Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Qualys : Nouvelle forme d’attaques DDoS géantes... juste un commencement Attaques à répétition lancées via objets connectés transformés en botnets

décembre 2016 par Chris Carlson, Vice President of Product Management, chez Qualys

En début de semaine s’est répandue la nouvelle : 20 millions de clients de Deutsche Telekom ont été touchés en Allemagne par une attaque DDoS qui s’est appuyée sur 900 000 routeurs piratés.
Coïncidence ou pas, de nouveaux travaux de recherche venaient d’être publiés signalant que le malware Mirai avait commencé à exploiter une vulnérabilité sur des routeurs domestiques. Cette information concerne plus particulièrement les routeurs fournis à des FAI allemands et irlandais pour le compte de Deutsche Telekom et Eircom. Ce qui n’était encore que des travaux de recherche est devenu réalité.
Chris Carlson, Vice President of Product Management, chez Qualys, nous livre son analyse de la situation.

Le rôle critique des FAI dans la prévention de ces attaques

Cela souligne une fois de plus la nécessité pour les FAI d’apporter davantage de sécurité pour protéger et sécuriser, non seulement leurs propres clients et réseaux, mais aussi et par extension, Internet dans son ensemble, en évitant que les objets connectés ne se transforment en botnets.

Faire porter le fardeau aux utilisateurs (et dans le cas présent à des utilisateurs domestiques et non techniciens) pour qu’ils corrigent eux-mêmes leur propre routeur n’est pas une solution. En effet, la probabilité qu’un grand nombre d’utilisateurs appliquent le correctif de secours pour empêcher l’infection sera très faible. Combien d’utilisateurs se souviennent même du mot de passe de leur routeur ? Ils doivent être encore moins nombreux à savoir appliquer les mises à jour du firmware.

Le vecteur d’attaque décrit est le port 7547 de ces routeurs. Comme ce port est ouvert sur Internet, ces équipements peuvent être ciblés par un exploit à distance qui fait tomber le firewall local du routeur et récupère le mot de passe d’administration par défaut. À l’aide d’une règle de filtrage Internet unique, les FAI peuvent empêcher l’accès au port 7547 depuis des réseaux externes aux FAI en barrant efficacement la route à l’exploit distant lancé par des opérateurs de botnets pour infecter ces routeurs.

Faut-il exiger des FAI qu’ils fournissent des fonctionnalités de filtrage pour prévenir les infections connues ? Seraient-ils impactés ou tenus pour responsables s’ils venaient à filtrer de manière inappropriée le trafic légitime ou à perturber l’activité d’un client ?

Les utilisateurs et équipements sont connectés à Internet via des FAI identifiés qui constituent la « rampe d’accès » à Internet, ainsi que le point logique pour surveiller, contrôler et protéger leurs utilisateurs contre les attaques en provenance d’Internet. Les FAI limitent déjà le débit des utilisateurs qui consomment trop de bande passante afin de ne pas fournir des services de données qui ne seraient pas rentables. Pourquoi ne protégeraient-ils donc pas leurs utilisateurs contre ces types d’infections propagées par des objets connectés et par la même occasion Internet dans son ensemble contre des attaques DDoS de grande envergure ?

Les répercussions probables de Mirai

Pour le moment aucune revendication des premières attaques Mirai pour permettre de cerner les intentions de l’opérateur de botnets. S’agissait-il d’une véritable attaque ou bien d’une démonstration de la puissance de leur réseau de botnets à base d’objets connectés ?

Nous devons nous attendre à des variantes, puisque les créateurs de Mirai ont publié le code source afin que tout un chacun puisse le récupérer, l’étudier, le modifier et l’utiliser. La transformation d’objets connectés en armes pour lancer une attaque d’une telle puissance aura des conséquences profondes et durables et ce n’est malheureusement que le début.


Voir les articles précédents

    

Voir les articles suivants