Au cours des 23 premières années de ce siècle, le système d’exploitation Linux est devenu aussi omniprésent que Windows. Bien que seulement 3 % des gens l’utilisent sur leurs ordinateurs portables et leurs ordinateurs de bureau, Linux domine l’Internet des objets et est également le système d’exploitation de serveur le plus populaire. Vous avez certainement au moins un appareil Linux chez vous — votre routeur Wi-Fi. Mais il est fort probable qu’il y en ait en fait beaucoup plus : Linux est souvent utilisé dans les sonnettes intelligentes, les caméras de sécurité, les écoute-bébés, les serveurs NAS (Network-Attached Storage), les téléviseurs, etc.
Par ailleurs, Linux a toujours eu la réputation d’être un système d’exploitation « sans problème », qui ne nécessite aucune maintenance particulière, et qui ne présente donc aucun intérêt pour les pirates informatiques. Malheureusement, aucun de ces deux points n’est plus d’actualité sous Linux. Quelles sont donc les menaces auxquelles sont confrontés les appareils Linux domestiques ? Prenons trois exemples concrets.
Le routeur botnet
En lançant un programme malveillant sur un routeur, une caméra de sécurité ou un autre appareil allumé en permanence et connecté à Internet, les pirates informatiques peuvent l’exploiter dans le cadre de diverses cyberattaques. L’utilisation de tels bots est très populaire dans les attaques DDoS. Le botnet Mirai, utilisé pour lancer les plus grandes attaques DDoS de la dernière décennie, en est un parfait exemple.
Une autre utilisation courante des routeurs infectés consiste à y exécuter un serveur proxy. Un tel proxy permet à un malfaiteur d’accéder à Internet à l’aide de l’adresse IP de la victime et d’effacer ses traces.
Ces deux services sont en demande constante dans le monde de la cybercriminalité, c’est pourquoi les exploitants de botnet les revendent à d’autres cybercriminels.
Le ransomware pour NAS
Les cyberattaques d’envergure contre les grandes entreprises, suivies de demandes de rançon, c’est-à-dire les attaques par ransomware, nous ont presque fait oublier que cette industrie clandestine a commencé avec de très petites menaces pour les utilisateurs individuels. Les données de votre ordinateur sont chiffrées et on vous demande cent dollars pour les déchiffrer, vous vous en souvenez ? Sous une forme légèrement modifiée, cette menace est réapparue en 2021 et a évolué en 2022 — mais maintenant les pirates informatiques ne ciblent plus les ordinateurs portables et de bureau, mais les serveurs de fichiers personnels ainsi que les NAS. À deux reprises au moins, des programmes malveillants ont attaqué des propriétaires d’appareils NAS QNAP (Qlocker et Deadbolt). Les appareils de Synology, LG et ZyXEL ont également fait l’objet d’attaques. Dans tous les cas c’est le même scénario : un pirate informatique parvient à pirater un stockage réseau public via Internet en forçant les mots de passe ou en exploitant les vulnérabilités des logiciels. Ensuite, il exécute un programme malveillant sous Linux qui chiffre toutes les données et demande une rançon.
L’espionnage des ordinateurs de bureau
Les propriétaires d’ordinateurs de bureau ou portables fonctionnant sous Ubuntu, Mint ou d’autres distributions Linux doivent également rester vigilants. Les programmes malveillants « de bureau » pour Linux existent depuis longtemps, et maintenant vous pouvez même les retrouver sur des sites Internet officiels. Récemment, nous avons découvert une attaque dans laquelle des utilisateurs de la version Linux de Free Download Manager (FDM) étaient redirigés vers un stockage malveillant, à partir duquel une version de FDM modifiée en un cheval de Troie était téléchargée sur leur ordinateur.
Pour ce faire, les pirates informatiques ont piraté le site Internet de FDM et y ont injecté un script qui redirigeait au hasard certains visiteurs vers la version officielle, « sans danger » de FDM, et d’autres vers la version infectée. La version contenant le cheval de Troie installait des programmes malveillants sur l’ordinateur, dérobant des mots de passe et d’autres informations confidentielles. Des incidents similaires se sont produits dans le passé, par exemple, avec des images Linux Mint.
Il est important de noter que des vulnérabilités sont régulièrement découvertes dans Linux et les applications Linux populaires (voici une liste pour le noyau Linux uniquement). Par conséquent, même des outils du système d’exploitation et des contrôles d’accès correctement configurés n’offrent pas une protection complète contre de telles attaques.
En résumé, il n’est plus conseillé de se fier à des idées reçues comme « Linux est un système moins populaire et non ciblé », « je ne visite pas des sites Internet suspects » ou encore « je n’utilise pas mon ordinateur en tant qu’utilisateur root ». La protection des postes de travail Linux doit être aussi complète que celle de Windows et de macOS.
Comment protéger les systèmes Linux domestiques
Définissez un mot de passe administrateur sécurisé pour votre routeur, votre NAS, votre écoute-bébé et les ordinateurs personnels. Les mots de passe de ces appareils doivent être uniques. Le piratage de mots de passe par force brute et l’essai des mots de passe d’usine par défaut restent des méthodes populaires d’attaque des systèmes Linux domestiques. Il est conseillé de stocker des mots de passe forts (longs et complexes) dans un gestionnaire de mots de passe afin de ne pas avoir à les saisir manuellement à chaque fois.
Mettez régulièrement à jour le micrologiciel de votre routeur, de votre NAS et de vos autres appareils. Vérifiez la présence d’une fonctionnalité de mise à jour automatique dans les paramètres, très pratique dans ce cas-ci. Ces mises à jour offriront une protection contre les attaques courantes qui exploitent les vulnérabilités des appareils Linux.
Désactivez l’accès Internet au panneau de configuration. La plupart des routeurs et des appareils NAS vous permettent de restreindre l’accès à leur panneau de configuration. Assurez-vous que vos appareils ne sont pas accessibles via Internet et qu’ils le sont uniquement depuis le réseau domestique.
Minimisez les services inutiles. Les appareils NAS, les routeurs et même les sonnettes intelligentes fonctionnent comme des serveurs miniatures. Ils comprennent souvent des fonctionnalités supplémentaires, comme l’hébergement de fichiers média, l’accès FTP aux fichiers, la connexion à l’imprimante pour tout ordinateur personnel et le contrôle par ligne de commande via le protocole SSH. Ne laissez activées que les fonctions que vous utilisez réellement.
Envisagez de limiter les fonctionnalités du cloud. Si vous n’utilisez pas les fonctions cloud de votre NAS (comme le WD My Cloud) ou pouvez vous en passer, il est préférable de les désactiver complètement et d’accéder à votre NAS uniquement via votre réseau local domestique. Non seulement vous éviterez ainsi de nombreuses cyberattaques, mais vous vous protégerez également contre les incidents du côté du fabricant.
Utilisez des outils de sécurité spécialisés. Selon l’appareil, le nom et la fonction des outils disponibles peuvent varier. Pour les ordinateurs et les ordinateurs portables Linux, ainsi que pour certains appareils NAS, des solutions antivirus sont disponibles, y compris des options open source régulièrement mises à jour comme ClamAV. Il existe également des outils pour des tâches plus spécifiques, comme la détection des rootkits.
Pour les ordinateurs de bureau, pensez à migrer vers le système d’exploitation Qubes. Il repose entièrement sur les principes de la conteneurisation, ce qui vous permet d’isoler complètement les applications les unes des autres. Les conteneurs Qubes reposent sur les distributions Fedora et Debian.