Des chercheurs québécois ont fait une découverte surprenante : un ver utilise les objets connectés pour créer des profils Instagram bidon. Le but : alimenter le lucratif marché des faux « j’aime ».
Quand Olivier Bilodeau a rencontré Masarah Paquet-Clouston, il a immédiatement su qu’il fallait qu’ils collaborent.
Lui, chercheur chez GoSecure, une entreprise québécoise de cybersécurité, essayait depuis un moment de comprendre un malware du nom de Linux/Moose, qui roulait sur des routeurs – peut-être le vôtre – et lançait des requêtes vers les réseaux sociaux.
« On s’est tout de suite douté que l’objectif était de contourner les filtres antispam de Twitter, Facebook, Instagram, etc. Ce qu’il nous manquait, c’était de savoir quel était le marché. »
Elle, de son côté, se passionnait pour la cybersécurité et faisait une maîtrise en criminologie à l’université de Montréal. La jeune femme est donc venue faire un stage chez GoSecure.
Six mois plus tard, le duo, complété de deux autres acolytes (David Décary-Hétu et Thomas Dupuy), a mis au jour un incroyable marché noir du like [PDF] sur Instagram.
Pour expliquer tout cela au profane que je suis, Olivier Bilodeau et Masarah Paquet-Clouston, attablés à un café du centre-ville de Montréal, doivent se relayer pendant une bonne demi-heure…
« Linux est partout »
Petit aparté technique, nécessaire pour comprendre la suite des choses : Linux/Moose cible spécifiquement Linux. Vous utilisez seulement Windows, donc pensez que ça ne vous concerne pas ? Détrompez-vous : selon Olivier Bilodeau,
« Linux est partout, dans tous les routeurs à la maison, les réfrigérateurs intelligents, les télévisions connectées, les caméras IP. »
Plus précisément, Linux/Moose est un ver : il se réplique lui-même sur internet. Masarah Paquet-Clouston décrit :
« Il scanne l’internet, et quand il trouve un routeur qui a les systèmes qu’il veut, il va tenter d’y entrer en devinant le nom d’utilisateur et le mot de passe. Souvent, les gens ne changent pas ça. Par défaut, ça peut être “ admin ”, “ password ”, “ 1234 ”… Personne ne va se rendre compte que le routeur est infecté, parce que tout ce que le ver fait, c’est utiliser Internet. »
Pots de miel
Il s’installe sur un routeur, se multiplie, cherche d’autres routeurs où s’installer, etc. Chaque machine infectée devient une « machine zombie », c’est-à-dire qu’elle peut être contrôlée à distance par un cybercriminel.
Le malfaiteur peut donc passer des commandes que toutes les versions installées du logiciel malveillant vont se partager. Un serveur de commande et de contrôle permet à tout ce beau monde de communiquer, tout en préservant l’anonymat du cybercriminel. Cet ensemble, à la force de frappe considérable, a un nom : c’est un botnet (réseau de bots). Fin de la parenthèse.
Pour comprendre les intentions de celui qui tirait les fils de ce botnet, l’équipe a créé des « pots de miel » pour piéger et observer les pirates : douze routeurs virtuels situés partout dans le monde, du Brésil à la Chine, sur lesquels a été installé Linux/Moose....
Lire la suite - Avec des pots de miel, ils ont enquêté sur le marché noir du like
Avec des pots de miel, ils ont enquêté sur le marché noir du like
Instagram 
