En tout, le logiciel Mirai a permis de lancer plus de 15 000 attaques. C’est l’un des enseignements de la première étude exhaustive de ce virus touchant les objets connectés.

En tout, le logiciel Mirai a permis de lancer plus de 15 000 attaques. C’est l’un des enseignements de la première étude exhaustive de ce virus touchant les objets connectés. / Mike Blake / REUTERS

En octobre, l’entreprise Dyn a subi une attaque informatique de grande ampleur qui a paralysé, pendant plusieurs heures, une partie du Web américain. Mais cette société n’était en réalité pas la principale cible des assaillants, selon les auteurs d’une étude sur Mirai, le réseau d’objets connectés zombies d’où provenait l’attaque.

Selon eux, ce sont des serveurs de l’infrastructure PlayStation utilisée par les consoles de jeu de Sony, qui a essuyé le gros de l’assaut, entraînant dans sa chute l’infrastructure de Dyn. Un scénario d’autant plus crédible que ces experts ont repéré, en plus de Dyn et de PlayStation, d’autres cibles dans le secteur du jeu vidéo, comme Steam ou le réseau Xbox Live.

Ce n’est pas le seul enseignement de cette étude, réalisée par dix-neuf universitaires et experts issus de grandes entreprises du Net (CloudFlare, Akamai, Google) et rendue publique dans le cadre de la conférence Usenix, qui s’est achevée vendredi 18 août. Sur la base d’une très grande masse de données (notamment des traces laissées par Mirai sur Internet), ils ont réalisé la première étude approfondie sur ce réseau d’objets connectés piratés. Ce dernier est à l’origine, outre l’attaque contre Dyn, de deux offensives lancées en septembre : contre le site de l’expert en sécurité informatique Brian Krebs et contre l’hébergeur français OVH.

Ces attaques, qui consistaient à multiplier les tentatives de connexion contre leurs cibles afin de les rendre inaccessibles, ont fait date par leur ampleur et ont cristallisé les craintes de l’industrie de la sécurité informatique vis-à-vis de ce type d’attaque.

Lire aussi : Derrière une série d’attaques informatiques très puissantes, un réseau d’objets connectés piratés

Jusqu’à 600 000 objets infectés

Les chercheurs sont remontés jusqu’aux premières traces d’activité de Mirai, dont la principale caractéristique est d’infecter automatiquement des objets connectés (des caméras de surveillance par exemple) afin d’en prendre le contrôle et, à l’insu de leur propriétaire, de les utiliser pour lancer des attaques.

Mirai apparaît le 1er août 2016, et sa propagation est extrêmement rapide : 11 000 objets connectés sont infectés lors de ses dix premières minutes d’activité. Vingt heures plus tard, il y en a plus de 64 000. Ce nombre de victimes est impressionnant, mais Mirai demeure moins contagieux que certains vers informatiques apparus au début des années 2000.

Reste qu’entre son apparition et fin février, période pendant laquelle les chercheurs l’ont étudié, Mirai a possédé dans son giron entre 200 000 et 300 000 objets connectés en moyenne, avec un pic à 600 000 fin novembre. Son rythme semblait se ralentir fin février : il réunissait alors environ 100 000 objets infectés.

Plus de 40 % des appareils infectés se situaient dans trois pays : le Brésil, la Colombie et le Vietnam. Il ne faut pas y chercher d’indice sur le ou les responsables des attaques commises par Mirai : selon les chercheurs, il s’agit simplement des zones géographiques où les objets connectés vulnérables étaient les plus présents.

En effet, Mirai se propage en utilisant les faiblesses de ces caméras connectées ou de ces routeurs : lorsqu’il repère un objet connecté, il puise dans une liste de mots de passe et tente de s’y connecter. De nombreux fabricants négligent la sécurité et attribuent le même mot de passe à tous leurs produits, ces tentatives sont souvent fructueuses. Une fois à l’intérieur d’un nouvel objet, Mirai se met automatiquement à la recherche d’autres terminaux vulnérables.

Plus de 15 000 attaques

Certains de ces objets vulnérables sont fabriqués par des entreprises peu connues du grand public, mais une partie des appareils utilisés est commercialisée par des géants du secteur, pourtant au fait des enjeux de sécurité, comme Samsung, Panasonic, Toshiba, Huawei ou D-Link.

Une fois « enrôlés » dans Mirai, ces nombreux objets connectés forment un outil d’attaque puissant. Au-delà des victimes de Mirai déjà connues, les chercheurs ont recensé plus de 15 000 attaques perpétrées par ce réseau zombie dans quatre-vingt-cinq pays différents. Plus de la moitié des victimes se situent aux Etats-Unis ; la France compte 6,6 % des victimes, juste devant Grande-Bretagne (6,1 %).

Les chercheurs expliquent par ailleurs que les attaques qu’ils ont pu analyser ne représentent qu’une partie du total, leurs données n’étant pas assez anciennes.

Difficile de dire qui se cache derrière les attaques ayant visé Dyn ou OVH. D’autant que des « dizaines de variantes » du logiciel ont été découvertes par les experts. La publication, en octobre, de son code informatique a permis de nombreuses mutations et autres « améliorations » de ses fonctionnalités.

Lire aussi : Le code source d’un puissant programme d’attaques informatiques rendu public

Améliorer les défenses

Tester des mots de passe par défaut est une technique d’attaque extrêmement basique. Pourtant, dans le cas de Mirai, elle a été très efficace en raison de la nature de l’écosystème des objets connectés. Les chercheurs estiment que les dégâts provoqués par ce logiciel s’expliquent par l’état déficient de la sécurité des objets connectés, qui est loin d’avoir la même maturité que celle des ordinateurs ou des smartphones.

Contrairement à ces deux secteurs, « où un petit nombre d’industriels conscients de la sécurité développent les logiciels qui dominent le marché (Windows, iOS, Android), les objets connectés sont beaucoup plus hétérogènes et, d’un point de vue de la sécurité, largement négligés ».

Lire aussi : Le casse-tête de la sécurité des objets connectés

Les experts suggèrent, outre de cesser de recourir à des mots de passe de connexion par défaut identiques pour tous les appareils, de limiter les possibilités de connexion et de contrôle à distance, de mieux identifier et corriger les failles logicielles, notamment en mettant en place des mises à jour automatiques, et de créer un canal de communication avec les fabricants et les utilisateurs d’objets connectés afin de pouvoir les avertir que leurs appareils sont détournés de leur fonction première.

« Sans des défenses améliorées, les attaques basées sur les objets connectés vont certainement rester une technique puissante. (…) A cet égard, Mirai porte bien son nom, qui signifie “futur” en japonais », concluent les experts.