Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Faire face à la horde de zombies de l’IdO

décembre 2016 par Tim Skutt, Architecte systèmes d’informations, et Alex deVries, Directeur de la Technologie Linux chez Wind River

Nous sommes désormais victimes d’une invasion massive de la part des zombies de l’IdO, et visiblement nous ne sommes pas prêts de nous en débarrasser.
Ils en ont après votre équipement, alors des mesures s’imposent pour l’immuniser et lui éviter de souffrir.

Dans un précédent article (« Les zombies de l’IdO envahissent l’Internet »), nous nous sommes intéressé aux récentes attaques DDoS (en déni de service) de grande ampleur se servant des objets connectés comme de bots, ou de zombies. Peu de temps après avoir rédigé cet article, le code source de cette attaque a été divulgué par un individu affirmant en être l’auteur. Le malware Mirai est un virus transportant un cheval de Troie poussant des objets connectés à s’en prendre à plusieurs sites à haute fréquentation. Les estimations le concernant sont effrayantes : selon le site Malware Tech, 120 000 appareils auraient été infectés, tandis que Level 3 avance le nombre de 1,5 million de dispositifs. Tout ceci n’est qu’un exemple récent.

Ces virus sont présents pour toujours !

À l’heure où nous cherchons comment faire face à cet assaut, la virologie médicale peut s’avérer utile pour se faire une meilleure idée du mode de propagation de ce malware. Les infections du domaine réel sont modélisées en représentant le nombre de personnes susceptibles d’être infectées ; le nombre de personnes infectées ; et le nombre de personnes retirées de la chaîne de transmission (ou rétablies) car désormais immunisés.

Une fois un appareil infecté par Mirai, le virus arrose littéralement l’Internet à la recherche de dispositifs avec des ports Telnet ouverts et utilisant des identifiants par défaut. Une fois ces appareils vulnérables repérés, il les infecte, les transforme en zombies, et la recherche de nouvelles cibles se poursuit. Il s’agit de la première forte ascension observable sur la courbe.

Certains appareils seront nettoyés ou protégés, mais beaucoup ne le seront pas et resteront infectés pour toujours.

Même s’ils sont un jour nettoyés, s’ils ne sont pas immunisés, d’autres équipements les réinfecteront. Et étant donné qu’un grand nombre ne sera jamais mis à jour pour traiter cette infection, l’épidémie se renouvellera constamment dans un avenir immédiat.

Comment en venir à bout ?

Plusieurs solutions s’offrent à nous pour nous débarrasser de Mirai, ou au moins limiter son impact.

- Traiter tous les équipements
Concrètement, cela n’arrivera jamais. En effet, la plupart des gens ignorent que leurs produits sont infectés, n’ont pas les compétences ou ne sont pas en mesure de les traiter, ou sont désintéressés étant donné que le problème ne les affecte pas directement.

- Mettre les serveurs de commande et de contrôle hors d’usage
L’une des faiblesses de Mirai est qu’un appareil à peine infecté doit se connecter à un serveur de commande et de contrôle pour télécharger des instructions. Il s’agit de serveurs compromis, et non de dispositifs connectés. En les éliminant, on limite alors la prolifération du virus.

- Protéger la cible
En réaction à l’attaque DDoS, le site krebsonsecurity.com a été migré vers un autre hébergeur par mesure de protection. Ce type d’attaque n’a rien de nouveau, et il existe des solutions pour en limiter l’impact, comme de déplacer la cible, justement.

Mais au bout du compte, traiter l’ensemble des appareils actuellement ou potentiellement infectés est irréalisable, et il est improbable que nous réussissions à éradiquer le virus.

Les prochaines attaques

Après Mirai, d’autres malwares à propagation automatique seront développés pour infecter d’autres objets connectés. Le code source de cette attaque a été rendu public, ce qui permettra d’accélérer le développement de ses successeurs.

Toute cette publicité va inciter les pirates à s’adapter, et nous pouvons nous attendre à ce que la dépendance des malwares vis-à-vis des serveurs de commande et de contrôle disparaisse. Cette mutation rendra alors la lutte encore plus difficile.

Jusqu’ici, il s’agissait d’attaques DDoS, mais les pirates pourraient ensuite tirer profit d’appareils connectés et intelligents pour attaquer d’autres systèmes sur le même réseau que l’objet zombie.

Immuniser les appareils

Les zombies de l’IdO sont visiblement parmi nous pour un bon moment. Nous pouvons les éviter et même les mettre en quarantaine, mais avec l’évolution des réseaux et le déploiement de nouveaux dispositifs, de nouvelles vulnérabilités apparaîtront. La menace étant persistante, vos appareils seront eux aussi rapidement ciblés. Il est donc crucial de les immuniser.

Première étape évidente : s’occuper des modes d’infection connus. Éliminez ou bloquez les services non nécessaires (comme Telnet), remplacez tous vos identifiants par défaut par des mots de passe complexes, et bloquez les connexions non sollicitées vers des points de terminaison externes.

Par la suite, il vous faudra passer à la deuxième étape d’immunisation : traiter les vulnérabilités susceptibles d’être exploitées par un virus adapté. C’est là que des outils tels que le Top 25 des erreurs les plus dangereuses au sein des logiciels publié par CWE/SANS (cwe.mitre.org/top25/) peuvent servir. Wind River peut également vous aider dans cette démarche.

Les produits Wind River assurent une protection étendue sur plusieurs couches et pré-intégrée :
- amorçage et initialisation sécurisés contre le code exécutable compromis ;
- chiffrement des données au repos pour protéger les identifiants et autres informations sensibles ;
- authentification bidirectionnelle pour se préserver des points de terminaison piégés, ainsi que des tentatives de connexion malveillantes ;
- chiffrement des communications pour protéger les informations sensibles ;
- renforcement de la sécurité de l’OS pour éviter les élévations de privilèges ;
- pare-feu pour bloquer les accès externes et les connexions non sollicités vers l’extérieur ;
- mises à jour sécurisées pour éviter les altérations malveillantes, tout en acceptant les changements autorisés.

Ces systèmes de défense sont intégrés aux OS personnalisables de Wind River, qui permettent d’exclure tout service inutile d’un appareil. Ils réduisent la vulnérabilité des dispositifs tout en les sécurisant en profondeur.

En outre, Wind River possède une unité spécialisée dans les services aux entreprises. Celle-ci offre une assistance dans le cadre de l’évaluation et de la personnalisation des produits afin de répondre à vos besoins vis-à-vis de vos équipements (outils et processus nécessaires à la création et au déploiement des certificats de sécurité ; optimisation de l’utilisation des capacités de sécurité matérielle ; évaluation des risques et tests de sécurité...).

The Talking “Dead”

Les zombies de l’IdO en ont après vos équipements. Ils chercheront à échanger avec eux et à les infecter. Il existe des méthodes pour les protéger et des solutions pré-intégrées pour les immuniser contre les souches virales actuelles, mais aussi contre les mutations à venir. S’en occuper dès maintenant vous permettra d’assurer leur santé sur le long terme.




Voir les articles précédents

    

Voir les articles suivants