Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Les thingbots menacent l’Internet des objets

mai 2018 par F5

Selon une nouvelle étude menée par des experts en cybersécurité de F5 Networks, la vulnérabilité des appareils de l’Internet des objets (IoT) devient endémique, et constitue une menace de plus en plus difficile à contrôler.

Le dernier rapport sur le cyber-renseignement1 de F5 Labs met en lumière les « thingbots », ces réseaux exclusivement composés d’appareils IoT. Moins protégés, plus difficiles à corriger et appelés à devenir plus nombreux que les ordinateurs traditionnels, les thingbots sont en passe de devenir la technique privilégiée des auteurs de botnets.

Ainsi d’après F5 Labs, les attaques par force brute via le protocole Telnet visant les appareils IoT ont augmenté de 249 % entre 2016 et 2017. Les pays les plus actifs dans ce domaine sont la Chine, les Etats-Unis et la Russie, avec 44% du trafic des attaques qui émanent de Chine.

Fait inquiétant, les mêmes adresses IP et réseaux d’attaque ont été signalés par F5 Labs de manière répétée sur une période de deux ans, ce qui prouve soit que le trafic malveillant passe inaperçu, soit qu’il est autorisé.

Les pays les plus victimes d’attaques sont les États-Unis, Singapour, l’Espagne et la Hongrie.

Toutefois, aucun pays en particulier ne semble être dans le viseur des thingbots. Chacun des 10 pays les plus visés n’a essuyé qu’une faible proportion des attaques totales, excepté l’Espagne qui a enregistré 22 % des attaques de décembre.

Dans le détail, ces 10 pays les plus visés ont subi au maximum 44 %, et au minimum 24 %, des attaques totales. Cela signifie que les appareils IoT vulnérables sont largement répartis à travers le globe, ce qui rend la menace d’autant plus diffuse et difficile à contrer.

Fait étonnant, F5 Labs a noté au second semestre 2017 une diminution du nombre d’attaques par rapport au premier semestre (baisse de 77 % entre le premier et le quatrième trimestre). Il s’est néanmoins révélé plus élevé qu’au plus fort des attaques Mirai (un malware qui s’est fait connaître en septembre 2016 pour le contrôle à distance de centaines de milliers d’appareils IoT, tels que des caméras de surveillance, des routeurs et des magnétoscopes numériques).
D’après le volume de trafic observé de juillet à décembre 2017, F5 Labs estime que de nombreux thingbots de grande envergure sont créés. Plus inquiétant : il est reconnu que les attaques Mirai n’avaient jamais atteint leur plein potentiel mais avaient tout juste montré la voie.

Et le problème n’est pas près de disparaître : selon une annonce récente de l’analyste Gartner, 8,4 milliards d’appareils IoT sont actuellement utilisés, un chiffre qui atteindra 20,4 milliards d’ici 2020. Le cabinet IHS estime qu’il y aura 30 milliards d’appareils IoT d’ici 2020, et 100 milliards d’ici 2035 selon le fabricant de semi-conducteurs SoftBank.

« Les appareils IoT ne sont pas encore des produits de grande consommation », déclare Sara Boddy, directrice de F5 Labs Threat Research. Mais cela viendra sans aucun doute…
« Si nous ne changeons pas dès maintenant nos normes de développement, des appareils IoT vulnérables seront déployés deux à trois fois plus vite qu’auparavant, et seront piratés au même rythme. C’est le chaos assuré entre les mondes physique et virtuel. »

Telnet : la fin d’un filon ?

Au cœur des attaques actuelles contre les IoT, Telnet est un protocole qui a été régulièrement exploité par les cybercriminels pour causer des ravages. F5 Labs a cependant constaté une diversification notable et rapide des tactiques d’attaque, et par conséquent une baisse du recours au protocole Telnet.
« Depuis au moins un an maintenant, les attaquants utilisent d’autres méthodes de piratage des appareils IoT », explique Sara Boddy. « Il s’agit de méthodes simples d’un point de vue technique, qui nécessitent juste davantage d’étapes dans le plan d’attaque. Elles affectent aussi moins d’appareils dans la mesure où elles ciblent des ports et protocoles non standard, des fabricants spécifiques, ou des types ou modèles d’appareils en particuliers. »

Par exemple, F5 Labs indique qu’au moins 46 millions de routeurs domestiques sont vulnérables à une attaque par injection de commande à distance contre les protocoles de gestion à distance personnalisés TR-069 et TR-064. Ces protocoles ont été créés pour permettre aux FAI de gérer les routeurs déployés au domicile des clients. Ils ont été exploités par le thingbot Annie, occasionnant des pannes majeures aux clients de plusieurs opérateurs de télécommunications de premier plan. Annie est l’un des cinq thingbots élaborés à partir de différents éléments de code de Mirai (les autres étant Persirai, Satori, Masuta et Pure Masuta). Seuls Persirai et Satori s’attaquent à Telnet pour l’exploit initial des appareils.

« Il est très probable que des thingbots aient lancé des attaques dont nous n’aurons jamais connaissance et que leurs auteurs en récoltent les fruits. Le minage de cryptomonnaies est un bon exemple d’attaque IoT qui passe inaperçue si elle n’a pas un impact visible sur le consommateur, comme un ralentissement des performances de l’appareil », précise Sara Boddy.

« Tous les professionnels de la sécurité, de même que les développeurs de systèmes d’apprentissage automatique et d’intelligence artificielle, devraient faire équipe pour élaborer des contrôles de sécurité de l’IoT innovants. À l’avenir, nous aurons besoin de réseaux neuronaux IoT qui reproduisent la façon dont les réseaux fongiques assurent la prospérité des environnements écologiques. »

Mais en attendant que cela se produise, les entreprises ne doivent pas rester sans défense non plus ! C’est à elle d’assurer la redondance des services critiques pour le cas où l’un de ses fournisseurs serait visé par de telles attaques. Elles doivent aussi neutraliser les attaques liées au vol d’identité via des contrôles du « credential stuffing » (utilisation massive et simultanée d’identifiants volés) et l’authentification multi facteur.

Il est en outre important de mettre en œuvre une fonction de déchiffrement au sein du réseau pour intercepter le trafic malveillant dissimulé dans le trafic chiffré, et de s’assurer que les appareils qui se connectent au réseau passent par des systèmes de prévention et de détection des événements de sécurité des informations, y compris lorsqu’il s’agit d’objets connectés.

Dans le même temps, il est vital de soumettre les appareils IoT à des audits de sécurité réguliers, de tester ces produits connectés avant leur utilisation (dans l’idéal l’entreprise aurait un laboratoire interne pour cela !) et, comme toujours, de mettre en place de solides programmes de sensibilisation à l’intention des employés.


Voir les articles précédents

    

Voir les articles suivants