Vectra® Networks, leader de la détection en temps réel des cyberattaques en cours, annonce aujourd'hui que le Vectra Threat Labs™ a vérifié que les produits de l'Internet des objets (IoT) grand public, tels que les caméras web de sécurité Wi-Fi, peuvent être piratés et reprogrammés pour servir de portes dérobées permanentes, permettant aux attaquants potentiels de commander et de contrôler à distance une cyberattaque sans être détectés par les produits de sécurité traditionnels.
" Les produits IoT grand public peuvent être facilement manipulés par un attaquant, utilisés pour voler les informations privées d'une organisation, et ne pas être détectés par les solutions de sécurité traditionnelles ", déclare Gunter Ollmann, CSO de Vectra Networks. "Bien que beaucoup de ces appareils aient une faible valeur en termes de coûts matériels, ils peuvent affecter la sécurité et l'intégrité du réseau, et les équipes doivent garder un œil sur eux pour révéler tout signe de comportement malveillant."
Transformer un appareil IoT en porte dérobée permet essentiellement aux pirates d'accéder 24 heures sur 24 et 7 jours sur 7 au réseau d'une organisation sans avoir à infecter un ordinateur portable, un poste de travail ou un serveur, qui sont tous généralement placés sous haute surveillance par des pare-feu, des systèmes de prévention des intrusions et des sandboxes malware , et qui exécutent généralement des logiciels antivirus régulièrement mis à jour.
"La plupart des organisations ne considèrent pas nécessairement ces appareils comme des ordinateurs miniatures, mais c'est pourtant le cas en ce sens qu'ils peuvent toujours permettre à des pirates d'accéder à des informations sensibles de l'entreprise, en particulier parce qu'ils sont connectés au réseau de l'entreprise", a déclaré M. Ollmann. "Contrairement aux ordinateurs avec lesquels les gens interagissent régulièrement, ces appareils n'ont pas la puissance de traitement ou la mémoire nécessaire pour exécuter un antivirus ou un autre logiciel de sécurité. Comme ils n'ont pas de mémoire persistante utilisable, les attaquants utilisent la NVRAM pour stocker la configuration et la flash ROM pour stocker le code malveillant."
Dans le cadre de l'expérience menée par Vectra Threat Labs, l'équipe a acheté une caméra Wi-Fi D-Link très répandue* pour environ 30 dollars et l'a reprogrammée pour qu'elle agisse comme une porte dérobée sur le réseau sans perturber son fonctionnement en tant que caméra.
"L'ironie dans ce scénario particulier est que les caméras Wi-Fi sont généralement déployées pour renforcer la sécurité physique d'une organisation, mais elles peuvent facilement devenir une vulnérabilité pour la sécurité du réseau en permettant aux attaquants d'entrer et de voler des informations sans être détectés", a déclaré M. Ollmann.
Le Vectra Threat Labs a fourni plus de détails sur ce scénario de piratage dans un article de blog que l'on peut trouver à l'adresse http://blog.vectranetworks.com/blog/turning-a-webcam-into-a-backdoor.
En tant que branche de Vectra Networks spécialisée dans la recherche sur les menaces, le Vectra Threat Labs opère à l'intersection précise de la recherche en sécurité et de la science des données. Les chercheurs étudient les phénomènes inexpliqués observés dans les réseaux des clients et creusent plus profondément pour trouver les raisons sous-jacentes du comportement observé.
Les rapports et les blogs de Vectra Threat Labs se concentrent sur les objectifs de l'attaquant, les placent dans le contexte de la campagne plus large qu'il mène, et donnent un aperçu des moyens durables de détection et d'atténuation des menaces.
Se concentrer sur l'objectif sous-jacent d'un attaquant et réfléchir aux méthodes possibles pour l'atteindre peut conduire à des méthodes de détection qui sont étonnamment efficaces pendant de longues périodes. Pour signaler des vulnérabilités sur notre plateforme, envoyez un courriel à security@vectranetworks.com.
Vectra® Networks est le leader de la détection en temps réel des cyberattaques en cours. La solution automatisée de gestion des menaces de l'entreprise surveille en permanence le trafic du réseau interne pour repérer les cyberattaques au moment où elles se produisent. Elle met ensuite automatiquement en corrélation les menaces contre les hôtes attaqués et fournit un contexte unique sur ce que font les attaquants afin que les entreprises puissent rapidement prévenir ou atténuer les pertes. Vectra donne la priorité aux attaques qui présentent le plus grand risque pour l'entreprise, ce qui permet aux organisations de prendre des décisions rapides sur l'utilisation du temps et des ressources. En 2015, Gartner a nommé Vectra "Cool Vendor in Security Intelligence" pour sa capacité à relever les défis de la détection des menaces après une intrusion. Les American Business Awards ont également décerné à Vectra le prix Gold Award de la start-up technologique de 2015. Vectra compte parmi ses investisseurs Khosla Ventures, Accel Partners, IA Ventures et AME Cloud Ventures. Le siège de l'entreprise se trouve à San Jose, en Californie, et ses activités européennes sont basées à Zurich. De plus amples informations sont disponibles sur le site www.vectranetworks.com.
*Vectra a divulgué cette vulnérabilité à D-Link au début du mois de décembre 2015. Au 7 janvier 2016, l'entreprise a reconnu la divulgation mais n'a pas apporté de solution.
###
Vectra et le logo de Vectra Networks sont des marques déposées et Security that thinks, Vectra Threat Labs et Threat Certainty Index sont des marques de Vectra Networks. Les autres marques, noms de produits et de services sont des marques commerciales, des marques déposées ou des marques de service de leurs détenteurs respectifs.