Posté le janvier 20, 2020 à 17:11

UN HACKER PROVOQUE LA FUITE DES DONNÉES D’IDENTIFICATION DE 500 000 APPAREILS, SERVEURS ET ROUTEURS D’APPAREILS IDO

Cette semaine, un événement important s’est produit dans le monde de la cybersécurité, un événement qui a fait des vagues dans le secteur de la cybersécurité. Cet événement est le fait d’un hacker qui a laissé plus de 515 000 routeurs domestiques, des appareils  Internet des Objets (IdO) et serveurs dont les détails, y compris les mots de passe, ont été révélés au monde entier.

Un grand coup pour les nouvelles ressources

La liste a d’abord été publiée sur un forum de piratage populaire et comprenait l’adresse IP, le nom d’utilisateur et le mot de passe de chaque appareil. Tous ces appareils sont basés sur le protocole d’accès à distance Telnet utilisé pour contrôler divers appareils via Internet.

Grâce à des avis d’experts externes et à l’intervention du divulgateur lui-même, il a été conclu que la liste a été compilée selon une procédure compliquée. Tout d’abord, une recherche a été effectuée sur l’ensemble du réseau Internet pour trouver les différents appareils dont le port Telnet était exposé. Une fois cette liste établie, le hacker a utilisé des combinaisons de mots de passe personnalisés et faciles à deviner ou des identifiants par défaut définis en usine pour accéder aux appareils. 

La plus grande fuite Telnet jamais enregistrée

Les listes compilées comme elles le sont ici, sont appelées listes de bots. Les listes de bots font partie intégrante du fonctionnement standard des réseaux de bots IdO. Les hackers passent Internet au peigne fin pour établir une telle liste de bots, avant de se connecter et d’y installer divers types de logiciels malveillants.

Ces listes sont généralement d’usage privés, généralement gardés secrets pour maintenir cette «limite», mais il y a des cas où les listes de bots ont fait l’objet de fuites au public. Dans la mémoire récente, une liste de 33 000 identifiants de routeurs domestiques a fait l’objet d’une fuite, également basée sur les protocoles Telnet. Pour autant que l’on sache, la dernière fuite est la plus importante de l’histoire de Telnet.

N’en ayez pas besoin, ne les gardez pas

Au fur et à mesure que de plus en plus d’informations sont fournies sur l’affaire en question, il a été conclu que la personne qui a divulgué l’information connaissait très bien les réseaux de zombies. L’individu en question était le responsable d’un service d’attaque DDoS pour le compte d’autrui, vendant des attaques par déni de service à quiconque le payait suffisamment. Lorsque l’inévitable question s’est posée de savoir pourquoi l’homme avait divulgué toutes les informations, il a été révélé qu’il avait mis à niveau son réseau DDoS pour s’éloigner des réseaux de zombies d’appareils IdO. Le nouveau modèle, selon le responsable, implique l’utilisation de serveurs à haut rendement qu’il loue à des fournisseurs de services cloud.

Toutes les informations que le hacker avait publiées dataient de la période octobre-novembre 2019. Cela signifie que certains appareils de la liste auraient pu voir leurs données de connexion ou leurs adresses IP modifiées, ou même être entièrement retirés d’Internet. Même si 20 % d’entre eux sont devenus inutilisables au cours de ces quelques mois, ils ont été utilisés, ce qui laisse encore plus de 412 millions d’appareils à saisir.

Les FAI et la diffusion dans le nuage

Ces appareils, grâce à l’utilisation de moteurs de recherche de l’IdO comme Shodan ou BinaryEdge, se retrouvent répartis entre divers fournisseurs d’accès Internet (FAI) et fournisseurs de services en nuage connus. 

Un expert en sécurité du secteur de l’IdO, qui a choisi de rester anonyme, a expliqué que de tels outils sont incroyablement utiles pour divers hackers dans le monde entier.

Un fait intéressant à garder à l’esprit est que ce genre d’appareils mal configurés ont tendance à être localisés chez certains FAI au lieu d’être répartis uniformément sur l’internet. La raison en est que le personnel de ces FAI disposait d’appareils mal configurés lorsqu’ils étaient envoyés à leur clientèle. La mauvaise configuration de chaque appareil mis en place par un FAI spécifique est une véritable aubaine pour les hackers comme celui mentionné dans cet article.

En outre, si un hacker était suffisamment diligent, il pouvait utiliser une ancienne adresse IP pour déterminer le fournisseur de services. Avec ce FAI acquis, le hacker se contente de ré-analyser le réseau dudit FAI pour mettre à jour la liste. Cette mise à jour inclut également les nouvelles adresses IP.

Un nouveau chapitre s’ouvre dans la guerre constante entre les hackers et les experts en cybersécurité, dont le niveau de complexité ne fait qu’augmenter à mesure que le nombre d’utilisateurs qui utilisent les appareils IdO augmente. En fin de compte, aucune partie ne parviendra jamais à remporter la victoire, les experts en cybersécurité n’étant capables que de maîtriser les plus grandes menaces.