Fuite massive d’identifiants Telnet

1
87

Un cybercriminel vient de publier une liste massive d’identifiants Telnet pour plus de 500 000 serveurs, routeurs domestiques et appareils IoT à travers le monde, comprenant l’adresse IP de chaque appareil, ainsi qu’un nom d’utilisateur et un mot de passe pour le protocole d’accès à distance Telnet utilisé pour contrôler les appareils sur Internet.

Tribune – Marko Zbirka, IoT Threat Researcher chez Avast, explique comment les utilisateurs peuvent savoir s’ils sont exposés par cette fuite de données et ce que les attaquants peuvent faire une fois qu’ils y ont accès :

« Les utilisateurs peuvent savoir si le port Telnet de leur appareil est exposé, notamment en vérifiant les paramètres de leur routeur, en se connectant à l’interface administrative afin de voir si Telnet y est activé. Si Telnet n’est pas utilisé activement, nous recommandons de le désactiver complètement. Nous préconisons également aux utilisateurs de vérifier si le transfert de port et l’UPnP sont activés et, à moins qu’ils ne soient utilisés en connaissance de cause, ils doivent également être désactivés.

Les utilisateurs ont la possibilité de modifier leurs identifiants Telnet mais cela dépend de l’appareil lui-même. Il est donc important qu’ils consultent le manuel d’utilisation et suivent quelques bonnes pratiques, comme la modification des identifiants de connexion par défaut (nom d’utilisateur et mot de passe) lors de la configuration d’un nouvel appareil. Certains terminaux ont des identifiants Telnet distincts, tandis que d’autres permettent d’accéder au port Telnet en se connectant simplement à l’appareil lui-même.

Les utilisateurs doivent éviter à tout prix de renseigner le même nom d’utilisateur et le même mot de passe sur plusieurs appareils et comptes. Les cybercriminels tentent en effet souvent de pirater d’autres comptes une fois qu’ils ont mis la main sur des données, y compris les identifiants de connexion, car ils savent bien que de nombreux utilisateurs définissent les mêmes identifiants de connexion sur plusieurs comptes et appareils ; une tendance confirmée par une enquête d’Avast qui indique que 51 % des Français utilisent le même mot de passe pour protéger plusieurs comptes. Enfin, les utilisateurs devraient toujours mettre à jour les microprogrammes et les logiciels de leurs appareils, afin de corriger les vulnérabilités qui pourraient être exploitées par des hackers. 

Il faut savoir qu’une fois qu’un pirate informatique a réussi à accéder au port Telnet, il peut télécharger et installer des malwares, puis exploiter l’appareil. Dans la plupart des cas, les cybercriminels se servent des objets connectés pour créer un botnet, qu’ils peuvent ensuite utiliser pour des attaques par Déni de Service Distribué (DDoS) sur des sites web connus, pour miner des cryptomonnaies ainsi que pour analyser Internet et le réseau sur lequel l’appareil infecté se trouve afin de trouver d’autres périphérique à infecter et à attaquer. Les utilisateurs peuvent reconnaître que leur appareil fait partie d’un botnet notamment s’il répond plus lentement que d’habitude et si un trafic suspect en ressort.

Dans le cas présent, il est probable que d’autres hackers analysent également Internet, à la recherche d’appareils dont les ports Telnet sont exposés. Nous avons 500 honeypots (ou pots de miel) déployés dans le monde entier qui ont été programmés avec des ports ouverts, tels que TCP:23 (protocole telnet), TCP:22 (protocole ssh), TCP:80 (protocole http), qui se trouvent tous dans des dispositifs IoT, apparaissant ainsi comme des objets connectés aux yeux des attaquants. Le but d’un pot de miel est d’identifier les activités cybercriminelles et d’examiner ensuite leurs méthodes d’attaque. Ils existent pour faire croire aux attaquants que les dispositifs qu’ils ciblent sont réels et contiennent de vraies données. Le 19 janvier 2020, nous avons vu des cybercriminels tenter d’accéder au port Telnet de nos pots de miel 347 476 fois.

Aujourd’hui, il est peu probable que les appareils concernés par la fuite de données utilisent une adresse IP différente et/ou des identifiants de connexion différents, car un très grand nombre d’entre eux sont simplement configurés puis utilisés, de sorte que de nombreux utilisateurs se connectent à leur appareil une fois lors de sa configuration, voire jamais plus. Selon une enquête Avast, 52 % des Français ne savent pas que leur routeur dispose d’une interface d’administration web à partir de laquelle ils peuvent se connecter pour consulter et modifier les paramètres de leur routeur. De manière générale, en ce qui concerne les routeurs, les adresses IP changent parfois au redémarrage ou lors du passage d’un fournisseur d’accès à Internet (FAI) à un autre. La sécurité d’un réseau dépend de son maillon le plus faible, et c’est pourquoi il est très important de suivre les meilleures pratiques en la matière. »

Les commentaires sont fermés.