Botnet : Mirai, DDoS… quelles sont les attaques contre l'IoT ?
Qu'est-ce qu'un botnet ?
Pour bien comprendre le sujet des attaques contre l’IoT (Internet of Things), il est d’abord nécessaire de définir ce qu’est un botnet. Le terme botnet est la contraction des mots robot et network (réseau), il désigne un réseau de bots informatiques, autrement dit un ensemble de programmes connectés au web et communicant entre eux – ou avec d’autres programmes – afin d’effectuer certaines tâches, généralement malveillantes. Beaucoup les emploient en effet pour inonder le web de spams, pour mener des opérations d’hameçonnage ou encore pour participer à des attaques de déni de service, que l’on nomme DDoS (voir plus bas). Pour d’autres, le botnet peut également avoir vocation à créer une fraude au clic, à trouver des mots de passe ou encore à miner des cryptomonnaies.
Qu'est-ce qu'un botnet DDoS ?
Les attaques par déni de service distribuées (ou DDoS) définissent des attaques informatiques dont le but principal consiste à empêcher le bon fonctionnement d'un service. Dans la pratique, les attaques DDoS peuvent être menées pour empêcher l'accès des utilisateurs à un serveur web, pour rendre impossible la distribution de mails au sein d'une entreprise, etc. Avec le boom des objets connectés, les individus malveillants disposent de nouvelles armes pour mener leurs attaques DDoS. Il leur "suffit" en effet de prendre le contrôle de ces objets via les failles de leur système de sécurité pour déclencher ensuite une attaque de grande ampleur via un botnet.
Qu'est-ce que le botnet Mirai ?
En 2016, toute la presse spécialisée et une partie de la presse généraliste ne parlaient que de ça : le botnet Mirai. Ce logiciel malveillant capable de transformer des ordinateurs fonctionnant sous Linux en bots contrôlés à distance est à l’origine d’une cyber-attaque à très grande échelle. À l’automne 2016, on découvre en effet qu'un ou plusieurs botnets Mirai ont été utilisés pour lancer l’une des plus importantes attaques DDoS. Les cibles retenues : le site de sécurité informatique du journaliste Brian Krebs, l’hébergeur français de sites web OVH puis la société Dyn. Cette dernière attaque a d’ailleurs paralysé pendant plus d’une dizaine d’heures de nombreux sites et services, tels que Twitter, PayPal, AirBnB ou encore Netflix. Les experts sont parvenus à identifier le fonctionnement de Mirai : celui-ci repose sur la recherche permanente sur Internet des adresses IP qui correspondent à des objets connectés (IoT). Après avoir identifié les objets connectés vulnérables, Mirai s’y connectait pour y installer le logiciel malveillant. Mirai reste en 2021 le logiciel malveillant le plus courant dans les attaques IoT.
Quels sont les appareils IoT les plus attaqués par des botnets ?
Les botnets peuvent infecter n'importe quel appareil connecté à Internet. Toutefois, les appareils de divertissement et de domotique, y compris les assistants virtuels, présentent le plus de risques, leur niveau de sécurité étant encore trop faible. Une étude menée en décembre 2020 par l'équipe de recherche ThreatLabz de Zscaler, spécialiste de la sécurité cloud, a permis d'identifier trois catégories de dispositifs à risque : les décodeurs, les smart TV et les montres connectées.
Comment se protéger de botnet ?
La meilleure protection contre les logiciels malveillants reste de modifier les informations d'identification administrative par défaut afin de disposer d'un mot de passe sécurisé et de s'assurer que le logiciel des objets connectés est toujours à jour. Pour renforcer la sécurité des objets connectés grand public, l'organisme de normalisation Etsi a publié une norme rappelant les recommandations indispensables (lire notre article L'industrie s'empare de la première norme européenne pour sécuriser l'IoT grand public).
Qu'est-ce que le botnet Dark Nexus ?
Dark Nexus serait un botnet encore plus puissant et robuste que Mirai. Les chercheurs de Bitdefender ont découvert ce nouveau bot en décembre 2019 et mettent en gardent contre sa propagation et sa dangerosité. Le virus, qui réutilise une partie du code des botnet Qbot et Mirai, serait régulièrement amélioré. Les chercheurs de Bitdefender ont observé que plus de 30 évolutions ont été réalisées en l'espace de trois mois après sa création. Le hacker Greek.Helios, connu pour être l'auteur d'autres botnets, serait à l'origine du développement de Dark Nexus. Ce botnet serait capable de lancer des attaques DDoS, mais aussi d'exécuter d'autres logiciels malveillants. Il cible les appareils embarqués avec une architecture à 12 CPU, comme les routeurs ou les caméras connectées. Une fois qu'un IoT devient un bot, Dark Nexus tente de rester persistant sur le périphérique en empêchant le redémarrage.
Baptisé Dark Nexus en raison des chaînes imprimées sur sa bannière, ce botnet provient principalement d'Asie. Il a touché 1 372 appareils dans le monde en 2020, dont plus de 650 appareils en Chine, 261 en Corée et 172 en Thaïlande. Il utilise ensuite ces machines zombies pour en attaquer d'autres via le protocole Telnet.