Les botnets

L’informatique fait face à une menace qui prend de l’ampleur chaque jour. Les botnets permettent au cybercrime de constituer de véritables armées de PC zombies pour réaliser des opérations par déni de service ou autres actions illégales.

Mais à l’origine, les botnets ont un usage tout à fait légitime. Ils servent, par exemple, à gérer des canaux de discussions ou à proposer des services variés sur IRC. Connectés en réseau, les utilisateurs sont tous opérateurs et peuvent ainsi contrôler le canal.

Désormais, ils constituent de sérieuses menaces pour la sécurité des données des entreprises. Ils permettent en effet de créer ce qu’on appelle des PC zombies. Lorsqu’un ordinateur est infecté, il ne répond plus aux commandes de celui qui est derrière l’écran mais se plie aux ordres d’un autre utilisateur, qui en prend totalement le contrôle… Concrètement, le pirate prend le contrôle des machines à distance grâce à un virus, un cheval de Troie, une faille… Ensuite, il peut diriger ces machines devenues zombies et envoyer ses ordres.

 

Usages et intérêts

Sur les réseaux IRC, les premières dérives de l’utilisation des botnets apparurent en 1993, lorsqu’ils furent utilisés pour prendre le contrôle du canal lors d’affrontements. De nos jours, le terme désigne surtout des réseaux de PC zombies.

A partir de 2002, plusieurs botnets malveillants, comme SpyBot, donnèrent de l’ampleur à la menace et en 2007 on estimait qu’un ordinateur sur quatre faisait partie du réseau d’un botnet.

On peut considérer que n’importe quel outil connecté à Internet peut être pris pour cible et devenir une machine zombie. Ainsi, les ordinateurs Windows, Linux, ou Mac peuvent être détournés. Mais ce n’est pas tout, les smartphones (avec Gemini en 2010), les consoles de jeux ou les routeurs peuvent aussi être visés.

Pourquoi les pirates se servent-ils de votre ordinateur pour agir ? En mettant en commun plusieurs machines, le pirate est plus efficace mais aussi plus difficile à stopper.

Les botnets malveillants sont principalement utilisés pour :

  • Relayer du spam. Ainsi, vous l’ignorez mais votre PC est peut-être en train d’envoyer des spams à vos contacts en votre nom.
  • Réaliser des phishings.
  • Diffuser des virus et autres malwares.
  • Participer à des attaques DDOS.
  • Réaliser des opérations de fraude au clic.
  • Dérober et revendre les informations que contient la machine attaquée.
  • Mener des opérations de commerce illicites.

Ce qui fait généralement l’attrait de cette méthode est la réalisation d’actions massives. Plus un réseau botnet est grand et facilement contrôlable, plus il sera efficace dans la réalisation des tâches citées ci-dessus, et donc rentable. En 2009, un botnet de 1 900 000 machines a été découvert, il permettait à ses « botmasters » de gagner 190 000 dollars par jour.

En plus de l’aspect économique, les attaques par botnets peuvent aussi être motivées par une idéologie, ou des motivations personnelles. Que ce soit par vengeance ou pour exercer un chantage (des joueurs en ligne bannis, des employés en colère…), ou encore pour réaliser une propagande, les attaques informatiques peuvent servir à compromettre n’importe quelle structure. Au début de l’année 2010, par exemple, on soupçonne le Vietnam d’avoir mis en place un botnet visant à réduire au silence la dissidence politique.

Les réseaux zombies n’ont jamais été aussi importants. Ils représentent de réels dangers pour les entreprises, les gouvernements, les industries…

Prenons l’exemple des fraudes au clic. Les clics frauduleux consistent à lancer un logiciel chargé de cliquer frénétiquement sur des liens publicitaires. Ainsi, les frais d’annonce versés par la société explosent puisqu’ils sont calculés sur le nombre de clics. Et bien sûr, ces clics ne sont pas suivis de commandes réelles pour l’annonceur. De quoi ruiner les annonceurs victimes de ces pratiques très courantes.

