Glossaire

Botnet

En quoi consistent les botnets ?

Un botnet est un ensemble d'appareils connectés au Web, qu'il s'agisse de serveurs, PC, appareils mobiles ou de l'Internet des objets, tous infectés et contrôlés par un même malware. En général, une machine intègre un botnet totalement à l'insu de son utilisateur, qui en ignore tout. Ces appareils piratés peuvent être utilisés pour lancer des attaques par déni de service distribué, pour voler des données ou envoyer du spam, ou encore pour accéder à distance au réseau local de l'appareil.

L'architecture des réseaux de robots a évolué avec le temps pour s'adapter à de nouveaux systèmes de sécurité et échapper à toute détection ou perturbation. Habituellement, les programmes de ces robots sont conçus sous forme de clients, communiquant avec des serveurs. Cependant, de nombreux botnets récents exploitent plutôt des réseaux peer-to-peer pour communiquer. Ces programmes de bots P2P ont les mêmes capacités que les botnets reposant sur un modèle client/serveur, mais peuvent aussi communiquer directement entre eux et n'ont plus besoin d'un serveur centralisé.

Comment fonctionnent les botnets

Les botnets sont utilisés pour diffuser du spam par e-mail, entreprendre des attaques de type fraude au clic ou encore lancer des attaques DDoS.​​​​​​​ Plutôt que de cibler des particuliers ou des entreprises, les malwares utilisés pour les botnets fouillent en permanence l'Internet à la recherche de systèmes ou d'appareils IoT vulnérables afin d'infecter un maximum de machines. La puissance de calcul et les ressources à la disposition d'un grand botnet sont ensuite exploitées pour automatiser des tâches tout en restant invisible par le propriétaire de la machine. Le botnet utilise un certain nombre d'astuces pour rester caché. L'une des méthodes les plus courantes consiste à profiter du navigateur d'une machine. En n'utilisant qu'une petite partie des ressources de l'appareil, l'augmentation du trafic reste assez limitée pour que l'utilisateur ne se rende compte de rien.

Dans la mesure où seule une petite partie de la puissance de calcul de chaque appareil piraté est utilisée, les botnets ont besoin d'infecter de nombreuses machines (le nombre se compte parfois en millions) pour obtenir l'effet désiré sur la cible sélectionnée.

Architecture d'un botnet

Les infections par botnet se diffusent souvent via un malware. Ce malware analyse les systèmes ou les machines à la recherche de vulnérabilités communes, par exemple un système d'exploitation non mis à jour ou un pare-feu désactivé, afin de pénétrer un maximum de systèmes.

Une fois que le botnet a atteint la taille souhaitée, les pirates contrôlent les bots à l'aide de l'une des deux approches suivantes.

  • Approche client/serveur classique : un serveur de commande envoie des instructions automatisées à tous les systèmes infectés qui forment le botnet. Cette communication peut être routée de plusieurs manières : par un canal IRC, en HTML ou à l'aide d'un VPN. La détection peut s'avérer difficile car les robots peuvent être programmés pour rester dormants afin de ne pas éveiller les soupçons. Ils attendent alors les ordres, puis se « réveillent » et démarrent leurs activités malveillantes.
  • L'approche en peer-to-peer : cette approche, utilisée pour échapper aux respect des lois et aux systèmes de sécurisation des réseaux, est plus moderne. Les bots en peer to peer évitent de voir leurs domaines ou serveurs de commande ciblés en communiquant directement par un réseau décentralisé. Tous les robots sont directement interconnectés et s'épargnent ainsi la dépendance à un système de communication centralisé.

Quelques attaques notables de la part de botnets :

  • Zeus : l'une des plus grandes formes de malwares actuellement. Zeus repose sur un cheval de Troie qui infecte les systèmes vulnérables en se faisant passer pour un logiciel inoffensif.
  • Srizbi : autrefois premier botnet de spam au monde. Srizbi est plus connu sous le nom de « botnet du spam pour Ron Paul » (Ron Paul spam botnet) et fut un temps à l'origine de près de 60 milliards de messages par jour. À son apogée, il était responsable, à chaque instant, de près de la moitié des spams envoyés.
  • Gameover Zeus : ce botnet utilise une approche par peer-to-peer, ce qui le rend difficile à localiser et à désactiver pour les services de police et les fournisseurs de solutions de sécurité. Les bots infectés utilisaient un algorithme de génération de noms de domaine pour communiquer entre eux.
  • Methbot : tourne sur environ 800 à 1 200 serveurs dédiés infectés situés dans des datacenters aux États-Unis et aux Pays-Bas. Les serveurs infectés produisent de faux clics, de faux mouvements de souris et créent de faux comptes sur les réseaux sociaux pour se faire passer pour des utilisateurs ordinaires.
  • Mirai : conçu pour fouiller l'Internet à la recherche d'appareils non sécurisés. Une fois un appareil vulnérable identifié, le malware tente de s'y connecter à l'aide d'une liste de mots de passe courants. S'il ne parvient pas à se connecter de cette manière, Mirai tente de trouver le mot de passe par force brute.

Pourquoi les botnets sont importants

La possibilité pour les utilisateurs d'éviter les attaques de botnets est rendue plus difficile depuis quelques temps avec la croissance des malwares ciblant les routeurs et appareils de l'Internet des objets. Les mots de passe de ces systèmes sont souvent faibles, quand mot de passe il y a, ce qui rend très vulnérables. Nombre d'appareils de l'Internet des objets ne permettent même pas aux utilisateurs de modifier directement leurs paramètres de sécurité ; repousser les attaques en devient d'autant plus difficile. Lorsque les fabricants ne peuvent mettre à jour les firmwares d'un appareil à distance pour en combler les failles de sécurité, la seule solution est alors d'effectuer un rappel du produit.

Autrefois, les attaques des botnets pouvaient être perturbées en ciblant leur serveur de contrôle. Les services de police et les professionnels de la sécurité pistaient les communications des bots jusqu'à retrouver les serveurs de commande, puis demandaient aux hébergeurs de fermer ces serveurs. Lorsque les réseaux de botnets ont progressé, les méthodes de pistage ont suivi. Il s'est alors agi d'identifier et de supprimer les infections par les malwares sur les appareils sources, d'identifier et de répliquer les méthodes de communication en peer-to-peer et, dans le cas de fraudes publicitaires, de perturber le système de monétisation plutôt que l'infrastructure technique criminelle qu'il soutenait.

En savoir plus sur les botnets

Termes associés

Lectures complémentaires

Découvrez comment Barracuda peut vous aider

Les pare-feux Barracuda CloudGen Firewall sont conçus spécialement pour protéger votre réseau contre les botnets et les spywares. En surveillant les domaines auxquels les clients accèdent au sein du réseau, les pare-feux Barracuda CloudGen Firewall peuvent identifier les machines infectées, le cas échéant. Si des clients tentent d'accéder à des sites ou domaines malveillants, le pare-feu peut rediriger le trafic vers une autre adresse IP dans le but d'analyser la menace.

Des questions sur les botnets ? Contactez-nous dès maintenant !