mer, 08/01/2014 - 11:17
Internet est d'une complexité insoupçonnée notamment pour sa part obscure. Au cœur de cet écosystème, les botnets tiennent une place de choix et sont à l'origine d'un très grand nombre de menaces qui occupent à plein temps les différents acteurs de la sécurité informatique. Par Sébastien Goutal, Responsable du Laboratoire R&D de Vade Retro.
Littéralement, un botnet est la contraction de deux termes: “robot” et “network”. Il s'agit donc d'un réseau de robots - robot désignant un agent ou un programme informatique - dont la finalité est malveillante. Les exemples d'activité malveillante sont nombreux, et l'envoi de spam et de virus par email sont des exemples types de l’activité des botnets. Un botnet est contrôlé par une personne physique : un botmaster[1].
Le cycle de vie des botnets permet d'appréhender toute la problématique relative à ces derniers, d'un point de vue technique, économique et juridique.
Naissance d'un botnet
Le support physique d'un agent malveillant – ou malware - est une machine zombie. Il s'agit en général d'un ordinateur contrôlé par un botnet, à l'insu de son utilisateur légitime. La machine zombie est par exemple un ordinateur familial, placé derrière une connexion ADSL, dont des éléments essentiels à la sécurité ne sont pas à jour (système d'exploitation, navigateur Internet, anti-virus...) et qui a été compromis soit par l’exécution d’une pièce jointe contenant un virus, soit par la visite d'un site web infecté. S'appuyer sur une telle infrastructure a des avantages indéniables d'un point de vue économique : les coûts, que ce soit le hardware, la bande passante ou l'électricité sont intégralement à la charge de l’utilisateur légitime.
Donner naissance à un botnet revient à constituer un réseau de machines zombies, par l'intermédiaire d'une phase d'infection virale de grande ampleur, qui se déroule en plusieurs étapes :
- Le développement d'un malware permettra à la machine zombie de communiquer avec le botnet et d'effectuer les activités malveillantes. Cela nécessite en outre l'exploitation d'une faille de sécurité, nouvelle ou déjà connue, pour installer le malware à l'insu de l'utilisateur légitime. Certaines failles de sécurité innovantes peuvent être achetées ou vendues sur le marché noir.
- La constitution d’un carnet d'adresses, liste des utilisateurs cibles de la phase d'infection virale. Ces listes peuvent être constituées par des robots qui collectent des adresses emails trouvées sur Internet[2] ou achetées directement sur le marché noir.
- L’envoi d’une campagne d'emails qui, soit contient le malware sous forme de pièce attachée, soit fait référence à ce malware par l’intermédiaire d’un lien vers un site web infecté. L’envoi de cette campagne peut d'ailleurs être sous-traité en sollicitant les services d'un autre botnet.
- La réception d’un email contenant le malware et l’installation de ce dernier par certains utilisateurs cibles de la phase d’infection virale. Le taux d'infection est très variable et dépend du niveau de protection de chaque utilisateur et de la qualité de la faille de sécurité exploitée.
Suite à cette phase d'infection initiale, qui permet au botnet de prendre vie, d'autres phases d’infection peuvent avoir lieu pour agrandir le botnet[3]. Celui-ci peut atteindre une taille considérable. On estime par exemple que le botnet Bredolab était constitué à son paroxysme de près de 30.000.000 de machines zombies.
Vie d'un botnet
Suite à l'installation du malware sur la machine cible, ce dernier contacte un des nombreux serveurs de contrôle et de commande[4] du botnet. Ces serveurs servent à piloter[5] les activités des machines zombies, à collecter des informations et à mettre à jour le malware : ils constituent la clé de voûte de l'infrastructure de communication du botnet.
Le malware va espionner la machine cible et remonter toute information utile : numéro de cartes bancaires, mots de passe, données personnelles (nom, prénom, numéro de sécurité sociale... utilisés à des fins d'usurpation d'identité), carnet d'adresses.... Ces données sont ensuite agrégées, et utilisées directement ou bien revendues sur le marché noir par le botmaster. Les adresses email collectées sont d'une grande importance, car elles permettent d'agrandir le botnet en effectuant de nouvelles phases d'infection virale.
Le malware va effectuer les différentes tâches qui lui seront affectées, comme :
- L'envoi d'une campagne de spam ou de virus, en utilisant un modèle d'email et une liste de destinataires. A ce modèle, seront ajoutés des éléments variables et aléatoires, de manière à échapper aux systèmes de filtrage par signature.
- Effectuer une attaque par déni de service distribué[6].
- Effectuer de la fraude au clic[7] pour générer des revenus publicitaires frauduleux.
- Effectuer un calcul intensif, en particulier pour casser certaines clés de cryptage.
Ces activités peuvent être exercées pour le compte du botmaster, mais dans la plupart des cas, elles sont vendues comme une prestation à d'autres acteurs : industriels de la contrefaçon[8], organisations criminelles...
