Mirai a défrayé la chronique dès octobre 2016. Le malware s’en prenait à de nombreux objets connectés, dont des caméras de sécurité, créant de vastes botnets capables de déclencher des attaques par déni de service distribué (DDoS). Dyn en avait particulièrement fait les frais, OVH avait mieux résisté.

Malheureusement, même si les créateurs de Mirai ont été incarcérés depuis, son code source est en liberté depuis plus de deux ans. Des chercheurs (Palo Alto Network Unit 42) signalent donc une nouvelle variante s’attaquant spécifiquement à du matériel d’entreprise.

Le nouveau vise tout particulièrement des équipements comme les WiPG-1000 Wireless Presentation de WePresent et les téléviseurs Supersign de LG. Sont également concernés des routeurs Linksys, ZTE et DLink, de nouvelles caméras IP et des équipements de stockage réseau.

Le malware ajoute 11 méthodes d’exploitation (pour un total de 27) ainsi qu’une liste d’identifiants « inhabituels » pour les attaques par force brute. Selon les chercheurs, les réseaux d’entreprise sont souvent beaucoup plus rapides que chez les particuliers, rendant d’autant plus efficace la propagation et le lancement d’attaques.

Mirai avait surtout mis en lumière les défauts inhérents de sécurité des objets connectés, même quand leurs clients les mettaient à jour. Certains produits ne le peuvent même pas, comme nous l’expliquait Laurent Chemla aux rencontres mondiales du logiciel libre en 2017.

La nouvelle variante n’est guère différente : les brèches utilisées sont exploitées depuis longtemps (septembre 2018 pour LG, 2017 pour WePresent) et corrigées depuis presque aussi longtemps.