Suivez-nous sur Twitter Suivez-nous sur Facebook VQ  velo.qc.ca 
Reportages

Ce virus qui prend le contrôle de votre routeur

Par Mélissa Guillemette - 16/02/2017
-
Avez-vous un compte Instagram ou Twitter? Non? Votre routeur, lui, en a peut-être un.

Pour avoir l’air crédible, ou important, rien de tel que de posséder un profil Twitter ou un compte Instagram suivi par des milliers de personnes. La solution rapide ? Acheter de faux amis. Ces dernières années, des « fermes à clics » ont vu le jour dans les pays en développement : des employés faiblement rémunérés y passent leurs journées à surfer sur le Web pour cliquer là où on leur dit de le faire. Mais il existe un stratagème encore plus performant qui transforme n’importe quel appareil connecté en employé virtuel !

Un virus, Linux/Moose, infecte différents appareils connectés à Internet, comme les routeurs et les télévisions intelligentes, plus faciles à pirater qu’un ordinateur (en clair, il n’existe pas d’antivirus pour ces appareils). Le virus vole leur identité – leur adresse IP – le temps de les inscrire sur des réseaux sociaux pour qu’ils « suivent » et « aiment » les comptes de personnes en quête de popularité. Le service est offert par des entreprises de marketing en ligne.

Masarah Paquet-Clouston et Olivier Bilodeau, employés chez GoSecure, une boîte montréalaise de sécurité informatique, ont enquêté sur ce phénomène. En 2015, Olivier Bilodeau avait déjà documenté les caractéristiques de Linux/Moose dans un volumineux rapport.

« Il fallait aller plus loin que de décrire le virus pour l’arrêter : il fallait décrire le marché, l’offre et la demande, dit le spécialiste en cybersécurité. Pour y arriver, on se devait d’être actifs : au lieu de chasser le virus de façon traditionnelle, on a fait en sorte qu’il vienne à nous. » Le duo a donc volontairement laissé s’infecter des serveurs loués à cette fin, pour étudier de l’intérieur le fonctionnement de ce système criminel. Ils ont fait croire au virus que ces serveurs étaient des routeurs.

Espionner les pirates
Par une astuce technique, ils ont réussi à obtenir tous les échanges entre les réseaux sociaux et les serveurs loués devenus les soldats du virus. « On voyait ce que les bots voulaient faire, comme créer un compte sur Instagram ou aimer une photo, et comment les réseaux sociaux y répondaient », décrit Masarah Paquet-Clouston qui a mené ces recherches au cours d’un stage chez GoSecure dans le cadre de sa maîtrise en criminologie à l’Université de Montréal, avant d’y être embauchée.

Ainsi, toutes les 10 minutes, « les appareils infectés demandent au serveur de contrôle : “Hé ! Qu’est-ce que je peux faire pour toi ?”, explique Masarah Paquet-Clouston; c’est comme un comptoir de répartition du travail ». Le serveur leur indique alors comment agir sur leur faux compte Instagram ou Twitter. Tout cela est évidemment automatisé.

Plus de 87 % du temps, les routeurs et autres appareils contaminés consultaient leur boîte de messagerie et surfaient sans but sur le réseau social pour avoir l’air d’un humain et éviter d’être repérés par les réseaux sociaux. Le reste de leurs actions visaient à accroître, artificiellement, la popularité des clients qui paient en moyenne 21,50 $ pour obtenir 1 000 nouveaux (et faux) abonnés sur Instagram, par exemple.

Ces clients sont principalement des boutiques, des travailleurs autonomes (designers web, tatoueurs, photographes) et des aspirants à la célébrité (mannequins, musiciens, blogueurs). Si ce n’était que d’Olivier Bilodeau, l’équipe ne se gênerait pas pour citer les comptes qui ont bénéficié de ces services. « Mais en tant que chercheuse, je souhaitais davantage signaler le phénomène que les individus », dit Masarah Paquet-Clouston qui surnomme son collègue « le Policier » pour plaisanter. Elle préfère la prudence, surtout que le duo n’a pas de preuve que les utilisateurs ont payé pour ces faux abonnés.

Quant aux criminels derrière ce stratagème, il a été impossible de les retracer. Les deux comparses parlent d’ailleurs du « cybercrime parfait », puisque les malfrats opèrent au grand jour, sans éveiller les soupçons. « Ils font quelque chose de criminel, c’est-à-dire infiltrer des routeurs sans le consentement de leur propriétaire, mais vendent ce service à M. et Mme Tout-le-Monde, et le facture sur des cartes de crédit légitimes », remarque Masarah Paquet-Clouston, lauréate d’un prix Mitacs pour innovation exceptionnelle relativement à ses recherches. « Sur leur site, ils prétendent que c’est une pratique normale et qu’il est essentiel d’avoir un fanbase. »

Solution à envisager 
Comment combattre ce piratage de l’ego ? Débrancher notre routeur – ou tout autre objet « connecté » – pendant cinq secondes, ce qui fera disparaître le virus s’il est présent (il n’y a aucun signe visible du piratage). Il faut ensuite changer le mot de passe au rebranchement pour éviter d’être infecté de nouveau. « Pas le mot de passe pour accéder à votre Internet ! Le mot de passe administrateur », souligne à grands traits Olivier Bilodeau.

Selon lui, les fournisseurs Internet devraient avoir la prudence de bloquer le protocole Telnet, qui permet d’établir des connexions avec des ordinateurs à distance, [pour stopper des virus comme Linux/Moose]. Les fabricants des objets connectés ont aussi la capacité de prévenir le piratage. « Ils mettent le moins de sécurité possible pour faciliter le service à la clientèle », déplore-t-il. Il y a également des solutions législatives; le Canada pourrait choisir d’encadrer les caractéristiques des routeurs vendus au pays.

Ces mesures protégeraient autant les propriétaires d’objets connectés que les individus ayant soif d’abonnés qui, eux aussi, se font arnaquer. Dans l’analyse de GoSecure sur Instagram, les présumés clients ont vu 75% de leurs abonnés fictifs disparaître, suspendus par le réseau social.

Il n’y a rien comme les vrais amis.
 

Afficher tous les textes de cette section