420.000 appareils hackés pour cartographier l'Internet mondial

Carte mondiale des 460 millions d'adresses IP ayant répondu aux requêtes ping ICMP ou au scan de ports entre Juin et Octobre 2012 via Internet Census 2012

Carte mondiale des 460 millions d'adresses IP ayant répondu aux requêtes ping ICMP ou au scan de ports entre Juin et Octobre 2012 via Internet Census 2012

A quoi ressemble l’Internet mondial? Qui se connecte, où et quand?

Ces questions titillaient beaucoup trop un hacker-cartographe anonyme pour qu’il les laisse sans réponse. Quitte à risquer une cinquantaine de sentences de prison à vie s'il venait à être retrouvé, selon le blog sciences et technologies Motherboard.

Afin de collecter ces données, le chercheur a effectué des requêtes ping –simple moyen de savoir si un ordinateur est connecté derrière une adresse IP– entre mai et décembre 2012. En tout, il en a envoyé 52 milliards et explique qu’il scannait la totalité d’Internet plusieurs fois par jour. Selon son article Internet Census 2012, Internet compte 3,6 milliards d’adresses IP, dont certaines changent toutes les 24 heures. Par ailleurs, le chercheur a également envoyé 4.000 milliards de service probes, des requêtes qui permettent de savoir quels appareils sont connectés.

Carte mondiale sur 24 heures de l'utilisation d'Internet. En rouge, le trafic est élevé et en bleu, il est bas.

Le magazine britannique The Register, spécialisé dans les nouvelles technologies, rapporte que la taille de l’exploit a nécessité que sa réalisation soit illégale. Afin d’effectuer ces scans, le chercheur a hacké 420.000 appareils qui étaient protégés par des combinaisons de mots de passe transparents, à savoir admin : admin, root : root ou sans mot de passe pour les deux. Il y a installé un petit programme permettant de faire pour lui le travail de scan, créant ainsi un gigantesque botnet (réseau d’appareils infectés) qu’il a nommé Carna, d’après la déesse romaine protectrice de la santé des organes internes –ou des gonds de portes, si on en croit le poète Ovide.

Dans ses recherches, le hacker s’est engagé à déranger le moins possible les usagers: il a utilisé la priorité la plus basse possible pour l’exécution du programme de Carna, a évité de collecter des informations sur ce qu’ils faisaient et a même laissé un fichier texte explicatif avec une adresse email de contact sur les ordinateurs infectés. Pourtant, la facilité avec laquelle le chercheur a pu hacker tant de machines soulève le problème de la sécurité sur internet. Dans son article, le chercheur explique que celle-ci est notamment mal maîtrisée pour de nombreux périphériques et fournisseurs d’accès:

«De nombreux appareils et services que nous avons vus en effectuant nos recherches [à l’aide des service probes] ne devraient jamais être connectés à l’Internet public du tout. En règle générale, si vous croyez que “personne ne connecterait ça à Internet, personne du tout”, il y a au moins 1.000 personnes qui l’ont fait. A chaque fois que vous pensez “ça ne devrait pas être sur Internet mais on le trouvera probablement quelques fois”, c’est sur Internet des centaines de milliers de fois. Comme un million et demi d’imprimantes, ou un million de webcams, ou d’appareils qui ont “root” comme mot de passe administrateur [root].»

La carte obtenue sera bientôt obsolète: comme le rappelle Motherboard, Carna botnet n’a scanné que des appareils utilisant le protocole IPv4. Celui-ci reste pourtant le plus commun, puisque le nouveau standard IPv6 ne représente qu’1% environ des machines connectées. Le changement de protocole est nécessaire car les combinaisons d’adresses IP en format IPv4 seront bientôt toutes épuisées.