Blog GlobalSign

08 déc. 2017

Reaper, un botnet très menaçant…

Aussi effrayant que l’impressionnant Mirai l’an dernier, un nouveau botnet a depuis fait son apparition. Son nom : Reaper, la « Grande Faucheuse » en français. Même si les deux botnets présentent de nombreuses similarités, Reaper pourrait se révéler bien plus puissant.

En prenant le contrôle de certains appareils par le biais d’identifiants d’authentification faibles ou configurés par défaut, Mirai a pu coordonner des attaques DDoS (Déni de service distribué) contre le fournisseur de DNS Dyn, coupant l’accès à de grands sites comme Amazon, Twitter et Spotify. Au lieu de viser les mots de passe faibles, Reaper cherche à exploiter les vulnérabilités des équipements IoT — d’où son nom de « Reaper » ou « IoT Reaper », qui signifie en anglais « moissonneur ou faucheur d’objets connectés », attribué par des chercheurs de Netlab 360.

Dans le viseur de Reaper jusqu’à présent : les caméras IP des fabricants GoAhead, D-Link, TP-Link, AVTECH, Netgear, MikroTik, Linksys et Synology.

L’entreprise de sécurité Check Point Research surveille également Reaper de très près (baptisé IoTroop dans cet article) et a publié ses conclusions fin octobre sur son blog. À cette date, l’entreprise estimait qu’au moins un million d’entreprises étaient infectées à travers le monde, notamment aux États-Unis, en Australie « et partout entre ces deux continents, les chiffres étant en progression constante ».

Si certaines caractéristiques techniques du botnet ont conduit Check Point à soupçonner un éventuel lien entre Reaper et Mirai, l’entreprise considère que cette campagne totalement inédite et beaucoup plus sophistiquée se propage très rapidement à travers le monde. À ce stade, les intentions de l’assaillant sont encore floues.

Autre société de sécurité informatique basée en Chine cette fois, Qihoo360 est intimement convaincue que le botnet emprunte des éléments du code de Mirai. Même si Reaper n’en est encore qu’à ses débuts, Qihoo360 soupçonnait son auteur de continuer à intervenir activement sur le code en y ajoutant notamment d’autres exploits. L’entreprise de sécurité a notamment constaté l’intégration d’un exploit conçu pour un enregistreur NVR (Network Video Recorder) de la marque Vacron au Reaper seulement deux jours après la divulgation de la vulnérabilité.

À quoi faut-il s’attendre avec Reaper ?

Quihoo360 soutient que Reaper continue à se propager, tandis que Check Point affirme avoir constaté que plusieurs appareils étaient ciblés, puis chargés de transmettre l’infection ultérieurement. Ces attaques provenaient de différents types d’appareils et de plusieurs pays sur 60 % des réseaux d’entreprises faisant partie du réseau Check Point ThreadCloud de lutte collaborative contre les cybermenaces.

Pour Check Point, c’est également le calme avant la tempête : même si aucun des appareils infectés n’a encore été utilisé pour lancer une attaque DDoS, c’est probablement ce à quoi il faut s’attendre.

Autre raison pour utiliser des identités fortes pour les équipements et intégrer la sécurité dès la conception

Reaper n’en est encore qu’à ses débuts, mais comme l’ont appris, à leurs dépens les entreprises victimes de précédentes attaques DDoS par botnet qui se sont soldées par une panne Internet, il est indispensable d’être bien préparé. Les mécanismes de défense adéquats doivent avoir été mis en place avant un éventuel cyberassaut.

Dans notre précédente liste de suggestions sur les moyens pour les fabricants de prévenir les attaques de botnets — liste constituée l’an dernier après l’attaque de Mirai, l’histoire ayant tendance à se répéter — nous indiquions les mécanismes de défense suivants :

  • Limitation des accès distants aux équipements
  • Implémentation d’un système d’authentification forte pour les équipements, si besoin d’un accès distant ; utilisation de mots de passe uniques forts pour chaque appareil avec, idéalement, un second facteur d’authentification
  • Authentification forte pour les utilisateurs et services administratifs
  • Acceptation des mises à jour logicielles et firmware autorisées uniquement. Contrôle logique des mises à jour envoyées en mode « push » vers les appareils afin d’empêcher l’installation de code non fiable, comme celui de Mirai et Reaper.

Ces précautions doivent être prises en compte et intégrées dès le départ. Ainsi, lorsque les attaques passeront à l’échelle supérieure, les systèmes IoT seront suffisamment fiables pour faire considérablement chuter les risques de violations d’accès. Comment ? Grâce à la technologie d’infrastructure à clé publique (PKI).

La PKI présente de nombreux avantages pour une authentification forte des équipements. Non seulement cette technologie est extrêmement difficile, voire techniquement impossible à usurper, mais son intégration au processus d’authentification empêche les attaques par dictionnaire (comme pour le botnet Mirai). La PKI permet également d’utiliser des identités uniques pour les entités authentifiantes (équipements et services). Lors de la fabrication des équipements, il est recommandé d’intégrer des identifiants d’authentification uniques à chaque équipement, plutôt que d’utiliser des identifiants partagés ou communs pour toute une gamme d’équipements. L’idéal reste cependant d’exploiter les éléments de sécurité matérielle pour protéger les clés privées sur les équipements et empêcher le vol des identifiants ou leur migration en dehors des équipements eux-mêmes.

Vous pouvez également utiliser la PKI pour valider les mises à jour à installer sur l’équipement. La logique de mises à jour peut être conçue de sorte à n’autoriser que l’exécution de code signé numériquement par un éditeur donné à l’aide d’un certificat spécifique.

Conseils de sécurité supplémentaires

Nous invitons les fabricants d’objets connectés à se pencher sur le projet OWASP (The Open Web Application Security Project). OWASP regorge de conseils simples sur les règles applicables aux mots de passe qui peuvent contribuer à prévenir d’autres attaques comparables à Reaper. Nous vous recommandons cependant de ne pas vous concentrer exclusivement sur les mots de passe, mais d’élargir le champ de vos recherches sur une méthode d’authentification forte.

Et après ?

Avec Reaper, personne ne sait ce qu’il adviendra. Espérons que les équipements soient moins impactés qu’avec Mirai. Mais, au vu des inquiétudes dans le monde de la sécurité, c’est peu probable. Il n’y a qu’à espérer qu’avec le temps, les concepteurs et les fabricants parviennent à améliorer la sécurité des objets connectés — point sur lequel il est possible d’intervenir — pour limiter l’étendue des dégâts causés par des botnets comme Reaper.

Partager ce blog