Analyse des données récoltées par les pièges de Kaspersky Lab pour l'Internet des objets
Au cours de l’année 2016, plusieurs événements ont provoqué une hausse de l’intérêt pour la sécurité des appareils intelligents. Citons, par exemple, les attaques DDoS d’une puissance jamais atteinte auparavant contre la société d’hébergement française OVH et le fournisseur DNS américain Dyn. Ces attaques avaient été organisées à l’aide d’un impressionnant réseau de zombies composé de routeurs, de caméras IP, d’imprimantes et d’autres appareils.
De même, le monde avait découvert à la fin de l’année 2016 un réseau de zombie gigantesque composé de routeurs (près de 5 millions d’appareils). Le géant allemand des télécommunications Deutsche Telekom fut également confronté à un réseau de zombies composé d’appareils infectés par Mirai. Les appareils réseaux n’ont pas été les seuls concernés : des problèmes de sécurité ont également été détectés dans des machines à laver la vaisselle Miele et des cuisinières AGA intelligentes. La cerise sur le gâteau fut le malware BrickerBot qui, à la différence de ses « collègues », ne se contentait pas d’infecter des appareils vulnérables, mais bien de les mettre hors service.
D’après les données de Gartner, il y a actuellement plus de 6 milliards d’appareils intelligents à travers le monde. Les individus malintentionnés ne pouvaient pas ignorer une telle quantité d’appareils potentiellement vulnérables : en mai 2017, la collection de Kaspersky Lab comptait plusieurs milliers d’exemplaires différents d’un malware pour appareils intelligents et près de la moitié d’entre eux avait été ajoutée en 2017.
Hausse du nombre d’exemplaires d’un malware pour appareils intelligents, 2013 à 2017.
Menace pour l’utilisateur final
La présence dans le réseau domestique d’un appareil de l’Internet des objets mal configuré ou vulnérable peut entraîner des conséquences fâcheuses. Un des scénarios les plus répandus est le recrutement de l’appareil dans un réseau de zombies. Il s’agit peut-être de l’exploitation la moins dangereuse pour l’utilisateur ; les autres exploitations possibles sont plus dangereuses. Ainsi, des appareils connectés au réseau domestique peuvent être utilisé en tant que maillons dans l’exécution d’actions illégales. De plus, un individu malintentionné qui a accès à un appareil de l’Internet des objets peut espionner son propriétaire en vue de le faire chanter. Des incidents similaires ont déjà été signalés. Et enfin, l’appareil peut être tout simplement piraté (ce qui n’est pas le pire des scénarios).
Principaux problèmes des appareils « intelligents »
Micrologiciels
Dans le meilleur des cas, les éditeurs diffusent des mises à jour pour leurs appareils intelligents avec un certain retard. Dans le pire des cas, et c’est malheureusement la tendance générale, le micrologiciel n’est pas mis à jour. De nombreux appareils ne prévoient même pas la possibilité d’installer des mises à jour.
Le logiciel des appareils peut contenir des erreurs que des individus malintentionnés peuvent exploiter. Ainsi, le trojan PNScan (Trojan.Linux.PNScan) tentait de pirater des routeurs en exploitant une des vulnérabilités suivantes :
- CVE-2014-9727 pour attaquer les routeurs Fritz!Box ;
- une vulnérabilité dans le protocole HNAP (Home Network Administration Protocol) et la vulnérabilité CVE-2013-2678 pour attaquer des routeurs Linksys ;
- ShellShock (CVE-2014-6271).
Si l’attaque réussissait, il installait la backdoor Tsunami sur l’appareil.
Le Trojan Persirai exploitait une vulnérabilité présente dans plus de 1 000 modèles différents de caméras IP. En cas d’aboutissement de l’attaque, il pouvait exécuter un code aléatoire sur l’appareil avec des autorisations de superutilisateur.
Une autre faille dans la sécurité est liée à la mise en œuvre du protocole TR-069. Ce protocole intervient dans l’administration à distance d’appareils du côté de l’opérateur et il repose sur SOAP qui, à son tour, utilise le format XML lors du transfert des commandes. C’est dans l’analyse syntaxique des commandes que la vulnérabilité a été détectée. Ce mode d’infection intervient également dans certaines versions du trojan Mirai, ainsi que dans Hajime. Les appareils Deutsche Telekom avaient été infectés de la sorte.
