Mirai (logiciel malveillant)

Un article de Wikipédia, l'encyclopédie libre.
Aller à : navigation, rechercher
Mirai (logiciel malveillant)
Type Botnet
Auteur « Anna-senpai »
(pseudonyme)
Système(s) d'exploitation affecté(s) Linux
Écrit en C (code malveillant), Go (serveur de commande et contrôle)

Mirai (未来?, mot japonais pour « avenir ») est un logiciel malveillant qui transforme des ordinateurs utilisant le système d'exploitation Linux en bots contrôlés à distance, formant alors un botnet utilisé notamment pour réaliser des attaques à grande échelle sur les réseaux. Il cible principalement les dispositifs grand public tels que des caméras pilotables à distance ou encore des routeurs pour la maison[1]. Un ou plusieurs botnets Mirai ont été utilisés dans certaines des plus importantes et percutantes attaques en déni de service distribué (DDoS), dont une attaque le sur le site de sécurité informatique du journaliste Brian Krebs, une attaque sur l'hébergeur français OVH[2] et la cyberattaque d'octobre 2016 contre la société Dyn[3],[4],[5]. Certains éléments semblent écarter un lien direct entre toutes ces attaques, si ce n'est l'utilisation de botnets de type Mirai[6].

Le code source pour le logiciel malveillant Mirai a été publié fin octobre 2016 sur des forums de hackers[7], puis sur Github. Depuis que ce code source a été publié, les mêmes techniques ont été adaptées dans d'autres projets de logiciels malveillants[8].

Le logiciel malveillant[modifier | modifier le code]

Les appareils infectés par Mirai recherchent en permanence sur Internet des adresses IP correspondant à des objets connectés (IoT). Mirai contient une table de masques de sous-réseaux qu'il ne tentera pas d'infecter, comprenant les réseaux privés et les adresses attribuées à l'United States Postal Service et au ministère de la défense des États-Unis[9].

Mirai identifie ensuite les objets IoT vulnérables grâce à une table d'identifiants et de mots de passe par défaut, et se connecte ensuite tout simplement pour installer le logiciel malveillant[10],[2],[11]. Les objets infectés continueront à fonctionner normalement, sauf une lenteur occasionnelle[10], et une augmentation de l'utilisation de la bande passante. Un appareil est infecté jusqu'à son redémarrage, ce qui peut supposer simplement d'éteindre l'appareil, puis de le rallumer après une brève attente. Après un redémarrage, à moins que le mot de passe ait été changé immédiatement, on a constaté que l'appareil est souvent réinfecté en quelques minutes[10].

Il y a des centaines de milliers d'appareils connectés à Internet qui utilisent des paramètres par défaut, ce qui les rend vulnérables à ce type d'attaque. Une fois infecté, le dispositif surveille un serveur de commande et de contrôle (C&C) qui est utilisé pour indiquer la cible d'une attaque[10]. L'intérêt de l'utilisation des nombreux objets connectés à Internet est de contourner certains systèmes de protection contre les dénis de service qui surveillent les adresses IP des connexions entrantes et réalisent un filtrage ou mettent en place un blocage s'il identifie une typologie de trafic anormale, telle que de nombreuses requêtes provenant de la même adresse IP. Une autre motivation est la possibilité de mobiliser plus de bande passante que celle dont l'attaquant dispose à lui tout seul, et éviter d'être tracé.

Utilisation dans des attaques DDoS[modifier | modifier le code]

Mirai a été utilisé dans l'attaque DDoS du 20 septembre 2016 contre le site Krebs on Security  qui a atteint 620 Gbps[12]. Ars Technica rapporte aussi une attaque de 1 Tbits/s contre l'hébergeur français OVH[2].

Le 21 octobre 2016 plusieurs grandes attaques DDoS à l'encontre des services DNS de l'entreprise Dyn ont été réalisées grâce à des botnets Mirai, entraînant des difficultés pour accéder à des sites tels que GitHub, Twitter, Reddit, Netflix, Airbnb et beaucoup d'autres[13]. L'attribution de l'attaque à un botnet Mirai a été initialement publiée par l'entreprise de sécurité BackConnect[14].

Les équipes de Deep Learning Security ont observé la croissance continue des botnets Mirai avant et après l'attaque du 21 octobre[15].

Voir aussi[modifier | modifier le code]

Références[modifier | modifier le code]

  1. Biggs, John, « Hackers release source code for a powerful DDoS app called Mirai », TechCrunch,‎ (consulté le 19 octobre 2016)
  2. a, b et c Bonderud, Douglas, « Leaked Mirai Malware Boosts IoT Insecurity Threat Level », securityintelligence.com,‎ (consulté le 20 octobre 2016)
  3. Hackett, Robert, « Why a Hacker Dumped Code Behind Colossal Website-Trampling Botnet », Fortune.com,‎ (consulté le 19 octobre 2016)
  4. (en) Lily Hay Newman, « What We Know About Friday’s Massive East Coast Internet Outage », WIRED,‎ (lire en ligne)
  5. « Dyn | crunchbase », sur www.crunchbase.com (consulté le 23 octobre 2016)
  6. (en) « Flashpoint - Mirai Botnet Linked to Dyn DNS DDoS Attacks », Flashpoint,‎ (lire en ligne)
  7. Nick Statt, « How an army of vulnerable gadgets took down the web today », The Verge,‎ (consulté le 21 octobre 2016)
  8. Kan, Michael, « Hackers create more IoT botnets with Mirai source code », ITWORLD,‎ (consulté le 20 octobre 2016)
  9. Zeifman, Igal et Bekerman, Dima, « Breaking Down Mirai: An IoT DDoS Botnet Analysis », Incapsula,‎ (consulté le 20 octobre 2016)
  10. a, b, c et d Moffitt, Tyler, « Source Code for Mirai IoT Malware Released », Webroot,‎ (consulté le 20 octobre 2016)
  11. Osborne, Charlie, « Mirai DDoS botnet powers up, infects Sierra Wireless gateways », ZDNet,‎ (consulté le 20 octobre 2016)
  12. The Economist, 8 October 2016, The internet of stings
  13. « Today the web was broken by countless hacked devices », theregister.co.uk,‎ (consulté le 24 octobre 2016)
  14. « Blame the Internet of Things for Destroying the Internet Today », sur Motherboard, VICE (consulté le 27 octobre 2016)
  15. "Think Mirai DDoS is over?