Les chercheurs en cybersécurité des sociétés CheckPoint et Qihoo 360 alertent sur la constitution discrète d’une colossale armée de zombies au sein d’un botnet d’objet connectés. La cyberattaque mondiale qui pourrait survenir ferait de très lourds dégâts partout dans le monde…
Le ton est donné. Il s’agit d’une sombre découverte réalisée conjointement par les chercheurs de deux sociétés spécialisées dans la cybersécurité : des cybercriminels non identifiés seraient en train de créer un réseau botnet ayant déjà dépassé le million de machines zombies. Il s’agit, comme dans le cas de Miraï, d’objets connectés piratés discrètement (IoT) : caméras de vidéosurveillance IP, routeurs, point d’accès Wi-Fi, NAS ou encore capteurs connectés.
Les chercheurs en sécurité des sociétés Qihoo 360 et Check Point l’ont baptisé respectivement « IoT_reaper » et « IoTroop » :
“Un énorme botnet est en train de se former. La cyber-tempête qu’il pourrait générer est suffisante pour casser Internet“, souligne Check Point.
Le malware qui se propage serait beaucoup plus efficace encore que Miraï qui avait frappé en 2016 en marquant tous les esprits. De multiples équipements de marques diverses sont vulnérables (D-Link, Netgear, Linksys, Synology, GoAhead, Jaws, Vacron, TP-Link, Avtech, etc) et la menace touche autant les particuliers que les professionnels. Cette fois-ci, le malware ne se contente pas de tester des couples identifiants / mots de passe d’usine mais va plus loin en exploitant de nombreuses vulnérabilités critiques liées à chaque appareil attaqué (dont des failles zero-day !).
La conséquence d’une utilisation de cet immense botnet IoT à des fins cybercriminelles pourrait être une attaque DDoS d’une violence inouïe, qui pourrait impacter fortement Internet dans son ensemble. Le monde entier avait déjà vu l’impact du botnet Miraï lors des 2 cyberattaques consécutives (d’une l’un a atteint le pic record de 799 Go par seconde, ce qui en fait la plus importante attaque DDoS enregistrée à ce jour)…
Or, ces cyberattaques ont été déclenchées depuis un botnet comportant 145 607 caméras de sécurité IP ! Imaginez un instant l’impact possible d’une même attaque DDoS mais cette fois-ci, avec un botnet dépassant le million de machines !
Pour protéger ses équipements connectés, il est impératif de respecter deux règles clés :
- La mise ne place d’une authentification fiable (avec un login et mot de passes personnalisés autre que ceux d’usine)
- L’application de toutes les mises à jours logiciel des firmwares
Cela n’empêchera pas l’exploitation de 0-Day, mais protégera tout de même face à la plupart des risques existants. En France, les experts de l’Agence nationale de la sécurité des systèmes d’information (Anssi) sont sur le qui-vive depuis septembre, date à laquelle ils ont relevé la multiplication des tentatives d’intrusion conduites sur des objets connectés
Une chose est sûre, ce qui se prépare si ce botnet monumental est utilisé est dramatique, les experts sont unanimes face à la e-menace. Selon Qihoo 360, les cybercriminels ont déployés plusieurs serveurs de commande et de contrôle (C&C) pour distribuer le malware et prendre le contrôle des appareils infectés. Une machine serait même entièrement dédiée au scan de la Toile afin de rechercher et cataloguer tous les appareils connectés vulnérables… Il y aurait actuellement plus de 2 millions d’appareils vulnérables sur la liste d’attente d’infection !
Le danger menace, surtout si les pirates s’attaquent de front aux serveurs DNS principaux d’Internet : cela pourrait faire tomber une énorme partie du Web. Mais ce n’est pas le seul risque, puisqu’il s’avère que les cybercriminels auraient intégré un environnement d’exécution Lua, un langage de de script utilisé dans le domaine des systèmes embarqués, qui pourrait leur permettre de créer des programmes sur-mesure d’attaque, encore plus complexes et efficaces…
Il pourrait donc s’agir de la première plateforme d’attaque multifonctionnelle basés sur la puissance des objets connectés. Tremblons !