Mauvaise nouvelle pour les utilisateurs d’objets connectés. Un hacker dénommé « VectorSEC » vient de créer un outil diabolique qui permet de pirater en masse ces appareils, et de façon totalement automatique. Baptisé « AutoSploit », ce logiciel combine en effet deux outils bien connus des chercheurs en sécurité : Shodan.io, un moteur de recherche qui permet de détecter des objets connectés vulnérables ; et Metasploit, une plateforme de piratage modulaire utilisée notamment pour faire des audits de sécurité.
L’utilisation d’AutoSploit est ultrasimple. Il suffit d’indiquer un mot-clé qui fasse référence à un système particulier (« IIS », « Apache », « Western Digital », etc.). Le logiciel va alors récupérer auprès de Shodan.io une liste d’appareils accessibles, puis sélectionner dans les modules de Metasploit une séries d’attaques permettant d’obtenir un accès direct au système. Emballé c’est pesé.
I just released AutoSploit on #Github. #Python based mass #exploit #tool. Gathers targets via #Shodan and automatically invokes selected #Metasploit modules to facilitate #RCE.https://t.co/BNw6JvTVH9#OffSec #InfoSec #Programming #Security pic.twitter.com/hvc3vrNCEJ
— VectorSEC (@Real__Vector) January 30, 2018
Dans la communauté des hackers, cette publication a créé une vive polémique. Certains estiment, en effet, que ce logiciel ne respecte pas le code éthique des chercheurs en sécurité. « Il n’y a aucune raison valable de mettre le piratage de masse de systèmes publiques à la portée des script-kiddies. Ce n’est pas parce qu’il est possible de faire quelque chose qu’il est sage de le faire. Tout ceci se terminera en larmes », explique Richard Bejtlich, fondateur de TaoSecurity, une filiale orientée sécurité de Cisco.
L’un de ses collègues, Craig Williams, va même plus loin, en cataloguant l’outil comme du malware. Car selon lui, il permet « de cibler des systèmes sur Internet que [l’utilisateur] ne contrôle pas et n’a pas la permission d’attaquer ». Le fait que le piratage soit totalement arbitraire ne permettrait pas d’utiliser AutoSploit de manière légale, comme dans le cadre d’un audit de sécurité.
De son côté, Rob Graham, PDG d’Errata Security, pense que la publication de ce logiciel est une bonne chose car, au final, cela va contribuer à l’amélioration du niveau de sécurité général. « Tous ce qui facilite le travail des script-kiddies est une bonne chose car ces systèmes vont être piratés, puis patchés sans grand dommage. Ils seront donc moins vulnérables pour les pirates des acteurs gouvernementaux ou de la criminalité organisée », estime-t-il. En d’autres termes, AutoSploit serait un mal nécessaire pour faire avancer le schmilblick. Et vous, qu’en pensez-vous ?
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