Mots de passe, Telnet et SSH
Un autre problème se situe au niveau des mots de passe définis par les fabricants. Ainsi, il peut arriver qu’un même modèle utilise le même mot de passe, voire que le même mot de passe soit appliqué à l’ensemble d’une production. La situation n’est pas récente. En effet, on peut trouver sur Internet des combinaisons de nom d’utilisateur et de mot de passe et les individus malintentionnés exploitent ces informations. Et pour leur simplifier la tâche, une part considérable des appareils intelligents communique via les ports Telnet et/ou SSH.
Par exemple, voici une liste de paires nom d’utilisateur/mot de passe d’une des versions du trojan Gafgyt (Backdoor.Linux.Gafgyt) :
| root | root |
| root | – |
| telnet | telnet |
| !root | – |
| support | support |
| supervisor | zyad1234 |
| root | antslq |
| root | guest12345 |
| root | tini |
| root | letacla |
| root | Support1234 |
Statistiques
Nous avons mis en place quelques pièges (honeypot) qui imitaient le comportement de divers appareils tournant sous le système d’exploitation Linux afin de pouvoir observer ce qui se passerait avec ceux-ci dans la nature. Les résultats ne se sont pas fait attendre : nous observions les premières tentatives de connexion au port telnet ouvert quelques secondes à peine après la mise en place du piège. Après 24 heures, nous avions enregistré plusieurs dizaines de milliers de connexions depuis des adresses IP uniques.
Nombre de connexions à nos pièges depuis des adresses IP uniques, janvier-avril 2017
Dans la majorité des cas que nous avons observés, c’est le protocole telnet qui était utilisé. Pour le reste, il s’agissait de SSH.
Répartition des connexions aux pièges en fonction des ports, janvier-avril 2017
Voici la liste des paires nom d’utilisateur/mot de passe les plus souvent utilisées par les individus malintentionnés lors des tentatives de connexion au port telnet :
| Nom d’utilisateur | Mot de passe |
| root | xc3511 |
| root | vizxv |
| admin | admin |
| root | admin |
| root | xmhdipc |
| root | 123456 |
| root | 888888 |
| root | 54321 |
| support | support |
| root | default |
| root | root |
| admin | password |
| root | anko |
| root | |
| root | juantech |
| admin | smcadmin |
| root | 1111 |
| root | 12345 |
| root | pass |
| admin | admin1234 |
Comme vous le voyez, la liste des combinaisons les plus populaires utilisées dans les attaques contre SSH varie légèrement :
| Nom d’utilisateur | Mot de passe |
| admin | default |
| admin | admin |
| support | support |
| admin | 1111 |
| admin | |
| user | user |
| Administrator | admin |
| admin | root |
| root | root |
| root | admin |
| ubnt | ubnt |
| admin | 12345 |
| test | test |
| admin | <Any pass> |
| admin | anypass |
| administrator | |
| admin | 1234 |
| root | password |
| root | 123456 |
Parmi les appareils impliqués dans les attaques observées, plus de 63 % étaient des services DVR ou des caméras IP. Près de 16 % étaient des appareils réseau, des routeurs de presque tous les principaux fabricants. Les répétiteurs Wi-Fi et autres appareils réseau, les téléviseurs, les dispositifs de téléphonie IP, les nœuds de sortie Tor, les imprimantes et les appareils de domotique représentaient 1 %. Près de 20 % des appareils n’ont pas pu être identifiés.
Répartition des sources d’attaque selon le type d’appareil, janvier-avril 2017
La majorité des adresses IP à l’origine des tentatives de connexion à nos pièges répond aux requêtes HTTP. Souvent, derrière une adresse IP, on retrouve plusieurs appareils (application de la technologie NAT). La réponse à la requête HTTP ne provient pas nécessairement de l’appareil qui a attaqué le piège, mais c’est souvent le cas.
