Wifatch : bon ou mauvais, ce malware qui infecte les routeurs domestiques Linux ?

Par:
fredericmazue

lun, 05/10/2015 - 12:29

Un malware peut-il être bon ou mauvais ? La question peut surprendre, mais elle se pose néanmoins.

Elle se pose à lire une bien étrange histoire que rapporte l'éditeur de solutions de sécurité Symantec.

Symantec a découvert l'existence de Linux.Wifatch, un logiciel - appelons-le comme ça pour l'instant - qui se répand sur les routeurs Linux. Les routeurs domestiques principalement. Vous avez sans doute un tel routeur chez vous. Les 'Box' de connexions ADSL sont, en plus d'être un modem ADSL, un routeur Linux :-)

Wifatch se répand dans ces routeurs en établissant une connexion Telnet et en exploitant des mots de passe faibles. Et l'on sait bien que la majorité des utilisateurs utilisent leur 'Box' en y laissant les mots de passe par défaut.

Une fois dans les lieux, que fait Linux.Wifatch ? Il arrête le démon Telnet et informe sur ses dangers, et sur le danger qu'il y a à utiliser des mots de passe faibles.

Le code source de Linux.Wifatch contient même des commentaires bienveillants :-)

Et rien d'autre... Ce 'logiciel' qui se voit principal en Chine serait donc un 'malware bienveillant' si tant est que cela puisse exister.

Malware, parce que sur le fond, il s'implante dans des systèmes sans demander leur consentement à ses propriétaires. C'est mal :-) Mais une fois installé il ne fait rien de mal en apparence. Linux.Wifatch est un logiciel écrit en Perl. Le code n'est pas obfusqué. Il se met à jour tout seul. Selon Symantec, Linux.Wifatch n'a encore lancé aucune action malveillante. Aucune attaque DDoS, rien.

Mais Linux.Wifatch contient quand même des backdoors... Des backdoors sécurisées :-) Ainsi, grâce à un mécanisme de signature, seul l'auteur de Linux.Wifatch peut s'y connecter.

Mais alors quoi de plus facile, via une mise à jour, de transformer Linux.Wifatch est un vrai malware, et de lancer avec lui par exemple une attaque DDoS ? :-)