Brève : « Reaper » le nouveau botnet IOT

Date : 07 Octobre 2017

Le 20 octobre 2017, les sociétés CheckPoint et Qihoo360 ont annoncé avoir découvert un nouveau botnet IOT baptisé Reaper (ou IoTroop).

Tout comme Mirai (botnet qui avait lancé en octobre 2016 des attaques DDOS massives contre le service DNS Dyn, l’hébergeur OVH et le journaliste Brian Krebs), Reaper infecte les objets connectés mal protégés (typiquement du « petit équipement informatique » comme des caméras Wifi, des routeurs personnels, des lecteurs de salon connectés, etc…) pour constituer un botnet de grande ampleur. Ce botnet peut ensuite être utilisé pour réaliser d’autres attaques (DDOS, ou autres). Dans le cas de Reaper, on ne sait pas (encore) quel sera le type d’attaque, puisque ce botnet a été découvert alors qu’il était en phase de construction : aucune attaque d’ampleur utilisant ce Botnet n’a été encore observée.

Reaper a fait la Une de l’actualité en octobre parce que CheckPoint a d’abord annoncé qu’un million d’équipements auraient été infectés (contre 200 000 pour Mirai), mais ce chiffre a ensuite été revu à la baisse (voir cet article d’Arstechnica.com). En tous cas, Reaper est considéré comme plus menaçant que Mirai :

Au lieu d’utiliser les mots de passe par défaut des équipements vulnérables, Reaper lance des attaques pour des vulnérabilités connues dans les équipements IOT.
Il est capable d’intégrer rapidement de nouveaux programmes d’attaques (dès qu’une nouvelle vulnérabilité est découverte).
Le botnet constitué n’est pas limité au DDOS : il est capable d’exécuter n’importe quel script d’attaque préalablement téléchargé. Ces scripts sont écrits dans le langage LUA .

Nous pouvons le voir à travers Reaper, les périphériques connectés non protégés (c'est-à-dire conçus sans sécurité ou non mis à jour régulièrement), qui se multiplient aujourd'hui avec la croissance de l'IOT, sont des cibles de choix pour les logiciels malveillants. Et demander à chacun de sécuriser ses équipements pour éviter des attaques visant les autres, est souvent un message difficile à faire passer. Il est donc probable que ce soit un problème récurrent dans les années à venir.

Pour plus d’information :

L’article d’Arstechnica.com cité précédent contient des pointeurs vers les principales publications intéressantes à propos de Reaper.