Oubliez 12345 ou P@ssW0rd ! Avira a découvert un mot de passe encore moins sûr à l’aide d’un honyepot qui devait détecter de nouvelles menaces pour les appareils intelligents : rien.
« Le plus souvent, des données d’accès vides sont utilisées. Cela signifie que l’intrus n’entre pas de nom d’utilisateur ni de mot de passe », explique Hamidreza Ebtehaj, analyste de la sécurité chez Avira. « Un mot de passe vide est même plus fréquent que le mot de passe admin. »
Les identifiants concernent ici une combinaison du nom d’utilisateur et du mot de passe. Des pirates ont saisi ces derniers dans un appareil pour l’infecter. Mais l’appareil était en fait un piège pour les pirates informatiques : un honeypot Avira. Au total, 25,6 % de toutes les attaques se sont produites avec des champs de saisie vides. Ce chiffre est nettement supérieur au nombre d’attaques avec d’autres combinaisons habituelles de nom d’utilisateur et de mot de passe. Les identifiants vides ont été utilisés encore plus souvent que les identifiants par défaut de nombreux appareils IdO tels que « admin | QWestM0dem » et « admin | airlive » (24,0 %) et une compilation d’identifiants standard (23,4 %) avec des classiques intemporels tels que « admin | admin », « support | support » et « root | root ».
25 % de toutes les attaques ont concerné des logiciels malveillants spécifiques à l’IdO, où les pirates se sont concentrés sur une vulnérabilité connue et ont essayé de l’exploiter avec des identifiants tels que « ___ ». Les deux combinaisons les plus utilisées ont été « root | xc3511 » et « default | S2fGqNFs » – deux webcams connectées à Internet et disponibles sur le marché sous des noms différents. Comme nous enregistrons constamment de nouvelles attaques, ces chiffres peuvent bien sûr varier, en particulier ceux des logiciels malveillants de l’IdO. Mais en général, la répartition est depuis un certain temps déjà telle que décrite ci-dessus.
Qu’est-ce qu’un honeypot ?
Un honeypot (pot de miel) est un appareil, un ordinateur ou un réseau utilisé pour appâter les pirates informatiques. Les honeypots sont un élément stratégique à part entière dans la lutte contre les cyberattaques. Ils permettent aux chercheurs d’attirer les pirates informatiques et de les piéger un moment pour découvrir leurs dernières techniques et leurs cibles privilégiées. « Nous permettons aux pirates d’accéder à notre honeypot avec n’importe quelle combinaison de nom d’utilisateur et de mot de passe, voire même avec un mot de passe vide », indique M. Ebtehaj.
Comment communique votre appareil intelligent ?
Ce honeypot imite les fonctions et le comportement des appareils en ligne tels que les routeurs et les appreils d’IdO intelligents pour attirer les pirates. Il se rend visible sur Internet comme un appareil soi-disant vulnérable, en utilisant trois des protocoles les plus couramment appliqués pour les dispositifs intelligents : Telnet, Secure Shell et Android Debug Bridge. Les données ont été collectées le 5 septembre à partir de 14 125 attaques.
Le honeypot entre en jeu au cours de la deuxième phase
Toute attaque menée sur un appareil intelligent se compose de deux phases, pour la plupart automatisées. Au cours de la première phase, le pirate sélectionne secrètement une cible. Pour ce faire, il peut utiliser un scanner d’IP/de port, évaluer les informations provenant d’autres assaillants/botnets ou effectuer une recherche aveugle sur Internet avec le moteur de recherche Shodan. Certains pirates disposent même d’une base de données qui répertorie tous les appareils vulnérables.
Au cours de la deuxième phase, l’assaillant tente d’infecter l’appareil sélectionné. Et c’est là que le honeypot joue un rôle important. Il ne stocke pas seulement les données d’accès utilisées pour l’attaque, mais recueille également des données sur les vecteurs d’infection, les scripts et les logiciels malveillants.
Cette fois, tout ne dépend pas seulement des utilisateurs
Les appareils intelligents sont souvent critiqués pour leurs vulnérabilités intégrées, et leurs utilisateurs pour ne pas avoir changé les mots de passe par défaut Selon M. Ebtehaj, le problème ne concerne pas seulement les propriétaires d’équipement paresseux. « L’utilisateur moyen ne sait rien de ces protocoles et ne soupçonne même pas que son appareil pourrait être vulnérable aux attaques de pirates informatiques. On ne peut pas attendre des utilisateurs qu’ils se connectent à un terminal et modifient les paramètres de protocoles dont ils n’ont jamais entendu parler. Les fabricants et les développeurs d’appareils sont les principaux responsables dans ce domaine.
Pourquoi les appareils intelligents sont loin de l’être en matière de sécurité
Le problème de nombreux appareils intelligents est que l’on n’a pas accordé suffisamment d’attention à la sécurité lors de leur développement. Les vulnérabilités et le piratage de ces appareils en réseau ont eu de nombreuses conséquences diverses par le passé : dans les cas les plus inoffensifs, les utilisateurs ont été invités à s’abonner à PewDiePie. La situation s’est aggravée lorsque le botnet Mirai a paralysé certaines parties d’Internet à la suite de la plus grande attaque DDoS (Distributed Denial of Service : attaque par des drones botnet sur des serveurs) au monde. Les accords industriels concernant les normes relatives aux appareils intelligents n’en sont qu’au stade de la planification, si bien que des millions d’appareils dangereux sont encore en ligne.
L’insécurité demeure
Si vous utilisez un appareil intelligent, vous avez trois options en matière de sécurité :
- Informez-vous en ligne des éventuelles failles de sécurité connues de votre appareil.
- Vérifiez les mises à jour de firmware pour votre appareil afin de corriger les vulnérabilités ou les problèmes connus de ce dernier.
- Analysez votre réseau à la recherche de ports ouverts qui pourraient attirer des pirates informatiques indésirables.