La réponse à cette requête entraîne l’affichage d’une page Internet, en général un panneau d’administration de l’appareil, des options de surveillance ou par exemple, une retransmission vidéo de la caméra. Cette page permet de tenter de déterminer le type d’appareil. Vous trouverez ci-après la liste des en-têtes de page Internet les plus souvent rencontrées parmi les appareils attaquants :
| Titre HTTP | % d’appareils |
| NETSurveillance WEB | 17,40% |
| DVR Components Download | 10,53% |
| WEB SERVICE | 7,51% |
| main page | 2,47% |
| IVSWeb 2.0 – Welcome | 2,21% |
| ZXHN H208N V2.5 | 2,04% |
| Web Client | 1,46% |
| RouterOS router configuration page | 1,14% |
| NETSuveillance WEB | 0,98% |
| Technicolor | 0,77% |
| Administration Console | 0,77% |
| MГіdem – Inicio de sesiГіn | 0,67% |
| NEUTRON | 0,58% |
| Open Webif | 0,49% |
| hd client | 0,48% |
| Login Incorrect | 0,44% |
| iGate GW040 GPON ONT | 0,44% |
| CPPLUS DVR – Web View | 0,38% |
| WebCam | 0,36% |
| GPON Home Gateway | 0,34% |
Nos pièges ne permettent de voir qu’une partie des appareils. Pour pouvoir déterminer la quantité d’appareils de ce type dans le monde, il faut se tourner vers des services de recherche spécialisés comme Shodan ou ZoomEye. Ils analysent des plages d’adresses IP à la recherche des services pris en charge, les interrogent et indexent les résultats. Nous avons pris les en-têtes les plus populaires parmi les caméras IP, les enregistreurs numériques et les routeurs et nous les avons recherchées dans ZoomEye. Les résultats sont impressionnants : nous avons trouvé ainsi des millions d’appareils qui pourraient être infectés (ou qui le sont probablement déjà) par un malware.
Nombre d’adresses IP d’appareils potentiellement vulnérables (caméras IP et enregistreurs numériques).
| Titre HTTP | Appareils |
| WEB SERVICE | 2 785 956 |
| NETSurveillance WEB | 1 621 648 |
| dvrdvs | 1 569 801 |
| DVR Components Download | 1 210 111 |
| NetDvrV3 | 239 217 |
| IVSWeb | 55 382 |
| Total | 7 482 115 |
Nombre d’adresses IP d’appareils potentiellement vulnérables (routeurs).
| Titre HTTP | Appareils |
| Eltex NTP | 2 653 |
| RouterOS router | 2 124 857 |
| GPON Home Gateway | 1 574 074 |
| TL-WR841N | 149 491 |
| ZXHN H208N | 79 045 |
| TD-W8968 | 29 310 |
| iGate GW040 GPON ONT | 29 174 |
| Total | 3 988 604 |
Il est également intéressant de constater que parmi les appareils réseau à l’origine d’attaques contre nos pièges, on retrouve non seulement des appareils domestiques, mais également des appareils de catégorie industrielle.
Mais plus effrayant encore, parmi les adresses d’où proviennent les attaques, on retrouve des adresses associées à des systèmes de surveillance et/ou d’administration d’appareils liés aux industries et à la sécurité :
- Caisses enregistreuses dans des magasins, des restaurants et des stations-services
- Systèmes de télévision numérique
- Système de protection et de contrôle de l’accès
- Dispositif de surveillance écologique
- Surveillance d’une station sismique à Bangkok
- Microcontrôleurs programmables utilisés dans l’industrie
- Système d’administration de l’alimentation électrique
Nous ne pouvons pas confirmer l’infection des appareils cités ci-dessus. Toutefois, nous avons détecté des attaques contre nos pièges en provenance de ces adresses IP, ce qui signifie l’infection d’un ou de plusieurs appareils dans le réseau où ils se trouvent.
Répartition géographique des appareils infectés.
Au niveau de la répartition géographique des appareils dont les adresses IP ont été à l’origine d’attaques contre nos pièges, la situation est la suivante :
Répartition des adresses IP des appareils attaquants par pays, janvier-avril 2017
Comme nous l’avons déjà dit, la majorité des appareils infectés est composée de caméras IP et d’enregistreurs vidéo numériques, très répandus en Chine, au Vietnam, ainsi qu’en Russie, au Brésil, en Turquie et dans d’autres pays.
