Mirai : XiongMai rappelle des caméras connectées peu sécurisées
Mon Mirai, Saint DDoS !
Le 25 octobre 2016 à 15h50
4 min
Internet
Internet
On sait depuis l’attaque par le malware Mirai que ce sont les objets connectés qui ont été utilisés pour déclencher l’une des plus vastes attaques DDoS jamais enregistrées. Parmi les objets visés, certains possédaient un mot de code inscrit directement dans le firmware, sans possibilité de modification.
C’est l’information relayée par le blog KrebsOnSecurity vendredi, à la suite d’un examen par la société de sécurité FlashPoint de certains modèles de caméras connectées provenant de la société chinoise XiongMai Technologies. Allison Nixon, directrice de recherche chez FlashPoint, indiquait ainsi que c’était la gamme entière des caméras qui avait été touchée par Mirai, les objets contaminés participant aux attaques DDoS qui ont rendu des dizaines de sites importantes inaccessibles pendant plusieurs heures.
Par exemple, il a beaucoup contribué aux attaques par déni de service portées contre OVH et le gestionnaire de service DNS Dyn, qui a perturbé l'accès à de nombreux sites majeurs il y a quelques jours (voir notre analyse).
Un mot de passé inscrit dans le firmware
Les premières analyses avaient déjà révélé une gestion effarante de la sécurité, aussi bien par les entreprises qui fournissaient des identifiants identiques par défaut, que par les clients qui ne les changeaient pas. Graham Cluley avait ainsi publié une liste des mots de passe retrouvés dans le code même de Mirai : 666666, 888888, 1111, 12345, admin, pass, password, guest et ainsi de suite. L’idée était bien entendu de tenter toutes les combinaisons simples, les constructeurs ne faisant guère preuve d’originalité dans ce domaine.
De fait, le conseil fourni était simple : changer le mot de passe aussi rapidement que possible. Malheureusement, la plupart des produits touchés sont accompagnés d’une interface web qui permet un accès extérieur depuis SSH ou Telnet. Mais il y a pire, puisque Zach Wikholm, de chez FlashPoint, a indiqué à KrebsOnSecurity qu’une bonne partie des caméras de XiongMai possédaient un mot de passe codé « en dur » dans le firmware. En d’autres termes, un identifiant que l’on ne peut pas changer facilement, étant directement dans le code. Le client n’obtient même pas, dans ce cas, l’outil qui permettrait de le modifier.
XiongMai rappelle une partie de ses produits
Il n’est donc pas étonnant que XiongMai Technologies ait lancé hier soir un rappel pour tout un ensemble de références vendues aux États-Unis. Le constructeur chinois a indiqué que « les problèmes de sécurité sont un problème qu’affronte toute l’humanité », et que puisque d’autres géants du secteur ont affronté de telles menaces, il n’a lui-même « pas peur » de s’y frotter.
La société indique que ses produits sont en fait bien protégés et qu’il suffit de changer le mot de passe, niant la sévérité des rapports abordant ses produits. Les produits rappelés sont les plus anciens, potentiellement ceux en fait concernés par cette inscription du mot de passe dans le firmware abordé par FlashPoint. La sécurité des mots de passe par défaut sera renforcée, tandis que tous les produits vendus depuis avril dernier pourront être mis à jour par un correctif.
Comme nous le rappelions hier, il faudra probablement plusieurs chocs de ce type pour que l’industrie considère d’un nouvel œil la sécurité de ses produits, de la même manière que les éditeurs logiciels ont dû s’adapter par le passé. Un produit proposant un code figé et permettant un accès extérieur est du pain béni pour les pirates, les failles découvertes dans le code n’étant pas colmatées. Et si XiongMai rappelle les références concernées, on ne sait pas encore ce qu'il adviendra de tous les autres objets connectés touchés par Mirai.
Mirai : XiongMai rappelle des caméras connectées peu sécurisées
-
Un mot de passé inscrit dans le firmware
-
XiongMai rappelle une partie de ses produits
Commentaires (16)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 25/10/2016 à 15h54
Au moins ils prennent leur responsabilité (avant de se ramasser une classe action).
On va dire que c’est humain de mentir un peu sur la raison qui les pousse à rappeler le vieux matériel.
Le 25/10/2016 à 15h58
un hacker blanc (enfin disons gris) pour briquer tous les objets connectés insuffisamment protégés histoire de faire la leçon à leurs concepteurs ?
Le 25/10/2016 à 16h04
tu te rends compte que tu passes commande d’une attaque de masse à l’échelle planétaire ?? " />
Le 25/10/2016 à 16h13
Le 25/10/2016 à 16h27
je me demande si ces attaques ne sont pas, justement, un moyen de faire réfléchir les constructeurs sur leur faible motivation à protéger leurs produits de ce genre d’activité.
Après, ils viendront pleurer que c’est pas leur faute, que c’est celle des vilains pirates qui détournent leurs jouets à des fins pas gentilles
Le 25/10/2016 à 16h36
Un hacker blanc ça n’existe pas. Même fin 2016, un hacker n’est toujours pas un pirate informatique (cracker) ni un white/Grey hat
Le 25/10/2016 à 16h53
Pendant qu’ailleurs on disserte sur les faiblesses des algorithmes de chiffrement qu’aurait sponsorisées la NSA, on découvre un mot de passe constructeur en dur (et en clair) dans le firmware. Comme toujours, on prétendra être incompétent plutôt que malhonnête. La Chine a encore du travail pour égaler les USA.
Le 25/10/2016 à 18h29
Comme je l’ai toujours dit. A choisir entre la bêtise et le complot, je préfère choisir le plus simple, c’est à dire la bêtise.
Au moins ils vont réparer leur erreur, c’est un bon point.
Le 25/10/2016 à 18h50
J’ai signalé plusieurs fautes d’orthographe/grammaire, mais,en plus, je trouve certaines phrases mal construites / mal dites, c’est moi ou Vincent est fatigué ?
ex “potentiellement ceux en fait concernés” => le “en fait” est de trop
Le 25/10/2016 à 20h19
Ou il manque un “qui sont”.
J’avoue n’avoir pas l’article jusqu’au bout.
Par contre, j’aime bien le nom “Mirai” qui signifie “futur” en japonais et qui nous montre un aperçu de ce qui pourrait désormais arriver via les objets connectés.
Le 26/10/2016 à 00h07
Un mdp “en dur” dans le firmware, de mieux en mieux …
Non, mais sinon, qu’ils enlèvent carrément la possibilité de mettre un mdp.
Open bar complet tant qu’a faire …
Le 26/10/2016 à 06h04
Certes ils assument, mais faudrait voir le pourcentage d’objets connectés de cette boîte ayant fait partie de l’attaque DDoS. Car vu le nombre d’objets connectés, les attaques de cette ampleur vont devenir communes…
Le 26/10/2016 à 08h05
Et surtout si ils vont réussir à faire revenir la majorité des appareils concernés. Je serais curieux de savoir comment ils retrouvent les acheteurs (on laisse pas toujours sont adresse lors de l’achat en magasin).
Le 26/10/2016 à 12h40
Et on a attendu cette attaque pour s’apercevoir de cette mauvaise gestion des mots de passe ? Il n’y a pas un seul utilisateur qui ait trouvé bizarre le fait de ne pas pouvoir changer le mot de passe ? Ou qu’il soit si simple ?
Ca fait peur…
Le 26/10/2016 à 18h59
Je viens de zieuter le code de Mirai … me faites pas croire que c’est un gars tout seul qui pond un truc pareil …
" />
Le 26/10/2016 à 19h23
Retour vers le Mon Mirai ? " />" />