Hangzhou Xiongmai Technology, fournisseur de composants pour enregistreurs numériques et caméras IP, a reconnu dimanche que la faiblesse des mots de passe par défaut de ses produits avait facilité l’exploitation des failles de sécurité. Selon des chercheurs en sécurité, le malware dénommé Mirai a profité de ces vulnérabilités pour infecter les appareils fabriqués par Hangzhou Xiongmai Technology, et les a utilisés pour lancer une attaque massive de déni de service distribué DDoS, allant jusqu’à provoquer l’interruption de réseau survenue vendredi dernier. « Le malware Mirai est absolument désastreux pour l'Internet des objets », a déclaré l’entreprise chinoise dans un courriel adressé à nos confrères d’IDG News Service. « (Nous) devons admettre que nos produits ont également souffert de cette intrusion et de cette utilisation illégale ».

Mirai fonctionne en asservissant les dispositifs IoT pour former un réseau connecté massif. Les appareils sont ensuite utilisés pour inonder les sites Web de requêtes, les surchargeant jusqu’à leur mise hors connexion. Par défaut, les mots de passe censés protéger ces dispositifs sont très simples et les appareils sont faciles à pirater. Selon l’opérateur de backbone Internet Level 3 Communications, le malware Mirai aurait réussi à infecter au moins 500 000 appareils. Xiongmai Technology a précisé qu’il avait corrigé les vulnérabilités identifiées dans ses produits en septembre 2015 et que ses dispositifs demandaient désormais à l’utilisateur de changer le mot de passe par défaut quand l’appareil était mis en service pour la première fois. Mais les produits tournant avec des versions plus anciennes du firmware sont encore vulnérables. Pour bloquer le malware Mirai, Xiongmai Technology recommande à ses clients de mettre à jour le firmware de leur produit et de changer les noms d'utilisateur et les mots de passe par défaut. Les clients peuvent également déconnecter les appareils de l'Internet.

Une autre attaque à venir 

Selon Dyn, le fournisseur de services DNS ciblé par l’attaque, les botnets créés par le malware Mirai sont en partie responsables de la perturbation massive qui a affecté le réseau internet vendredi dernier. « Des dizaines de millions d'adresses IP distinctes associées au botnet Mirai étaient impliquées dans l'attaque », a ainsi expliqué le fournisseur dans un communiqué. L'attaque DDoS, qui a submergé les sites en générant un énorme trafic Internet, a ralenti et a même empêché l'accès à Twitter, Spotify, PayPal et à de nombreux autres services. Même si l’opérateur Dyn est parvenu à contrer l’attaque et à rétablir l'accès à son service, les botnets alimentés par Mirai pourraient facilement être réactivés pour mener une nouvelle attaque massive. Plus tôt ce mois-ci, le développeur anonyme de Mirai a livré le code source de son malware à la communauté des hackers. Des entreprises de sécurité ont déjà constaté que des pirates commençaient à utiliser des clones du malware. Il semble que Mirai cible également les produits d'autres fabricants d’appareils IoT qui utilisent par défaut des mots de passe faibles. Les experts en sécurité ont remarqué que le malware testait une série de 60 combinaisons de noms d'utilisateur et de mots de passe. Le mois dernier, un botnet israélien généré par Mirai avait brièvement mis hors connexion le site web du journaliste Brian Krebs spécialisé en cybersécurité. Le botnet avait envoyé dans le trafic un débit de 665 Gb/s, un record dans l’histoire des attaques DDoS.