Les utilisateurs des appareils ayant servi à faire tomber pendant quelques heures le Web américain ont une petite part de responsabilité. Voici laquelle.
C’est à cause d’une infection par le malware Mirai que des centaines de milliers d’objets connectés, notamment des enregistreurs DVR et des caméras IP, ont été transformés en machines zombies. Machines qui ont ensuite bombardé de requêtes les serveurs de Dyn, mettant ainsi hors ligne de grands sites américains tels que Netflix, Twitter ou encore Amazon pendant une grosse dizaine d’heures.
Soixante mots de passe concernés
Ces appareils connectés venaient dans leur grande majorité du même constructeur chinois, XiongMai Technologies qui a – semble-t-il – été assez « léger » en matière de sécurité. En premier lieu, le service telnet, qui permet de se connecter à un appareil à distance, inclus dans ses produits, était actif par défaut. En second lieu, le mot de passe administrateur par défaut était codé en dur dans le firmware, donc difficile à changer.
Ces produits ont ainsi pu facilement être infectés parce que leurs propriétaires ont laissé, ou mis en place, un couple nom d’utilisateur-mot de passe trop simple à trouver ! Quelques jours avant l’attaque de ce week-end, une soixantaine de combinaisons de mots de passe avaient ainsi été découvertes dans le code source de Mirai.
Quelques uns des noms d’utilisateur – mots de passe incriminés
666666 – 666666
admin – 1111
admin – 12345
admin – 54321
admin – admin
admin – 7ujMko0admin
admin – password
administrator- admin
guest – guest
mother – fucker
root – 00000000
root – 1234
root – 7ujMko0admin
root – default
root – juantech
root – system
root – user
service – service
supervisor – supervisor
user – user
On ne le dira jamais assez, conserver le mot de passe par défaut d’un appareil connecté équivaut à ne pas avoir de mot de passe du tout. Mieux vaut aussi éviter de mettre un mot de passe trop simple à trouver comme une marque de voiture, le nom d’une équipe de foot ou encore une suite de chiffres ou de lettres.
Il est recommandé de mettre en place un mot de passe comprenant des chiffres, des lettres et des signes de ponctuation et qui sera franchement difficile à craquer.
Source : Cécile OLESSE / Graham Cluley