Un ver à zombies enrôle de petits routeurs Linux

Bertrand Braux

01net.

le 25/03/2009 à 17h57

13 réactions

envoyer
par mail

imprimer
l'article

Décidément les cybercriminels ne sont jamais à cours d'imagination. On connaît déjà le principe du PC ou du serveur zombie, cette machine qui, contaminée par un logiciel malveillant, passe sous le contrôle d'un pirate et bascule du « côté obscur ». Mais voici qu'un cabinet de sécurité – l'agence DroneBL, spécialisée dans le filtrage d'adresses IP – vient de découvrir qu'il existait un réseau de machines zombies (ou botnets en anglais) essentiellement constitué par des petits routeurs et des modems DSL sous Linux.

Après avoir essuyé une attaque par déni de service il y a deux semaines, les experts de cette agence ont mené l'enquête. Et ils ont identifié un ver d'un genre nouveau, baptisé psyb0t et susceptible d'avoir contaminé 100 000 modems-routeurs dans le monde. C'est le cas par exemple des modèles Linksys WRT54G ou des NB5 de NetComm. Une première dans le domaine de la sécurité informatique et des réseaux de machines zombies !

Un malware qui n’infecte que certains modèles

Cela dit, le ver en question ne se loge dans un modem-routeur que sous certaines conditions : « Vous êtes vulnérables uniquement si votre équipement dispose d'une architecture de type MIPSel à processeurs MIPS, s'il dispose d'une interface d'administration Web, telnet ou SSH et si la sécurité de votre mot de passe est faible », prévient le cabinet DroneBL qui n'a pas publié la liste précise des équipements qui peuvent être victimes de psyb0t.

Mais avant de désosser votre routeur pour identifier son processeur, vous pouvez vous contenter de vérifier qu'il reste administrable et que les ports 22 (SSH), 23 (telnet) et 80 (Web) ne sont pas bloqués. Le cas échéant, il vous suffira pour vous débarrasser de cet intrus d'effectuer un hard reboot de la machine et de rétablir les paramètres d'usine. Enfin, le changement du mot de passe, pour un plus fort, devrait garantir une certaine immunité à votre matériel.

Pour Thibault Koechlin, responsable du pôle sécurité au sein du cabinet d'experts en sécurité informatique NBS System, « il ne s'agit pas à proprement parler d'une faille de vulnérabilité mais d'une faiblesse dans la configuration des paramètres de sécurité des modèles en question. Il y a fort à parier que ce ver exploite les mots de passe par défaut de ces modèles en sortie d'usine pour prendre leur contrôle. Il existe sûrement d'autres réseaux de zombies comme celui-ci car ces équipements réseaux sont peu surveillés et généralement peu administrés. Ce n'est pas le cas des modèles plus puissants en entreprise, qui sont beaucoup mieux sécurisés. » De quoi rester serein, selon lui, vis-à-vis de ce nouveau genre de menace.

Cela dit, cette initiative devrait donner des idées à beaucoup d'autres pirates : à quand les réseaux de box ADSL zombies, de téléphones IP zombies et de disques durs réseaux zombies ?