#mouvement_perpetuel


:pouce:

&nbsp;

Ceci dit, ça reste une belle demo montrant que plus on avance, et plus on accumule les passoires.

&nbsp;


Ta tournure de phrase est singulière… <img data-src=" />



Je n’ai pas regardé le code, mais l’article dit :

“mais Wifatch contient quoi qu’il en soit plusieurs portes dérobées. On ne sait donc pas en pratique ce qui peut être fait, mais un système de signatures permet de contrôler l’origine des ordres qui y sont envoyés.”







De ce que j’en comprends, il y a bien des portes dérobées écrites en clair, mais il n’y a pas moyen de les utiliser pour toi ou moi, le code reconnaitra uniquement son maitre, et ça c’est pas écrit en clair dans le script le nom du maitre.

Genre quand quelqu’un tape à la porte dérobée et chuchotte un MDP, lui va interroger un serveur externe pour savoir si c’est bon; Comme ça même si aucun MDP n’ouvre la porte pour l’instant, il suffit à l’auteur d’insérer un MDP dans son serveur puis de chuchotter le même à l’objet infecté…


Désolé, petite coquille :)

&nbsp;

“il est plus sérieux de dire aux gens de se méfier”


Un coolware? :p