Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Faire face à la horde de zombies de l’IdO

décembre 2016 par Tim Skutt, Architecte systèmes d’informations, et Alex deVries, Directeur de la Technologie Linux chez Wind River

Nous sommes désormais victimes d’une invasion massive de la part des zombies de l’IdO, et visiblement nous ne sommes pas prêts de nous en débarrasser.
Ils en ont après votre équipement, alors des mesures s’imposent pour l’immuniser et lui éviter de souffrir.

Dans un précédent article (« Les zombies de l’IdO envahissent l’Internet »),
nous nous sommes intéressé aux récentes attaques DDoS (en déni de service) de grande
ampleur se servant des objets connectés comme de bots, ou de zombies. Peu de temps
après avoir rédigé cet article, le code source de cette attaque a été divulgué par
un individu affirmant en être l’auteur. Le malware Mirai est un virus transportant
un cheval de Troie poussant des objets connectés à s’en prendre à plusieurs sites à
haute fréquentation. Les estimations le concernant sont effrayantes : selon le site
Malware Tech, 120 000 appareils auraient été infectés, tandis que Level 3 avance le
nombre de 1,5 million de dispositifs. Tout ceci n’est qu’un exemple récent.

Ces virus sont présents pour toujours !

À l’heure où nous cherchons comment faire face à cet assaut, la virologie médicale
peut s’avérer utile pour se faire une meilleure idée du mode de propagation de ce
malware. Les infections du domaine réel sont modélisées en représentant le nombre de
personnes susceptibles d’être infectées ; le nombre de personnes infectées ; et le
nombre de personnes retirées de la chaîne de transmission
(ou rétablies) car
désormais immunisés.

Une fois un appareil infecté par Mirai, le virus arrose littéralement l’Internet à
la recherche de dispositifs avec des ports Telnet ouverts et utilisant des
identifiants par défaut. Une fois ces appareils vulnérables repérés, il les infecte,
les transforme en zombies, et la recherche de nouvelles cibles se poursuit. Il
s’agit de la première forte ascension observable sur la courbe.

Certains appareils seront nettoyés ou protégés, mais beaucoup ne le seront pas et
resteront infectés pour toujours.

Même s’ils sont un jour nettoyés, s’ils ne sont pas immunisés, d’autres équipements
les réinfecteront. Et étant donné qu’un grand nombre ne sera jamais mis à jour pour
traiter cette infection, l’épidémie se renouvellera constamment dans un avenir
immédiat.

Comment en venir à bout ?

Plusieurs solutions s’offrent à nous pour nous débarrasser de Mirai, ou au moins
limiter son impact.

 Traiter tous les équipements
Concrètement, cela n’arrivera jamais. En effet, la plupart des gens ignorent que
leurs produits sont infectés, n’ont pas les compétences ou ne sont pas en mesure de
les traiter, ou sont désintéressés étant donné que le problème ne les affecte pas
directement.

 Mettre les serveurs de commande et de contrôle hors d’usage
L’une des faiblesses de Mirai est qu’un appareil à peine infecté doit se connecter à
un serveur de commande et de contrôle pour télécharger des instructions. Il s’agit
de serveurs compromis, et non de dispositifs connectés. En les éliminant, on limite
alors la prolifération du virus.

 Protéger la cible
En réaction à l’attaque DDoS, le site krebsonsecurity.com a été migré vers un autre
hébergeur par mesure de protection. Ce type d’attaque n’a rien de nouveau, et il
existe des solutions pour en limiter l’impact, comme de déplacer la cible,
justement.

Mais au bout du compte, traiter l’ensemble des appareils actuellement ou
potentiellement infectés est irréalisable, et il est improbable que nous
réussissions à éradiquer le virus.

Les prochaines attaques

Après Mirai, d’autres malwares à propagation automatique seront développés pour
infecter d’autres objets connectés. Le code source de cette attaque a été rendu
public
, ce qui permettra d’accélérer le développement de ses successeurs.

Toute cette publicité va inciter les pirates à s’adapter, et nous pouvons nous
attendre à ce que la dépendance des malwares vis-à-vis des serveurs de commande et
de contrôle disparaisse. Cette mutation rendra alors la lutte encore plus difficile.

Jusqu’ici, il s’agissait d’attaques DDoS, mais les pirates pourraient ensuite tirer
profit d’appareils connectés et intelligents pour attaquer d’autres systèmes sur le
même réseau que l’objet zombie.

Immuniser les appareils

Les zombies de l’IdO sont visiblement parmi nous pour un bon moment. Nous pouvons
les éviter et même les mettre en quarantaine, mais avec l’évolution des réseaux et
le déploiement de nouveaux dispositifs, de nouvelles vulnérabilités apparaîtront. La
menace étant persistante, vos appareils seront eux aussi rapidement ciblés. Il est
donc crucial de les immuniser.

Première étape évidente : s’occuper des modes d’infection connus. Éliminez ou
bloquez les services non nécessaires (comme Telnet), remplacez tous vos identifiants
par défaut par des mots de passe complexes, et bloquez les connexions non
sollicitées vers des points de terminaison externes.

Par la suite, il vous faudra passer à la deuxième étape d’immunisation : traiter les
vulnérabilités susceptibles d’être exploitées par un virus adapté. C’est là que des
outils tels que le Top 25 des erreurs les plus dangereuses au sein des logiciels
publié par CWE/SANS (cwe.mitre.org/top25/) peuvent servir. Wind River peut également
vous aider dans cette démarche.

Les produits Wind River assurent une protection étendue sur plusieurs couches et
pré-intégrée :
 amorçage et initialisation sécurisés contre le code exécutable compromis ;
 chiffrement des données au repos pour protéger les identifiants et autres
informations sensibles ;
 authentification bidirectionnelle pour se préserver des points de terminaison
piégés, ainsi que des tentatives de connexion malveillantes ;
 chiffrement des communications pour protéger les informations sensibles ;
 renforcement de la sécurité de l’OS pour éviter les élévations de privilèges ;
 pare-feu pour bloquer les accès externes et les connexions non sollicités vers
l’extérieur ;
 mises à jour sécurisées pour éviter les altérations malveillantes, tout en acceptant
les changements autorisés.

Ces systèmes de défense sont intégrés aux OS personnalisables de Wind River, qui
permettent d’exclure tout service inutile d’un appareil. Ils réduisent la
vulnérabilité des dispositifs tout en les sécurisant en profondeur.

En outre, Wind River possède une unité spécialisée dans les services aux
entreprises. Celle-ci offre une assistance dans le cadre de l’évaluation et de la
personnalisation des produits afin de répondre à vos besoins vis-à-vis de vos
équipements (outils et processus nécessaires à la création et au déploiement des
certificats de sécurité ; optimisation de l’utilisation des capacités de sécurité
matérielle ; évaluation des risques et tests de sécurité...).

The Talking “Dead”

Les zombies de l’IdO en ont après vos équipements. Ils chercheront à échanger avec
eux et à les infecter. Il existe des méthodes pour les protéger et des solutions
pré-intégrées pour les immuniser contre les souches virales actuelles, mais aussi
contre les mutations à venir. S’en occuper dès maintenant vous permettra d’assurer
leur santé sur le long terme.


Voir les articles précédents

    

Voir les articles suivants