Après deux jours de conjectures, Deutsche Telekom a mis fin au suspense : c'est bien un dérivé du malware connu sous le nom de Mirai qui a déconnecté, ce week-end, quelque 900 000 internautes allemands. Les routeurs de l'opérateur ont en fait été recrutés au sein d'un botnet. Ce dimanche, la toile allemande s'agitait : les clients de Deutsche Telekom, principal FAI du paysage national, faisaient face à une panne de leur connexion. Rapidement, on apprenait qu'environ 900 000 des 20 millions d'abonnés fixe de l'opérateur étaient touchés, et que cela concernait avant tout certains modèles de routeurs (box). L'explication, toutefois, restait entourée de mystère. Deutsche Telekom, en tout cas, ne fournissait aucune piste, et se contentait de suggérer, en cas de problème, un simple redémarrage du routeur.

Ce mardi, alors que les théories commençaient à se multiplier au sujet d'une hypothétique attaque — dont certaines largement étayées —, l'opérateur et le Bundesamt für Sicherheit in der Informationstechnik (BSI) ont révélé la vérité : les appareils touchés par des dysfonctionnements ont en fait été la cible d'une attaque généralisée menée au moyen d'un dérivé de Mirai. Cela signifie, concrètement, qu'un individu a exploité une brèche — en l'occurrence dans le système de support à distance, qui fonctionnait sans authentification — pour transformer tous les engins "éligibles" en petits soldats de son tout nouveau botnet.

À l'heure où nous écrivons ces lignes, la situation est, à en croire Deutsche Telekom, rétablie. Tous les engins ont pu être mis à jour et ont repris un fonctionnement normal. L'opérateur ne s'étend guère sur les détails, mais on sait désormais, comme Reuters le rapporte, que l'attaque visait en particulier les routeurs fabriqués par le Taïwanais Arcadian Technology. On sait, également, que ladite attaque n'est pas restée confinée au territoire allemand — les autorités brésiliennes, notamment, ont relevé un problème identique et concomitant.