Mort aux passoires de l’Internet ! Tel semble être la devise d’un nouveau groupe de pirates-justiciers qui lancent des attaques de « déni de service permanent » (Permanent Denial of Service, PDoS). Egalement appelé « phlashing » ou « bricking », ce genre de piratage vise à saboter un appareil pour le rendre totalement inopérant.
Récemment, les chercheurs en sécurité de Radware ont ainsi pu identifier coup sur coup deux vagues d’attaques, baptisées BrickBot1 et BrickBot2. Elles ont pu être révélées à l’aide d’un « pot de miel » (honeypot), c’est-à-dire une machine connectée sur Internet dont le but est d’attirer les codes malveillants. En l’espace de quatre jours, elle a reçu 1895 attaques de la part de ces deux malwares ! Autant dire que ça fuse sur Internet. Les sources d’attaques étaient réparties dans le monde entier. Dans le cas de BrickBot2, elles étaient même cachées derrière le réseau Tor.
Comment se passe l’attaque ? A l’instar de Mirai – le code malveillant qui embrigade les objets connectées pour en faire des machines zombies – BrickBot1 et BrickBot2 tentent de se connecter en Telnet à l’aide d’une liste d’identifiants par défaut. Par exemple « root/vizxv », qui est particulièrement répandu dans les appareils de la marque chinoise Dahua.
Une opération de purification ?
Une fois dans la place, ces malwares ne vont rien installer. Au contraire, ils vont essayer d’effacer un maximum de données et de saboter les modules de connexion Internet. L’objectif étant de réduire l’usage de l’objet connecté à celle d’un pèse-papier ou d’un cale-porte. Pour le propriétaire, la seule solution est souvent la réinstallation du firmware, ce qui peut être pénible.
Evidemment, on sait ne pas pourquoi ces pirates ont tant de haine envers ces objets connectés mal sécurisés. Il s’agit là peut-être d’une opération de purification. Excédés par la prolifération d’objets connectées vulnérables, ces pirates ont peut-être décidé de prendre le taureau par les cornes et de supprimer eux-mêmes toutes ces passoires. Ce qui est quand même un peu radical.
Il y a eu d’autres tentatives de ce genre par le passé, mais nettement plus positives. En 2015, Symantec avait mis la main sur le cheval de Troie Wifatch qui infectait les objets connectés en Telnet, changeait le mot de passe et désinstallait les malwares qu’il connaissait. Une vraie tornade blanche. Si ça se trouve, ce sont les mêmes auteurs, mais ils se sont simplement radicalisés avec le temps.
En tous les cas, si vous avez des objets connectés, veillez à ne pas activer le service Telnet et de toujours changer les mots de passe par défaut.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.