En ce qui concerne les attaques DDOS, durant le deuxième semestre 2010, elles ont dépassé les attaques par injection SQL. Les botnets sont bel et bien responsables, en grande partie, de la montée des attaques par déni de service. Ce nouveau vecteur connait une croissance particulièrement importante. Le but principal de ces attaques de serveurs Web est de mettre un ou plusieurs sites Internet hors-service. Mais cela peut aussi être pour défigurer une page Web, voler des informations, insérer un malware, ou encore insérer de fausses informations sur le site visé. Dans la plupart des cas, elles ont pour objectif de faire perdre de l’argent à une organisation. On note cependant que le vol de données bancaires est également en forte augmentation ces temps-ci.

 

Comment s’en protéger ?

L’infection passe généralement par l’installation d’un logiciel contaminé. Le virus peut alors pénétrer votre système via un logiciel malveillant, un cheval de Troie, une faille dans votre navigateur ou dans l’un de vos logiciels, ou encore via le peer-to-peer, en se faisant passer pour un fichier valide. Une fois le malware installé sur votre machine, le pirate peut la contrôler à distance.

Pour lutter contre ces fléaux, il n’existe pas de solution miracle. Les mises à jour proposées par les logiciels doivent simplement être réalisée régulièrement afin d’installer les derniers correctifs. Les mises à jour d’antivirus permettent ainsi de protéger les données stockées dans l’ordinateur des nouveaux virus. Pour les plus grandes structures, une solide politique de sécurité est le meilleure rempart à ce type d’infection.

En résumé, les mesures de protection habituelles des réseaux et des machines sont les seules défenses connues à ce jour.

Le département de sécurité de Microsoft a démantelé un important réseau en ce début d’année : Rustock. En mars 2011, Rustock comptait presque 1 million de machines et pouvait générer presque 50% du spam mondial. Le code source de ce réseau utilisait alors 106 adresses IP pour son contrôle.

La difficulté d’estimer la menace

En février 2010, on estimait qu’il existait au minimum entre 4 000 et 5 000 botnets actifs, mais la surveillance de tout le réseau Internet est impossible.

La taille d’un botnet peut être très variable. Il est de plus en plus fréquent qu’un réseau comprenne des milliers de machines zombies. Les plus gros réseaux connus à ce jour sont capables d’envoyer  14 000 000 e-mails par minutes.

Mais ces chiffres sont à prendre avec beaucoup de recul. Il est extrêmement difficile de définir les risques que les botnets représentent, vu qu’on surestime toujours le nombre de machines infectées en comptabilisant les adresses IP.  En effet, il arrive souvent que les sociétés de sécurité surévaluent ces infections et réduisent les risques présentés par un botnet au seul nombre de machines infectées qui le compose. A long terme, on risque alors de perdre toute crédibilité lors d’alertes légitimes. Le seul comptage des adresses IP ne suffit pas et conduit à des estimations erronées. Un seul ordinateur peut, par exemple se connecter plusieurs fois avec une adresse IP différentes, ou au contraire, derrière une seule et même adresse on peut trouver un réseau entier de machines.

Par exemple, dans le cas du botnet Torpig, on a détécté 1,2 millions d’IP infectés. Mais des chercheurs ont démontré qu’en réalité le botnet était composé de 180 000 machines, et non 1,2 millions comme le laisser penser le total des adresses IP.

Voilà pourquoi l’ENISA appelle à plus de précautions lors de l’évaluation de la taille des botnets, mais aussi à plus de transparence. Plus les chiffres publiés sont impressionnants, plus la presse est susceptible de reprendre les informations fournies par les éditeurs de solutions de sécurité, c’est pourquoi les chiffres mis en avant correspondent généralement au total des adresses IP comptabilisées au sein du réseau.

Pour l’ENISA, la seule taille d’un botnet ne peut pas être un indicateur fiable pour évaluer la menace. Ainsi, les botnets exploités pour lancer des attaques en déni de service se composent généralement de centaines de machines, et non de milliers.

 

Mais ces botnets, même si les chiffres sont gonflés, représentent tout de même un risque réel. Cependant, connaître le nombre de machines zombies est insuffisant pour évaluer la menace. Une analyse de risques pertinente devra par exemple tenir compte de la bande passante dont dispose chaque machine, et donc le botnet.

Partager : Facebook Twitter Plusone

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

*