Analyse : BrickerBot, le malware qui veut purger l’IoT des appareils vulnérables ou infectés

May 8, 2017
Vote on Hacker News

Après Hajime, actif depuis octobre 2016, un nouveau malware aux bonnes intentions se développe dans le monde des objets connectés : BrickerBot a la capacité de rendre totalement inopérants un objet connecté dont il a infecté le système. Mais cette infection se fait pour la bonne cause. Explications.

Depuis le mois de mars 2017, un malware d’un genre bien particulier s’attaque aux objets connectés : BrickerBot s’attaque aux objets utilisant Busybox, un logiciel de Linux, caméras et enregistreurs en premier lieu ; le logiciel malveillant remplace leurs programmes par des données aléatoires, ce qui a pour effet de les rendre totalement inopérants et donc, en pratique, de les détruire. Depuis son apparition, il a mené trois grandes vagues d’attaques, qui auraient atteint près de 2 millions d’objets connectés de par le monde.

Des attaques PDoS, et non DDoS

Cela étant, ce malware se distingue assez largement de ceux qui ont massivement infestés l’IoT en 2016, comme Mirai : ces derniers mènent des attaques de type DDos, pour « Distributed Denial of Service », déni de service distribué, c’est à dire qu’ils pénètrent dans le système de l’objet, le rendent inopérants et s’en serve de « base » pour lancer de nouvelles attaques, provoquant des réactions en chaine dont les conséquences peuvent être catastrophiques. Le netbot, surtout, conserve la possibilité d’utiliser l’objet, même si son utilisateur ne le peut plus.

BrickerBot, lui, n’effectue que des attaques PDos (Permanent Denial of Service), qui se « contentent » de rendre l’objet définitivement inutilisable, tant pour l’utilisateur que pour le hacker. Présent sur des forums et contacté par Bleeping Computer, le hacker s’est expliqué sur sa stratégie : celui qui répond répond au pseudo de Janit0r veut rendre l’univers de l’IoT plus sûr.

Une « chimiothérapie » pour objets connectés

Il s’en explique : « Comme tant d’autres, j’ai été consterné par les attaques DDoS réalisées par des botnets IoT en 2016. J’avais la certitude que ces grandes attaques obligeraient les fabricants d’objets connectés à revoir leurs copies, mais quelques mois après ces attaques records, il est apparu que, malgré les efforts sincères de certains, le problème ne pouvait être résolu dans un délai acceptable par des moyens conventionnels. »

C’est ainsi qu’il a pris la décision d’appliquer un traitement de choc : l’élimination systématique de tous les objets connectés présentant des failles de sécurité – une démarche qu’il compare à de la chimiothérapie : « La chimiothérapie est un traitement lourd qu’aucun docteur sensé n’administrerait à un patient en bonne santé, mais Internet devenait gravement malade aux troisième et quatrième trimestres 2016 et la médecine douce s’est avérée inefficace », assure-t-il.

BrickerBot ne détruit que ce qu’il ne peut soigner

Le hacker explique d’ailleurs que BrickerBot, une fois qu’il a pénétré le système de l’objet connecté, cherche avant tout à réparer sa vulnérabilité aux attaques ou le purger des virus qui l’infectent déjà : la destruction de l’objet n’intervient que si la réparation s’avère impossible. Cette destruction est donc, explique-t-il, un plan B (comme BrickerBot). Dans les 2 millions d’appareils qu’il revendique avoir atteints, tous n’ont donc pas été détruits, seulement ceux qu’il n’a pas pu réparer.

Le hacker n’a d’ailleurs pas l’intention de s’arrêter là, il annonce clairement que tant que l’IoT sera malade, les attaques de BrickerBot continueront : « J’espère que les actions non conventionnelles de BrickerBot ont fait gagner une autre année aux gouvernements, aux vendeurs et à l’industrie en général afin qu’ils puissent maîtriser le cauchemar de la sécurité actuelle de l’IoT. » assène-t-il.

Des traitements de choc pour un univers IoT pas assez sécurisé

Cette technique visant à infecter un objet connecté pour le réparer ou le protéger n’est pas un cas unique : depuis octobre 2016 un malware nommé Hajime s’est implanté dans plus de 300 000 objets connectés et a bloqué l’accès à de nombreux ports, pour le protéger des attaques de Mirai.

Ces méthodes sont radicales, mais la menace de botnet aussi puissant que Mirai semble justifier ces thérapies de choc : après tout, pour un utilisateur, mieux vaut un objet connecté inutilisable que contrôlé par des hackers malveillants. Les fabricants d’objets connectés sont prévenus : ils ont intérêt à améliorer la sécurisation de leurs programmes dans les mois à venir.