Skip to content
Cyber Breaches
Recherche
DDoSRésolu

Panne des routeurs Deutsche Telekom liée à Mirai

Une campagne ratée du botnet Mirai visant une faille de routeur a fait planter environ 900 000 routeurs Deutsche Telekom, privant les clients allemands d'internet, de téléphone et de télévision pendant deux jours en novembre 2016.

Victime
Deutsche Telekom
utilisateurs
900.0K
Secteurtelecommunications
PaysAllemagne
Attaquants nommésOpérateur du botnet Mirai (Daniel Kaye / « BestBuy »)

Le soir du 27 novembre 2016, environ 900 000 des 20 millions de routeurs de Deutsche Telekom ont commencé à planter, coupant les services internet, téléphonique et de télévision des clients allemands dans une perturbation qui s'est étendue au lendemain. La cause : une campagne ratée du botnet Mirai.

Ce qui s'est passé

Plus tôt ce mois-là, le 8 novembre 2016, un exploit visant le protocole de gestion à distance TR-064 (via le port 7547) des routeurs de classe Eir D1000 a été publié. Une nouvelle variante du botnet IoT Mirai l'a rapidement militarisé, scannant massivement internet pour enrôler les routeurs domestiques vulnérables dans le botnet.

Lorsque cette variante a sondé les routeurs Speedport de Deutsche Telekom (modèles W 921V, W 723V Type B et W 921 Fiber), les appareils n'ont pas réellement été infectés — ils ont planté à la place. Une faille dans le code de l'attaque faisait que la tentative d'exploit bloquait les routeurs au lieu de les recruter, empêchant paradoxalement l'infection mais provoquant une panne massive. Environ 900 000 clients ont perdu leur connectivité.

Impact

  • Environ 900 000 clients fixes ont perdu internet, la téléphonie VoIP et l'IPTV.
  • Les pannes ont commencé vers 17h00 le dimanche 27 novembre et se sont poursuivies jusqu'au lundi matin, soit environ deux jours de perturbation intermittente.
  • Deutsche Telekom a réagi en diffusant une mise à jour du firmware qui s'installait automatiquement après un redémarrage des routeurs touchés, rétablissant le service.

Attribution

La campagne a été attribuée à un opérateur de botnet utilisant le pseudonyme « BestBuy », identifié par la suite comme le ressortissant britannique Daniel Kaye. Il a été arrêté à l'aéroport de Luton en février 2017 et condamné par un tribunal allemand en juillet 2017 à une peine avec sursis. Kaye aurait construit un botnet à louer et n'aurait pas eu l'intention de viser spécifiquement Deutsche Telekom — la panne fut un dommage collatéral d'un exploit défectueux.

Pourquoi c'est important

La panne de Deutsche Telekom a été une démonstration précoce et frappante de la façon dont des objets connectés et équipements grand public non sécurisés peuvent être enrôlés à l'échelle nationale — et de la manière dont même une tentative d'infection ratée peut provoquer une perturbation collatérale massive de services télécoms critiques. Survenant quelques semaines après les attaques DDoS record de Mirai contre Dyn et Krebs on Security, elle a consacré Mirai comme la menace de botnet IoT emblématique de l'époque et accéléré l'attention des régulateurs et des FAI sur la sécurité des routeurs, les interfaces de gestion à distance et le durcissement des identifiants par défaut.

Chronologie

  1. Un exploit visant le protocole TR-064 des routeurs de classe Eir D1000 est rendu public, ouvrant la voie à une infection à distance.

  2. Une nouvelle variante de Mirai commence à sonder massivement le port 7547 ; vers 17h00 heure locale, environ 900 000 routeurs Deutsche Telekom commencent à défaillir.

  3. Les pannes se poursuivent jusqu'au lundi matin, perturbant internet, la téléphonie et la télévision des clients touchés.

  4. Deutsche Telekom déploie une mise à jour du firmware qui s'installe automatiquement après le redémarrage des routeurs infectés.

  5. Le suspect Daniel Kaye (« BestBuy ») est arrêté à l'aéroport de Luton, au Royaume-Uni, en lien avec la campagne.

  6. Un tribunal allemand condamne Kaye à une peine avec sursis pour l'attaque du botnet.

Sources

  1. krebsonsecurity.comhttps://krebsonsecurity.com/2016/11/new-mirai-worm-knocks-900k-germans-offline/
  2. news.sophos.comhttps://news.sophos.com/en-us/2016/11/29/deutsche-telkom-outage-mirai-botnet-goes-double-rogue/
  3. bankinfosecurity.comhttps://www.bankinfosecurity.com/mirai-botnet-knocks-out-deutsche-telekom-routers-a-9565
  4. flashpoint.iohttps://www.flashpoint.io/blog/new-mirai-variant-involved-latest-deutsche-telekom-outage/

Incidents liés

DDoSRésolu

Attaque DDoS Mirai contre le DNS Dyn

Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.

Victim
Dyn, Inc.
Fuite de donnéesRésolu

Fuite de données Samsung Germany Customer Tickets (2025)

En mars 2025, des données de Samsung Allemagne ont été compromises lors d'une fuite de données de son prestataire logistique, Spectos. Vraisemblablement due à des identifiants obtenus par un malware s'exécutant sur la machine d'un employé de Spectos, la fuite incluait 216 000 adresses e-mail uniques ainsi que des noms, des adresses physiques, des articles…

Victim
Samsung Germany Customer Tickets
Records
216.3K
Fuite de donnéesRésolu

Fuite de données Thermomix Recipe World Forum (2025)

En janvier 2025, le forum Rezeptwelt (« monde des recettes » en allemand) destiné aux propriétaires de Thermomix a subi une fuite de données. L'incident a exposé les informations de 3,1 millions d'utilisateurs enregistrés, notamment des noms, des adresses e-mail et postales, des numéros de téléphone, des dates de naissance et des biographies (généralement liées à la cuisine).

Victim
Thermomix Recipe World Forum
Records
3.1M