
Dans un récent rapport publié par Verizon, une université dont le nom n’a pas été cité a fait les frais d’une attaque menée à partir des objets connectés installés sur son réseau. Tout a débuté lorsque le centre d’assistance de l’université a commencé à recevoir un nombre croissant de plaintes de la part des étudiants de l’université au sujet d’une lenteur ou d’une inaccessibilité de la connexion internet. Après avoir effectué quelques investigations, l’équipe de sécurité IT réalise que les serveurs de noms responsables des vérifications des noms de domaine émettaient un volume élevé d’alertes et un nombre inquiétant de sous-domaines liés aux aliments de mer.
Bien évidemment, la majeure partie des étudiants sur le campus n’ont pas tous eu une envie soudaine de consommer les aliments de mer. L’équipe de sécurité IT de l’université a donc contacté le service de sécurité Verizon Risk TEAM afin de l’aider à démêler cette affaire. Sur suggestion de l’équipe de Verizon, le service IT de l’université a commencé à éplucher les journaux du réseau et du pare-feu à la recherche d’indices qui pourraient expliquer cette brusque montée en charge du trafic.
En analysant les fichiers du pare-feu, l’équipe IT a détecté que plus de 5000 appareils effectuaient des centaines de vérifications DNS toutes les 15 minutes. Et presque tous ces appareils se trouvaient sur le segment du réseau dédié à notre infrastructure IdO (Internet des Objets), a noté un des membres de l’équipe de sécurité IT de l’université. Plus inquiétant encore, tous les objets à partir des ampoules jusqu’aux distributeurs automatiques, ont été connectés au réseau pour faciliter la gestion et améliorer l’efficacité, ce qui impliquait une lourde charge de travail pour résoudre ce problème. Et malheureusement pour l'équipe IT, les systèmes de ces objets connectés qui sont censés être séparés du réseau ont été apparemment configurés pour utiliser les serveurs DNS dans un sous-réseau différent.
Un attaquant a exploité cette configuration pour paralyser le réseau de l’université avec un botnet qui s’est répandu sur le réseau de l'établissement en brute forçant les mots de passe faibles ou par défaut de ces objets connectés. Une fois le mot de passe d’un objet récupéré par le botnet, le logiciel malveillant vérifie l’infrastructure pour les mises à jour et change le mot de passe de l’appareil, ce qui lui a permis de se rendre maître de plus de 5000 appareils connectés.
Malgré tous les scénarios envisagés par l’équipe de sécurité IT de l’université pour faire face aux problèmes tels que le remplacement des serveurs d’application ou encore des infrastructures, cette dernière ne s’était pas apprêtée pour un tel incident lié aux objets connectés. Avec les conseils de l’équipe de Verizon, le service IT de l’université a pu intercepter les commandes envoyées via HTTP pour mettre à jour les mots de passe des appareils infectés. Si le pirate avait utilisé le protocole SSL pour envoyer ses commandes, la tâche de l’équipe de l’université aurait été encore plus compliquée pour stopper le botnet, car les commandes auraient été chiffrées ce qui n’aurait pas permis de mettre la main sur les nouveaux mots de passe utilisés par le pirate pour contrôler les appareils infectés. Fort heureusement, les commandes étaient envoyées en texte clair via HTTP.
Une fois les commandes interceptées, l’équipe de sécurité IT de l’université a interrompu l’accès au réseau pour les segments IdO et après quelques heures d’analyse a pu récupérer les nouveaux mots de passe utilisés par l’attaquant pour contrôler les objets connectés. Un script a été écrit par l’équipe de l’université pour se connecter au réseau, mettre à jour les mots de passe des appareils et enfin supprimer l’infection sur tous les appareils.
Une des leçons à retenir dans cette histoire est qu’il est indispensable de sécuriser ses objets connectés en supprimant le mot passe par défaut pour le remplacer par un mot de passe personnalisé et fort, car une fois infectés ces appareils peuvent servir à attaquer des réseaux tiers, mais aussi le réseau sur lequel ils sont installés comme on le constate avec cette université.
Source : Rapport Verizon (PDF)
Et vous ?


Voir aussi




