iconimage - Fotolia
Un mystérieux hacker affirme sécuriser les objets connectés
Son ver, Hajime, a constitué un réseau de plus de 300 000 appareils préalablement vulnérables. Mais le doute subsiste quant aux motivations réelles, compte tenu de la modularité du logiciel malveillant.
C’est au moins d’octobre dernier qu’Hajime a fait son apparition, repéré par les chercheurs de Rapidity Networks. Curieux d’étudier de plus près le désormais célèbre Mirai, ils avaient mis en place un réseau de pots de miel. L’un des nœuds de ce réseau « a rapporté une activité Internet ressemblant de très près aux comportements de reconnaissance et d’infection de Mirai ». Mais ce n’était pas lui : il s’agissait d’Hajime.
Ce dernier cherche notamment les ports Telnet ouverts et essaie d’y ouvrir une session en utilisant des mots de passe par défaut – 61 déjà utilisés par Mirai, complétés par deux autres. Mais Hajime se différencie notamment par l’architecture utilisée : un réseau décentralisé de bots compromis communiquant entre eux en utilisant BitTorrent. Les échanges sont signés et chiffrés avec RC4 et des clés publique/privée, souligne Radware dans un rapport.
Symantec souligne de son côté qu’Hajime est « plus furtif et avancé que Mirai » : « une fois installé sur un appareil infecté, il prend plusieurs mesures pour cacher ses processus et ses fichiers. L’auteur peut ouvrir un script shell sur n’importe quel appareil infecté à tout moment ». Surtout, « le code est modulaire, et de nouvelles capacités peuvent être ajoutées à tout moment ». Kaspersky, qui estime à plus de 300 000 le nombre d’appareils compromis dans le monde, explique aussi qu’Hajime cache ses traces réseau en se faisant passer aléatoirement pour différents navigateurs Web, lorsqu’il s’en prend aux modems en visant le protocole TR-09. Parmi les victimes, l’éditeur a majoritairement identifié des enregistreurs vidéo numériques, des caméras connectées, et des routeurs.
L’auteur d’Hajime assure être un hacker éthique, un White Hat, ambitionnant de sécuriser des systèmes connectés vulnérables et exposés directement sur Internet. Mais pour beaucoup, le doute persiste, notamment en raison des capacités d’évolution fonctionnelle d’Hajime. Ce dernier pourrait donc être un jour transformé en logiciel destructeur, à la manière de Bricker Bot, qui ne se contente pas de prendre le contrôle d’objets connectés mais en efface les fichiers avant de les redémarrer pour les rendre inutilisables.
Lors d’une table ronde organisée lors de l’édition 2017 de RSA Conférence, Craig Spiezle, directeur général et président de l’Online Trust Alliance, le rappelait : « l’Internet des objets est en train de devenir un vecteur d’abus ». Il avait demandé à son audience si l’industrie peut là se réguler elle-même. Selon son décompte, « un robuste 90 % » de la salle ne se faisait aucune illusion : des réglementations sont nécessaires. Olaf Kolkman, directeur de l’Internet Society en charge des technologies d’Internet, estimait toutefois que non : « sans ambiguïté », l’industrie peut se réguler elle-même. C’est peut-être ce qui est en train de se passer.