Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Rapport Doctor Web : En 3 ans, le nombre d’attaques ciblant des objets connectés a augmenté de 13497%

août 2019 par Doctor Web

Depuis 3 ans, Doctor Web surveille et étudie les menaces actives ciblant l’Internet des objets. Pour cela, les experts du Lab Doctor Web ont mis en place un système d’appâts spécialisés appelés « Honeypots ». Ils imitent différents types d’IoT permettant d’observer les techniques et comportements d’attaques ciblant ces objets, tout en récupérant les malwares utilisés pour ces attaques, dans le but d’améliorer leur détection et faire face à la menace de manière plus efficace.

Elena Kostyuchenko, Senior Analyst Technical Writer, chez Doctor Web explique : « Doctor Web a mis en place plusieurs honeypots, établis dans différentes régions. Ils prennent en compte les protocoles classiques, Telnet et SSH, pour que les malwares puissent fonctionner, ainsi que toutes leurs caractéristiques possibles : modification de clés SSH, ajouts d’utilisateurs, téléchargement d’autres malwares, etc. Ces honeypots sont basés sur des solutions open-source, sur lesquelles nos experts ont apporté quelques modifications. Grace à ces systèmes, durant 3 ans nous avons pu analyser les malwares en récupérant leurs charges virales, étudier les lieux d’où ils sont envoyés, et cela nous permet de fournir des solutions de protection plus efficaces ».

Voici quelques-uns des principaux enseignements :

En 3 ans, le nombre d’attaques recensées par les honeypots Doctor Web a augmenté de 13497 % : alors que l’activité observée en 2016 était faible, en seulement 4 mois, les experts recensaient déjà 729 590 attaques. Ce nombre fut multiplié par 32 en 2017 et n’a cessé de croître considérablement. En 2018, ce sont plus de 99 millions d’attaques qui ont été détectées. L’année 2019 semble dépasser tous les records, avec plus de 75 millions d’attaques relvées durant les 6 premiers mois.

L’origine de ces attaques est mondiale : les attaques proviennent de plus de 50 pays à travers le monde, et majoritairement des États-Unis et des Pays-Bas.

Des processeurs plus vulnérables que d’autres : les honeypots ont mis en évidence que les dispositifs ARM, MIPSEL et MIPS subissent le plus d’attaques.

Mirai, le Trojan le plus utilisé : datant de 2016, la diffusion de son code source dans le domaine public a provoqué très rapidement de nombreuses modifications. Mirai est le Trojan ciblant Linux le plus répandu et fonctionne sur de nombreux processeurs. Après avoir contaminé un appareil, il se connecte au serveur de gestion et attend d’autres commandes. Sa principale fonction est de lancer des attaques DDoS.

Plusieurs autres malwares très présents, avec des caractéristiques différentes : Hajime (propage un ver), BackDoor.Fgt (contamination d’IoT), ProxyM (assure l’anonymat des pirates), HideNSeek (contamine les IoT, génère des adresses IP auxquelles il essaie de se connecter par force brute)

Le rapport Dotor Web met en avant plusieurs tendances :

- La disponibilité des codes sources de Trojans (Mirai, BackDoor.Fgt, BackDoor.Tsunami…) accentue l’apparition de nouveaux programmes malveillants.
- Le nombre d’applications malveillantes écrites en langage de programmation « non standard » Go et Rust, ne cesse de croître.
- De plus en plus d’informations sur les vulnérabilités des dispositifs sont accessibles, ce qui profite aux cybercriminels.
- Les miners de cryptomonnaie (Monero) sont toujours populaires et utilisent les IoT.

Elena Kostyuchenko conclut : « Des milliards d’IoT sont aujourd’hui présents sur le marché. Ils sont des proies faciles pour les attaquants : la sécurité est toujours très peu intégrée « by-design » et les vulnérabilités sont nombreuses. Le problème est que la plupart des utilisateurs pensent que ces objets sont sûrs et que si la sécurité n’a pas été intégrée, la mise à jour devient ensuite compliquée. Si des efforts de sécurité (ce qui nécessite un investissement…) ne sont pas faits par les constructeurs, et a minima que des couches de sécurité complémentaires ne sont pas mises en place, malheureusement il faut continuer à nous attendre à une recrudescence des logiciels malveillants ciblant les IoT ».




Voir les articles précédents

    

Voir les articles suivants