Les thingbots : une menace pour l'Internet des objets
mer, 30/05/2018 - 14:36
Selon une nouvelle étude menée par des experts en cybersécurité de F5 Networks, la vulnérabilité des appareils de l’Internet des objets (IoT) est telle que cela constitue une menace de plus en plus difficile à contrôler.
Le dernier rapport sur le cyber-renseignement de F5 Labs met en lumière les « thingbots », ces réseaux exclusivement composés d’appareils IoT. Moins protégés, plus difficiles à corriger et appelés à devenir plus nombreux que les ordinateurs traditionnels, les IoT sont en passe de devenir le vecteur d'attaque privilégié des cybercriminels qui constituent desbotnets.
Ainsi d’après F5 Labs, les attaques par force brute via le protocole Telnet visant les appareils IoT ont augmenté de 249 % entre 2016 et 2017. Les pays les plus actifs dans ce domaine sont la Chine, les Etats-Unis et la Russie, avec 44% du trafic des attaques qui émanent de Chine.
Fait inquiétant, les mêmes adresses IP et réseaux d’attaque ont été signalés par F5 Labs de manière répétée sur une période de deux ans, ce qui prouve soit que le trafic malveillant passe inaperçu, soit qu’il est autorisé.
Les pays les plus victimes d’attaques sont les États-Unis, Singapour, l’Espagne et la Hongrie.
Toutefois, aucun pays en particulier ne semble être dans le viseur des thingbots. Chacun des 10 pays les plus visés n’a essuyé qu’une faible proportion des attaques totales, excepté l’Espagne qui a enregistré 22 % des attaques de décembre.
Dans le détail, ces 10 pays les plus visés ont subi au maximum 44 %, et au minimum 24 %, des attaques totales. Cela signifie que les appareils IoT vulnérables sont largement répartis à travers le globe, ce qui rend la menace d’autant plus diffuse et difficile à contrer.
Fait étonnant, F5 Labs a noté au second semestre 2017 une diminution du nombre d’attaques par rapport au premier semestre (baisse de 77 % entre le premier et le quatrième trimestre). Il s’est néanmoins révélé plus élevé qu’au plus fort des attaques Mirai. Pour mémoire, Mirai est un malware qui s’est fait connaître en septembre 2016 pour le contrôle à distance de centaines de milliers d’appareils IoT, tels que des caméras de surveillance, des routeurs et des magnétoscopes numériques.
D’après le volume de trafic observé de juillet à décembre 2017, F5 Labs estime que de nombreux thingbots de grande envergure sont créés. Plus inquiétant, toujours selon GF5 Labs : les attaques Mirai n’avaient jamais atteint leur plein potentiel mais avaient tout juste montré la voie.
« Les appareils IoT ne sont pas encore des produits de grande consommation », déclare Sara Boddy, directrice de F5 Labs Threat Research. Mais cela viendra sans aucun doute…
« Si nous ne changeons pas dès maintenant nos normes de développement, des appareils IoT vulnérables seront déployés deux à trois fois plus vite qu’auparavant, et seront piratés au même rythme. C’est le chaos assuré entre les mondes physique et virtuel. »
Telnet : la fin d’un filon ?
Au cœur des attaques actuelles contre les IoT, Telnet est un protocole qui a été régulièrement exploité par les cybercriminels pour causer des ravages. F5 Labs a cependant constaté une diversification notable et rapide des tactiques d’attaque, et par conséquent une baisse du recours au protocole Telnet.
« Depuis au moins un an maintenant, les attaquants utilisent d’autres méthodes de piratage des appareils IoT », explique Sara Boddy. « Il s’agit de méthodes simples d’un point de vue technique, qui nécessitent juste davantage d’étapes dans le plan d’attaque. Elles affectent aussi moins d’appareils dans la mesure où elles ciblent des ports et protocoles non standard, des fabricants spécifiques, ou des types ou modèles d’appareils en particuliers. »
Par exemple, F5 Labs indique qu’au moins 46 millions de routeurs domestiques sont vulnérables à une attaque par injection de commande à distance contre les protocoles de gestion à distance personnalisés TR-069 et TR-064. Ces protocoles ont été créés pour permettre aux FAI de gérer les routeurs déployés au domicile des clients. Ils ont été exploités par le thingbot Annie, occasionnant des pannes majeures aux clients de plusieurs opérateurs de télécommunications de premier plan. Annie est l’un des cinq thingbots élaborés à partir de différents éléments de code de Mirai (les autres étant Persirai, Satori, Masuta et Pure Masuta). Seuls Persirai et Satori s’attaquent à Telnet pour l’exploit initial des appareils.
« Il est très probable que des thingbots aient lancé des attaques dont nous n’aurons jamais connaissance et que leurs auteurs en récoltent les fruits. Le minage de cryptomonnaies est un bon exemple d’attaque IoT qui passe inaperçue si elle n’a pas un impact visible sur le consommateur, comme un ralentissement des performances de l’appareil », précise Sara Boddy.
« Tous les professionnels de la sécurité, de même que les développeurs de systèmes d’apprentissage automatique et d’intelligence artificielle, devraient faire équipe pour élaborer des contrôles de sécurité de l’IoT innovants. À l’avenir, nous aurons besoin de réseaux neuronaux IoT qui reproduisent la façon dont les réseaux fongiques assurent la prospérité des environnements écologiques. »