Les créateurs du botnet Mirai plaident coupables

Trois des responsables des attaques par botnet de l’IoT, très médiatisées, ont plaidé coupables pour leur implication.

 

Selon les documents du Département de la Justice des États-Unis (DOJ) dévoilés le 12 décembre, Paras Jha, Josiah White et Dalton Norman ont reconnu avoir mené des attaques par déni de service (DDoS) à différentes dates au cours de l’année 2016 en utilisant des centaines de milliers d’objets connectés grâce au botnet Mirai.

 

Mirai est un malware très puissant. Signifiant « futur » en japonais, il a été conçu pour transformer des objets connectés en « zombies » pouvant ensuite être intégrés à un réseau à grande échelle, aussi appelé botnet, pour mener des attaques.

 

Dans sa négociation de peine, Paras Jha déclare avoir « rédigé et intégré avec ses complices un code informatique leur ayant permis de prendre le contrôle d’appareils infectés par le malware Mirai ».

 

Le trio s’est d’abord servi du botnet pour attaquer le blog de l’expert en sécurité Brian Krebs. Peu après, ils s’en sont pris au fournisseur OVH. L’attaque DDoS suivante, qui visait les services DNS de Dyn, a provoqué de vastes paralysies sur Internet. Un peu plus tard en 2016, une nouvelle attaque de Mirai a ciblé une entreprise américaine, dont le nom n’a pas été dévoilé.

 

Les documents judiciaires révèlent aujourd’hui certains des rouages du malware. Mirai pourrait par exemple s’emparer de classes entières d’adresses IP et compromettre tout un réseau.

 

« Associée à l’étendue du botnet Mirai, cette fonctionnalité a enrayé de nombreuses méthodes traditionnellement utilisées pour limiter les attaques DDoS. En d’autres termes, ces attaques ont pu provoquer plus de coupures du réseau que les autres attaques DDoS », établissent les documents.

 

Les auteurs des faits ont utilisé des vulnérabilités connues et inconnues des objets connectés pour les forcer à intégrer le botnet Mirai. En exploitant des failles inconnues (zero-day), Paras Jha et ses complices ont pu doubler d’autres cybercriminels cherchant à entreprendre des attaques similaires avec les mêmes objets connectés.

 

Espérant pouvoir plaider le déni possible si les forces de l’ordre trouvaient le code sur son ordinateur, Paras Jha l’a ensuite diffusé sur Internet. Toutefois, à ce moment-là, les autorités détenaient déjà suffisamment de preuves pour l’arrêter ainsi que ses complices.

 

Paras Jha a rapporté avoir mené ces attaques mondiales à partir d’une machine virtuelle exécutée sur son ordinateur personnel, dans le New Jersey.