Répartition géographique des adresses IP des serveurs d’où le malware est téléchargé sur l’appareil
Jusqu’à présent en 2017, nous avons enregistré plus de 2 millions de tentatives de piratage et plus de 11 000 adresses IP uniques d’où un malware pour l’Internet des objets a été téléchargé.
La répartition de ces adresses IP par pays est la suivante (TOP 10) :
| Pays | Adresses IP uniques |
| Viet Nam | 2136 |
| Taiwan, province chinoise | 1356 |
| Brésil | 1124 |
| Turquie | 696 |
| Corée, République de | 620 |
| Inde | 504 |
| États-Unis | 429 |
| Fédération de Russie | 373 |
| Chine | 361 |
| Roumanie | 283 |
Si nous étudions la répartition en fonction non pas des adresses IP mais du nombre de téléchargements, la situation est différente :
| Pays | Téléchargements |
| Thaïlande | 580267 |
| Hong Kong | 367524 |
| Corée, République de | 339648 |
| Pays-Bas | 271654 |
| États-Unis | 168224 |
| Seychelles | 148322 |
| France | 68648 |
| Honduras | 36988 |
| Italie | 20272 |
| Royaume-Uni | 16279 |
Nous supposons que cette différence s’explique par la présence dans ces pays de serveurs de type « bulletproof » qui garantissent une diffusion plus rapide et plus fiable du malware que les appareils infectés.
Répartition de l’activité des attaquants selon les jours de la semaine
Dans le cadre de l’analyse de l’activité des réseaux de zombies composés d’appareils de l’Internet des objets, nous avons identifié certains paramètres particuliers de fonctionnement. Ainsi, nous avons remarqué que les pics d’activité (analyse, déchiffrement des mots de passe, tentatives de connexion) se manifestent certains jours de la semaine.
Répartition de l’activité des attaquants selon les jours de la semaine, avril 2017
Il semblerait que le lundi soit également un jour chargé chez les individus malintentionnés. Nous n’avons trouvé aucune explication particulière pour cette dynamique.
Conclusion
La hausse du nombre de malwares pour l’Internet des objets et du nombre d’incidents associés à ceux-ci confirme le sérieux de la problématique de la sécurité des appareils intelligents. L’année 2016 aura démontré que la menace n’est plus potentielle, mais bel et bien réelle. La rude concurrence sur le marché des attaques DDoS pousse les individus malintentionnés à chercher de nouvelles ressources qui pourraient les aider à organiser des attaques toujours plus puissantes. Le réseau de zombies Mirai a démontré que ces ressources pouvaient prendre la forme d’appareils intelligents dont le nombre atteint déjà plusieurs milliards et les analystes de différentes sociétés prévoient d’ores et déjà que ce nombre sera compris entre 20 et 50 milliards d’appareils d’ici 2020.
A titre de conclusion, nous aimerions formuler quelques recommandations pour vous aider à éviter l’infection de vos appareils :
- Sauf nécessité absolue pour le fonctionnement de l’appareil, évitez d’offrir un accès à celui depuis le réseau extérieur.
- Désactivez tous les services réseau dont vous n’avez pas besoin pour utiliser l’appareil.
- Si l’appareil utilise un mot de passe standard ou universel qui ne peut être modifié ou si le compte utilisateur prédéfini ne peut être désactivé, désactivez les services réseaux dans lesquels ce mot de passe ou ce compte utilisateur est utilisé ou interdisez l’accès réseau à celui-ci depuis l’extérieur.
- Avant d’utiliser l’appareil pour la première fois, remplacez le mot de passe par défaut par un nouveau mot de passe capable de résister à une attaque par force brute directe.
- Actualisez régulièrement le micrologiciel jusqu’à la version la plus récente (si ces mises à jour existent).
Ces quelques conseils vous protègeront contre la majorité des attaques provoquées par les malwares de l’Internet des objets actuellement en circulation.
Des mêmes auteurs
Dans la même catégorie
Pièges dans l’Internet des objets