Prenons l'exemple classique du spam :
- Une organisation souhaite proposer à la vente des contrefaçons (montres de prestige, produits de luxe...).
- Elle contacte un botmaster et lui demande d'envoyer une campagne publicitaire à grande échelle. Le botmaster joue donc le rôle de prestataire de service pour le routage des emails. Il fournit - contre rémunération[9] - les moyens techniques d'envoi ainsi que les carnets d'adresses des destinataires.
- La campagne de spam est envoyée, avec une volumétrie souvent considérable[10]. Du fait des moyens techniques mis en œuvre pour limiter le spam, un pourcentage assez faible atteindra le destinataire final et le taux de transformation sur le site de contrefaçon sera réduit d'autant. Toutefois, la volumétrie considérable en amont (millions voire milliards d'emails), liée au coût quasi-nul en terme d’infrastructure, font que ce modèle reste très rentable.
- L'organisation reçoit alors un grand nombre de commandes, qu'elle pourra choisir d'honorer ou pas. Si elle honore la commande, elle enverra donc la contrefaçon au client et crée ainsi une relation commerciale classique ; si elle ne l'honore pas, elle utilise les données bancaires capturées pour un autre usage.
- L'argent gagné par l'organisation restant dans un cadre illégal, elle devra le blanchir. A ce titre, elle pourra encore une fois utiliser les services proposés par le botmaster en envoyant une campagne d'emails pour recruter des money mules[11]. Il s’agit d’une personne physique acceptant - contre forte rémunération - d'effectuer des opérations bancaires pour le compte d'une entreprise : ces opérations bancaires permettent à l’entreprise de blanchir des sommes d'argent, et la money mule prend à son insu toutes les responsabilités légales relatives à cette opération.
Mort d'un botnet
Étant donné le rôle essentiel donné aux serveurs de contrôle et de commande, le démantèlement d'un botnet passe par la mise hors service de ces derniers, et cette opération nécessite une intervention des autorités auprès des sociétés hébergeant les serveurs de contrôle et de commande.
Le 25 octobre 2010, le botnet Bredolab a été fortement affaibli suite à la saisie par les autorités des Pays Bas de 143 serveurs auprès de l'hébergeur hollandais LeaseWeb. Toutefois, le botnet est toujours actif, grâce à la présence d'autres serveurs de contrôle et de commande en Russie et au Kazakhstan.
Autre exemple : le botnet Grum a été complètement démantelé en juillet 2012, grâce aux opérations menées conjointement par les autorités en Hollande, au Panama et en Ukraine.
La capacité à mettre hors service un botnet est par conséquent principalement conditionnée par la bonne volonté des autorités des pays où sont hébergés les serveurs de contrôle et de commande : la problématique n'est plus d'ordre technique mais juridique et politique.
Sébastien Goutal, Responsable du Laboratoire R&D de Vade Retro
[1] Il peut y avoir plusieurs botmasters pour un même botnet.
[2] En parcourant des forums de discussion par exemple.
[3] De la même manière, des phases d'infection peuvent avoir lieu pour reconstituer un botnet qui a été partiellement démantelé.
[4] Les serveurs de contrôle et de commande sont généralement installés chez des hébergeurs, car ils doivent avoir une capacité - en terme de bande passante, de stockage et de traitement – importante. Le pilotage et la supervision de millions de machines zombies nécessitent des ressources importantes et un niveau de compétence technique élevé.
[5] La communication entre les machines zombies et les serveurs de contrôle et de commande est effectuée selon un protocole propre au botnet, qui peut être éventuellement crypté.
[6] Une attaque par déni de service consiste à rendre indisponible un service internet en le saturant de demandes de connexion. On parle d'une attaque par déni de service distribué si un grand nombre de machines participe à cette opération, ce qui est toujours le cas pour un botnet. On peut citer par exemple l'attaque menée en décembre 2010 par le groupe Anonymous contre les sites de Paypal, Visa et Mastercard, lors de l'affaire Wikileaks.
[7] Le fraude au clic consiste à effectuer de manière automatisée des clics sur des liens publicitaires, ce qui remet en cause le modèle économique des liens sponsorisés, très populaire sur Internet. On estime que plus de 20% des clics sur les liens publicitaires sont d'origine frauduleuse.
[8] La contrefaçon concerne principalement les montres de prestige, les produits de luxe, les médicaments - dont le fameux Viagra – et l'édition logicielle.
[9] Les prix sont variables, et dépendent surtout de la qualité du carnet d'adresses. On estime que l'envoi d'un million de spams coûte en moyenne moins de 100$ pour le client.
[10] On a estimé par exemple la capacité d'envoi quotidienne du botnet Rustock à environ 30.000.000.000 d'emails. C'est un volume considérable, et cela donne la mesure de la dangerosité des botnets.
[11] A noter que le terme de mule désigne dans le langage courant une personne transportant de la drogue d'un pays à l'autre, et parfois à son insu.
A propos de l'auteur