Vous ne vous souvenez pas de Mirai ? Mais si, le botnet qui avait semé la panique chez OVH, KrebsOnSecurity, et le fournisseur de DNS Dyn, le 21 octobre 2016 dernier. Depuis, dès que l’on aborde le sujet, les spécialistes de la sécurité voient rouge et les départements IT des entreprises tremblent. Mauvaise nouvelle, les chercheurs d’Avast ont confirmé la rumeur lancée sur Twitter par VessOnSecurity concernant l’existence de Torii.
My honeypot just caught something substantially new. Spreads via Telnet but not your run-of-the-mill Mirai variant or Monero miner…
First stage is just a few commands that download a rather sophisticated shell script, disguised as a CSS file. (URL is still live.) pic.twitter.com/r5L0I8PC0h
— Vess (@VessOnSecurity) 19 septembre 2018
Pour quelles raisons craint-on autant les botnets IoT comme Torii ?
C’est au début des années 2000 que le grand public a découvert les botnets après une série de cyberattaques lancées par un adolescent canadien. Ce dernier avait pris pour cible des sites internet de grandes envergures comme Yahoo, Dell, eBay ou encore Amazon. Pourtant, à l’époque des faits, celui-ci n’avait pas utilisé d’importants réseaux d’ordinateurs et d’objets infectés par un même virus. Cependant, sa tentative avait permis aux spécialistes de la cybersécurité de lancer une première alerte au sujet des botnets. Depuis Mirai et ses nombreuses variantes, puis à présent Torii, semblent peu à peu mettre en danger l’intégrité du net.
Inscrivez-vous à la newsletter
En vous inscrivant vous acceptez notre politique de protection des données personnelles.
D’après les chercheurs d’Avast, ce qui distingue Torii des autres botnets IoT c’est le niveau de sophistication des fonctionnalités qui lui permettent d’exfiltrer des informations sensibles. Dans le rapport, qui a été ont publié sur le blog officiel de la société, on apprend que grâce à une architecture modulaire, ce botnet est capable de récupérer ainsi que d’exécuter des commandes ou encore de lancer des applications sur plusieurs couches de communication chiffrées.
C’est d’ailleurs ce même niveau de sophistication qui aurait permis à Torii de jouer les agents dormant depuis 2017. En l’absence d’attaques DDoS ou de cryptojacking, sa création même reste un mystère complet. Sans doute est-ce pour cela qu’il n’est pas encore considéré comme étant très dangereux, mais cela pourrait rapidement évoluer… De plus, des organismes officiels commencent à imposer des protections sur l’IoT, comme c’est le cas en Californie. La sécurité des objets connectés est souvent délaissée au profit des profits !