Un botnet, ce n'est pas seulement un réseau d'ordinateurs infectés et sous contrôle afin d'effectuer à leur insu diverses actions comme par exemple participer à la diffusion massive de spam ou à des attaques par déni de service distribué. Avec l'Internet des Objets, les zombies peuvent être de nature bien différente.
Les chercheurs de la société de sécurité Sucuri ont ainsi identifié un botnet constitué de caméras de vidéosurveillance connectées à Internet et impliqué dans des attaques DDoS d'une durée particulièrement longue. Les attaques ont pour vecteur des requêtes HTTP à raison de jusqu'à 50 000 par seconde.
Sucuri a mis au jour ce botnet après l'attaque du site d'une petite bijouterie qui a été paralysé pendant plusieurs jours. Le botnet est un réseau de plus de 25 500 caméras de vidéosurveillance réparties à travers le monde. Un chiffre élevé par rapport à des botnets de ce genre qui avaient déjà fait sourciller. Les caméras sont principalement situées à Taïwan, aux États-Unis et en Indonésie. Plusieurs centaines sont néanmoins également en France.
Le point commun de ces caméras est qu'elles font tourner un composant de serveur Web avec une page par défaut intitulée " DVD Components ". Sucuri a déterminé qu'elles exécutent BusyBox qui est une boîte à outils de commandes Shell (type Unix).
Pour enrôler autant d'appareils, une hypothèse est que les attaquants ont exploité une vulnérabilité récemment divulguée dans BusyBox et permettant une exécution de code à distance sur des enregistreurs vidéo de 70 fabricants différents. Ce n'est toutefois qu'une supputation à ce stade.
Diverses techniques ont été implémentées afin de maquiller une attaque et rendre son blocage plus difficile. Par exemple, les appareils compromis émulent le comportement d'un navigateur Web. Même si l'on ne regardera plus les caméras de surveillance connectées de la même manière, ce botnet ne fait qu'une nouvelle fois rappeler la problématique de la sécurité avec l'Internet des Objets.
