Un hacker a publié cette semaine une liste impressionnante d’identifiants de connexion Telnet de plus de 500 000 serveurs, routeurs et appareils connectés à l’Internet des objets (IoT). La liste comprend l’adresse IP de chaque appareil, un nom d’utilisateur, un mot de passe pour le service Telnet et un protocole d’accès à distance le contrôle des appareils sur Internet.
Le hacker n’a eu qu’à essayer les identifiants par défaut ou bien à deviner
Le site ZDNet.com a rapporté cette semaine, la fuite d’une longue d’identifiants de connexion Telnet de 515 000 serveurs, routeurs et appareils connectés à l’Internet des objets (IoT) sur un célèbre forum de piratage. Les adresses IP, noms d’utilisateur et mots de passe divulgués permettaient d’accéder au service Telnet, un protocole d’accès à distance utilisé, par exemple, pour installer un appareil connecté ou un équipement réseau, ou pour assurer la gestion à distance de ces appareils.
Donnant inévitablement du grain à moudre aux détracteurs des objets connectés, considérés comme très exposés au risque cybercriminel, la faille a été commentée par le pirate ayant diffusé les données sur le dark web. Il explique avoir scanné l’intégralité du Web à la recherche d’appareils qui exposaient leur port Telnet. Le hacker n’a eu ensuite qu’à essayer les identifiants par défaut ou bien à deviner des combinaisons simples, que beaucoup d’utilisateurs adoptent, à tort.
Les données datent d’octobre à novembre 2019
L’attaquant a aussi indiqué à ZDNet.com fournir des services DDoS, mis à niveau, et avoir fait évoluer son modèle en passant d’un simple botnet constitué d’objets connectés à la location de puissants serveurs auprès de fournisseurs de services Cloud. Les listes publiées par le cybercriminel contiennent des données qui ont été collectées d’octobre à novembre 2019. Depuis, les adresses IP, identifiants et mots de passe ont pu être modifiés, mais il n’est légalement pas possible de vérifier cette hypothèse.
Le hacker peut les « réactiver »
D’après un expert sécurité IoT, même si certaines entrées de la liste ne sont plus valides, celles-ci restent très utiles pour un attaquant habile. Le pirate pourrait continuer d’utiliser les adresses IP des listes, en déterminant le fournisseur de services, puis en ré-analysant le réseau du FAI pour mettre à jour la liste avec les dernières adresses IP.