Un piratage de Deutsche Telekom a privé près d'un million de foyers d'Internet
- - John MACDOUGALL / AFP
Depuis dimanche 27 novembre, c'est la panique chez Deutsche Telekom. Jusqu'à 900.000 foyers allemands, clients de l'opérateur historique, étaient privés d'internet et de téléphonie en raison d'une cyberattaque, comme l'a précisé le BSI (Bundesamt für Sicherheit und Informationstechnik), l'équivalent germanique de l'ANSSI, organisme responsable de la sécurité des systèmes d'information en France. Ainsi, les pirates ont attaqué "certains ports de connexion utilisés pour l'administration à distance des modems-routeurs" installés chez les clients, et cela dans le but de les "infecter avec des logiciels malveillants". Selon le BSI, les pirates ont également tenté d'infecter des routeurs-modems connectés au réseau informatique du gouvernement allemand, mais sans succès.
Le problème d'accès semble plus ou moins résolu depuis lundi après-midi, l'opérateur ayant diffusé une mise à jour logicielle de ces équipements terminaux. "Les mesures entreprises font leur effet, le nombre de clients impactés diminue. La situation actuelle s'améliore nettement", a expliqué l'opérateur vers 13h lundi.
Failles dans le protocole d'administration
Que s'est-il passé concrètement? D'après le chercheur en sécurité Johannes Ullrich, les pirates auraient adapté le ver informatique Mirai, qui a déconnecté une partie du web américain en octobre dernier, pour exploiter une faille dans le protocole TR-069. Celui-ci est utilisé par les opérateurs pour mettre à jour à distance le paramétrage et le logiciel interne des modems-routeurs.
En Allemagne, les appareils impactés seraient principalement les Speedport Router, un appareil fourni par Deutsche Telekom. Mais ce ne serait pas les seuls: les modem-routeurs Eir D1000 Wireless Router du fournisseur d'accès irlandais Eir souffriraient également de cette faille. Le fabricant de ce modèle serait la firme Zyxel.
Si cette faille se retrouve dans d'autres modèles, cette attaque pourrait donc prendre de l'ampleur. Et c'est apparemment exactement ce qui se passe. Selon un communiqué de Deutsche Telekom, il s'agirait même d'une cyberattaque mondiale. Ce qui vient corroborer des observations du chercheur Johannes Ulrich. "En Autriche, nous remarquons une forte augmentation de trafic TR-069 durant les 24 dernières heures (…) La plupart de ce trafic provient d'autres modems-routeurs, localisés notamment au Brésil", explique le chercheur. Un tel trafic entre appareils de pays différents est évidemment anormal car cela ne cadre pas avec un scénario d'usage d'une administration à distance.
Si aucun autre opérateur ne se plaint de pannes à l'heure actuelle, c'est parce que l'attaque sur les terminaux Deutsche Telekom s'est en réalité mal passée. "L'attaque a tenté d'infecter les modems-routeurs mais sans succès, ce qui a généré des pannes ou des restrictions de services", souligne l'opérateur allemand. Il est donc possible qu'il y ait beaucoup d'autres modems-routeurs infectés sans que les utilisateurs n'en aient conscience.
Ce n'est pas la première fois que le protocole T-069 est épinglé par les chercheurs en sécurité. En 2014, le chercheur en sécurité Shahar Tal avait déjà pointé des failles dans cette technologie d'administration à distance, permettant notamment l'injection de code malveillant.
Les plus lus
Kendji Girac blessé: le chanteur a maintenu sa version du tir accidentel pendant son audition
Paris: les ailes du Moulin Rouge sont tombées dans la nuit
Arnaques par téléphone: voici les indicatifs dont il faut se méfier
Un test en développement en France pour détecter le cancer du poumon grâce à une prise de sang
Harvard, Austin... Aux États-Unis, les manifestations contre la guerre à Gaza gagnent de nouveaux campus