À propos de ce blog

Thèmes Populaires

Comment le botnet Mirai peut-il nuire à mon routeur ?

Guillaume Ortega

09.12.16 5 min de lecture

Le malware Mirai, conçu pour infecter les appareils connectés, se cache derrière l’une des plus importantes attaques par déni de service de l’histoire. En octobre dernier, Mirai a mis hors-ligne Twitter, Netflix, et d’autres sites particulièrement consultés. Désormais, il semble qu’un variant de Mirai ait été modifié (ou upgradé) pour infecter les routeurs.

Résultat : ces derniers jours, près d’un millions d’Allemands ont perdu leur accès internet.

La presse fait état de 900 000 routeurs de la Deutsche Telekom (DT) mis hors-ligne ces derniers jours. Ces attaques sont attribuées à Mirai, puisqu’elles utilisent une infrastructure similaire.

« Mirai a été conçu pour infecter les objets connectés. Et dans la mesure où les objets connectés et les routeurs partagent de nombreuses faiblesses sur le plan de la sécurité, adapter Mirai pour cibler les routeurs a dû sembler opportun aux pirates », explique Sean Sullivan, Security Advisor chez F-Secure. « Il faut un peu de temps pour adapter le malware, mais dans la mesure où le code était disponible sur internet, c’était à la portée de n’importe quel hacker. »

Ce variant de Mirai ciblant les routeurs en Allemagne exploite une vulnérabilité présente dans le micrologiciels de modèles de routeurs Zyxel et Speedport. Les anciens variants de Mirai ciblaient davantage les objets connectés (notamment les webcams), et forçaient les mots de passe de ces appareils, afin d’infecter de les infecter.

Vous pouvez trouver une liste des modèles de routeurs concernés ici. DT semble avoir déjà développé un patch, ce qui est plutôt surprenant compte-tenu de la tendance générale du secteur à négliger l’impact des vulnérabilités micrologiciels.

Plusieurs articles évoquent le chiffre de cinq millions d’appareils connectés à internet susceptibles d’être victimes de l’attaque visant les routeurs DT. Et cette estimation n’inclut pas les appareils renfermant d’autres problèmes de cyber sécurité dont Mirai peut tirer profit, comme les mots de passe par défaut trop peu robustes, configurés par les fabricants.

Comment se débarrasser des botnets

Les pirates infectent les appareils avec Mirai, puis connectent des dizaines, voire des centaines d’appareils infectés les uns aux autres pour créer un réseau de robots. Ils peuvent commander les appareils infectés, lancer des attaques DDos (attaques par déni de service) dévastatrices, installer des malware supplémentaires ou répandre l’infection à d’autres réseaux (et ainsi augmenter la taille de leur botnet).

Pourtant, lutter contre les botnets n’est pas la priorité des fournisseurs d’accès à internet. Un téléphone, un ordinateur portable ou une webcam peut faire partie d’un botnet sans vraiment perturber son utilisateur. Pour autant, une infection de type botnet ne doit pas être ignorée. De nombreux bots comme Mirai reçoivent des instructions de la part des pirates. De nouvelles instructions données aux botnets peuvent engendrer des attaques plus directes visant le propriétaire de l’appareil.

Mirai (et les bots qui lui ressemblent) infectent les appareils non-traditionnels. Il est donc plus difficile de s’en débarrasser.

Voici quelques conseils pour se débarrasser des infections botnet sur des appareils qui ne peuvent pas exécuter d’antivirus :

Réinitialisez votre appareil

Réinitialiser les routeurs et les appareils connectés infectés suffit à se débarrasser de Mirai (!) C’est une bonne première étape. Mais cela ne règle pas le problème sous-jacent : vous resterez vulnérable aux futures attaques. Mirai se répand de manière agressive et seules quelques minutes peuvent suffire pour être infecté à nouveau.

Modifier les mots de passe par défaut (si possible)

La plupart des internautes ne modifient pas les mots de passe par défaut de leurs routeurs ou de leurs appareils connectés. C’est un VÉRITABLE problème, dans la mesure où la plupart de ces appareils utilisent des mots de passe communs pour le même modèle ou la même gamme de produits. Pire encore, des listes de mots de passe par défaut sont même consultables.

De nombreux pirates savent que les utilisateurs ne modifient pas les mots de passe de leurs appareils, et ils s’en servent dans leurs stratégies d’attaques. Mirai force l’accès aux appareils en utilisant des mots de passe simples tels que « 123456 » ou « password », ou particulièrement courants sur des appareils spécifiques (comme « admin » ou « cx3511 »). Modifiez donc vos mots de passe par défaut dans la mesure du possible.

Contactez les vendeurs d’appareils et les fournisseurs d’accès internet

Certains appareils ne peuvent être patchés facilement. Parfois, les mots de passe ne sont pas modifiables par l’utilisateur. Les micrologiciels sont souvent livrés avec leur lot de vulnérabilités, et les vendeurs doivent alors créer et distribuer des patchs.

En cas de problème, les fournisseurs d’accès et les fabricants d’appareils connectés peuvent être sollicités : faites l’effort de consulter leur site internet, et si besoin, contactez-les. Peut-être aideront-ils, peut-être pas. DT fait actuellement son possible pour restaurer l’accès internet des clients affectés. Et après l’attaque massive de Mirai sur Dyn en octobre dernier, un fabricant chinois de webcam a rappelé ses produits qui utilisaient des mots de passe non-modifiables par l’utilisateur.

Les utilisateurs sont, dans les cas les plus extrêmes, contraints de mettre à la poubelle leur appareil infecté.

« Comme n’importe quelle nouvelle technologie, c’est à l’utilisateur d’être vigilant », explique Sean Sullivan. « Les chercheurs en cyber sécurité et même les pirates expliquent, depuis des années, que les objets connectés sont particulièrement vulnérables. Désormais, ces mises en garde se vérifient et la situation devrait très certainement empirer avant de pouvoir s’améliorer. »

Il existe de nombreuses mesures à prendre pour protéger les routeurs ou les appareils connectés, notamment : s’assurer que le Universal Plug n Play est désactivé, vérifier que les paramètres DNS sont correctement configurés, et que vous vous déconnectez des plateformes de gestion de vos appareils après en avoir modifié les paramètres.

Image © Sascha Pohflepp

Guillaume Ortega

09.12.16 5 min de lecture

Article mis en avant

Publications connexes

Newsletter modal

Merci de votre intérêt pour F-Secure. Vous recevrez bientôt un email pour confirmer votre abonnement à la newsletter.

Gated Content modal

Félicitations – Vous pouvez maintenant accéder à votre contenu en cliquant sur le bouton ci-dessous.