Attaques à répétition lancées via botnets d’objets connectés
En début de semaine s’est répandue la nouvelle : 20 millions de clients de Deutsche Telekom ont été touchés en Allemagne par une attaque DDoS qui s’est appuyée sur 900 000 routeurs piratés.
Coïncidence ou pas, de nouveaux travaux de recherche venaient d’être publiés signalant que le malware Mirai avait commencé à exploiter une vulnérabilité sur des routeurs domestiques. Cette information concerne plus particulièrement les routeurs fournis à des FAI allemands et irlandais pour le compte de Deutsche Telekom et Eircom. Ce qui n’était encore que des travaux de recherche est devenu réalité.
Chris Carlson, Vice President of Product Management, chez Qualys, nous livre son analyse de la situation.
Le rôle critique des FAI dans la prévention de ces attaques
Cela souligne une fois de plus la nécessité pour les FAI d’apporter davantage de sécurité pour protéger et sécuriser, non seulement leurs propres clients et réseaux, mais aussi et par extension, Internet dans son ensemble, en évitant que les objets connectés ne se transforment en botnets.
Faire porter le fardeau aux utilisateurs (et dans le cas présent à des utilisateurs domestiques et non techniciens) pour qu’ils corrigent eux-mêmes leur propre routeur n’est pas une solution. En effet, la probabilité qu’un grand nombre d’utilisateurs appliquent le correctif de secours pour empêcher l’infection sera très faible. Combien d’utilisateurs se souviennent même du mot de passe de leur routeur ? Ils doivent être encore moins nombreux à savoir appliquer les mises à jour du firmware.
Le vecteur d’attaque décrit est le port 7547 de ces routeurs. Comme ce port est ouvert sur Internet, ces équipements peuvent être ciblés par un exploit à distance qui fait tomber le firewall local du routeur et récupère le mot de passe d’administration par défaut. À l’aide d’une règle de filtrage Internet unique, les FAI peuvent empêcher l’accès au port 7547 depuis des réseaux externes aux FAI en barrant efficacement la route à l’exploit distant lancé par des opérateurs de botnets pour infecter ces routeurs.
Faut-il exiger des FAI qu’ils fournissent des fonctionnalités de filtrage pour prévenir les infections connues ? Seraient-ils impactés ou tenus pour responsables s’ils venaient à filtrer de manière inappropriée le trafic légitime ou à perturber l’activité d’un client ?
Les utilisateurs et équipements sont connectés à Internet via des FAI identifiés qui constituent la « rampe d’accès » à Internet, ainsi que le point logique pour surveiller, contrôler et protéger leurs utilisateurs contre les attaques en provenance d’Internet. Les FAI limitent déjà le débit des utilisateurs qui consomment trop de bande passante afin de ne pas fournir des services de données qui ne seraient pas rentables. Pourquoi ne protégeraient-ils donc pas leurs utilisateurs contre ces types d’infections propagées par des objets connectés et par la même occasion Internet dans son ensemble contre des attaques DDoS de grande envergure ?
Les répercussions probables de Mirai
Pour le moment aucune revendication des premières attaques Mirai pour permettre de cerner les intentions de l’opérateur de botnets. S’agissait-il d’une véritable attaque ou bien d’une démonstration de la puissance de leur réseau de botnets à base d’objets connectés ?
Nous devons nous attendre à des variantes, puisque les créateurs de Mirai ont publié le code source afin que tout un chacun puisse le récupérer, l’étudier, le modifier et l’utiliser. La transformation d’objets connectés en armes pour lancer une attaque d’une telle puissance aura des conséquences profondes et durables et ce n’est malheureusement que le début.
A propos de Qualys, Inc.
Qualys Inc. (NASDAQ : QLYS), est le principal fournisseur de solutions de sécurité et de conformité dans le Cloud avec plus de 8 800 clients dans plus de 100 pays, dont une majorité des sociétés présentes aux classements Fortune 100 et Forbes Global 100.
Qualys Cloud Platform et sa suite de solutions intégrée aident les entreprises à simplifier leurs opérations de sécurité et à réduire le coût de la conformité. Cette plate-forme délivre un service à la demande de renseignement sur la sécurité. Elle automatise le spectre complet de l’audit, de la conformité et de la protection des systèmes d’information et des applications Web. Fondée en 1999, Qualys a signé des accords stratégiques avec des fournisseurs de services d’infogérance (« managed services ») et des cabinets de conseil de premier ordre comme, Accenture, BT, Cognizant Technology Solutions, Dell SecureWorks, Fujitsu, HCL Comnet, InfoSys, NTT, Optiv, Tata Communications, Verizon et Wipro. Qualys est également l’un des fondateurs de la Cloud Security Alliance (CSA) et du Conseil sur la cyber-sécurité.
Plus d’informations sur www.qualys.com
Qualys, le logo Qualys et QualysGuard sont des marques déposées de Qualys, Inc.
Tous les autres produits ou marques sont la propriété de leurs détenteurs respectifs.