Symantec vient de rendre publique la découverte du malware « Linux.Wifatch », destiné aux objets connectés. Mais contrairement aux autres malwares, Wifatch veut du bien aux consommateurs puisqu’il n’a aucun comportement nuisible. À la place, il sécurise les objets connectés sur lesquels il est installé.

wifatch-header

En novembre 2014, un chercheur en sécurité découvre sur son routeur personnel un malware au nom de « ifwatch » connecté à un réseau peer-to-peer d’appareils zombies comme le sien. En avril, la firme Symantec spécialisée dans la sécurité met en place un large réseau d’objets connectés (routeurs, TV, etc.) pour « piéger » le malware et analyser son code. Le résultat vient d’être rendu public par la firme : le code source est écrit en clair, en Perl et le malware est compatible avec différentes architectures : ARM, MIPS et SH4. Le code permet d’en savoir plus sur le comportement bienfaiteur de Wifatch.

 

Wifatch : le nettoyeur de malwares

Une fois que le malware s’est installé sur l’appareil, ce dernier se connecte sur un réseau peer-to-peer pour se mettre à jour. Les mises à jour permettent en fait au malware de défendre l’appareil contre de nouvelles menaces. Car c’est bien là l’objectif de Wifatch : améliorer la sécurité des objets connectés, de diverses manières. Tout d’abord, Wifatch modifie le mot de passe administrateur et désactive le service telnet pour éviter que d’autres malwares l’utilisent. Ensuite, il supprime les malwares existant sur l’appareil et planifie des redémarrages et un reparamétrage d’usine de l’appareil toutes les semaines, par mesure de prévention. Enfin, Wifatch laisse un message à l’utilisateur lui demandant de changer son mot de passe et de mettre à jour le firmware de l’appareil.

Wifatch

 

Des back doors à bord

Wifatch semble donc complètement inoffensif. Il faut toutefois prendre des pincettes puisque le malware contient des back doors, permettant aux développeurs d’avoir accès à l’appareil. Toutefois, un système de signature permet à Wifatch de reconnaître si les ordres viennent bien de son créateur ou non. Pour s’en débarrasser, il faut alors réinitialiser son appareil et changer son mot de passe administrateur.

 

Le but des développeurs : protéger le monde

Symantec a réussi à entrer en contact avec les créateurs de Wifatch. Ils font référence à Richard Stallman (une référence aussi retrouvée dans le code source du malware), un célèbre militant du logiciel libre. Selon eux, leur objectif est simple : améliorer la sécurité des objets connectés, sans réaliser d’actions nuisibles. Les développeurs indiquent qu’il existe un bug dans le code source permettant à quiconque d’accéder aux back doors. Une déclaration pas très rassurante. Mais les créateurs promettent que Wifatch n’utilise pas de failles de sécurité pour entrer sur un appareil : il teste uniquement de nombreux mots de passe administrateur via le protocole Telnet.

Comments

comments

No related posts.