Il existe actuellement des centaines de milliers d’appareils Linux et Raspberry Pi connectés à Internet, protégés par rien de plus que le mot de passe par défaut.
En possession de ces mots de passe par défaut, les cybercriminels utilisent de nombreux robots automatisés pour rechercher les appareils vulnérables. Une fois qu’ils les ont trouvés, implanter des logiciels malveillants devient relativement facile.
Ce sont les conclusions d’un nouveau rapport sur les menaces de Bulletproof, qui affirme que « knockknockwhosthere », « nproc », « 1 », « x », « 1234 », « 123456 », « root » et « raspberry » sont parmi les plus mots de passe par défaut communs là-bas.
Point d’attaque facile
« Sur la liste se trouvent les informations d’identification par défaut de Raspberry Pi (un: pi/pwd: raspberry). Il existe plus de 200 000 machines sur Internet exécutant le système d’exploitation Raspberry Pi standard, ce qui en fait une cible raisonnable pour les mauvais acteurs. Nous pouvons également voir à quoi ressemblent les identifiants utilisés sur les machines Linux (un:nproc/pwd:nproc). Cela met en évidence un problème clé – les informations d’identification par défaut ne sont toujours pas modifiées », a déclaré Brian Wagner, directeur de la technologie chez Bulletproof.
« L’utilisation des informations d’identification par défaut fournit l’un des points d’entrée les plus faciles pour les attaquants, agissant comme une « clé squelette » pour plusieurs hacks. L’utilisation d’informations d’identification légitimes peut permettre aux pirates d’éviter d’être détectés et rend les enquêtes et la surveillance des attaques beaucoup plus difficiles. »
Pour aggraver la situation, le rapport affirme qu’un quart des mots de passe utilisés aujourd’hui par les attaquants proviennent de la fuite de la base de données RockYou qui s’est produite il y a plus de dix ans.
Aux fins du rapport, les chercheurs en cybersécurité de Bulletproof ont créé un pot de miel, sous la forme de serveurs dans des environnements de cloud public présentant des vulnérabilités de sécurité délibérées, afin d’attirer les mauvais acteurs.
Au cours de la recherche, les acteurs malveillants ont lancé plus de 240 000 sessions, alors qu’au total, plus de la moitié (54 %) des plus de 5 000 adresses IP uniques disposaient d’informations suggérant qu’il s’agissait d’adresses IP malveillantes.
« Quelques millisecondes après la mise en ligne d’un serveur, celui-ci est déjà scanné par toutes sortes d’entités. Les botnets le cibleront et une foule de trafic malveillant sera alors dirigée vers le serveur », a poursuivi Wagner. « Bien que certaines de nos données montrent que des sociétés de recherche légitimes analysent Internet, la plus grande proportion du trafic que nous avons rencontré vers notre pot de miel provenait d’acteurs malveillants et d’hôtes compromis. »