Ajouter un commentaire

Par :
Sébastien Goutal

mer, 25/06/2014 - 13:40

Les botnets sont à l'origine d'un très grand nombre de menaces qui occupent à plein temps les différents acteurs de la sécurité informatique.

Littéralement, un botnet est la contraction de deux termes: “robot” et “network”. Il s'agit donc d'un réseau de robots - robot désignant un agent ou un programme informatique - dont la finalité est malveillante. Les exemples d'activité malveillante sont nombreux, et l'envoi de spam et de virus par email sont des exemples types de l’activité des botnets.

Le support physique d'un agent malveillant – ou malware - est une machine zombie. Il s'agit en général d'un ordinateur contrôlé par un botnet, à l'insu de son utilisateur légitime. La machine zombie est par exemple un ordinateur familial, placé derrière une connexion ADSL, dont des éléments essentiels à la sécurité ne sont pas à jour (système d'exploitation, navigateur Internet, anti-virus...) et qui a été compromis soit par l’exécution d’une pièce jointe contenant un virus, soit par la visite d'un site web infecté. S'appuyer sur une telle infrastructure a des avantages indéniables d'un point de vue économique : les coûts, que ce soit le hardware, la bande passante ou l'électricité sont intégralement à la charge de l’utilisateur légitime.

Naissance d'un botnet

Donner naissance à un botnet revient à constituer un réseau de machines zombies, par l'intermédiaire d'une phase d'infection virale de grande ampleur, qui se déroule en plusieurs étapes :

  1. Le développement d'un malware permettra à la machine zombie de communiquer avec le botnet et d'effectuer les activités malveillantes. Cela nécessite en outre l'exploitation d'une faille de sécurité, nouvelle ou déjà connue, pour installer le malware à l'insu de l'utilisateur légitime. Certaines failles de sécurité innovantes peuvent être achetées ou vendues sur le marché noir.
  2. La constitution d’un carnet d'adresses, liste des utilisateurs cibles de la phase d'infection virale. Ces listes peuvent être constituées par des robots qui collectent des adresses emails trouvées sur Internet (En parcourant des forums de discussion par exemple.) ou achetées directement sur le marché noir.
  3. L’envoi d’une campagne d'emails qui, soit contient le malware sous forme de pièce attachée, soit fait référence à ce malware par l’intermédiaire d’un lien vers un site web infecté. L’envoi de cette campagne peut d'ailleurs être sous-traité en sollicitant les services d'un autre botnet.
  4. La réception d’un email contenant le malware et l’installation de ce dernier par certains utilisateurs cibles de la phase d’infection virale. Le taux d'infection est très variable et dépend du niveau de protection de chaque utilisateur et de la qualité de la faille de sécurité exploitée.

Vie d'un botnet

Suite à l'installation du malware sur la machine cible, ce dernier contacte un des nombreux serveurs de contrôle et de commande du botnet. Ces serveurs servent à piloter les activités des machines zombies, à collecter des informations et à mettre à jour le malware : ils constituent la clé de voûte de l'infrastructure de communication du botnet.

Le malware va espionner la machine cible et remonter toute information utile : numéro de cartes bancaires, mots de passe, données personnelles (nom, prénom, numéro de sécurité sociale... utilisés à des fins d'usurpation d'identité), carnet d'adresses.... Ces données sont ensuite agrégées, et utilisées directement ou bien revendues sur le marché noir par le botmaster. Les adresses email collectées sont d'une grande importance, car elles permettent d'agrandir le botnet en effectuant de nouvelles phases d'infection virale.

Le malware va effectuer les différentes tâches qui lui seront affectées, comme :

  • L'envoi d'une campagne de spam ou de virus, en utilisant un modèle d'email et une liste de destinataires. A ce modèle, seront ajoutés des éléments variables et aléatoires, de manière à échapper aux systèmes de filtrage par signature.
  • Effectuer une attaque par déni de service distribué.
  • Effectuer de la fraude au clic pour générer des revenus publicitaires frauduleux.
  • Effectuer un calcul intensif, en particulier pour casser certaines clés de cryptage.

Ces activités peuvent être exercées pour le compte du botmaster, mais dans la plupart des cas, elles sont vendues comme une prestation à d'autres acteurs : industriels de la contrefaçon, organisations criminelles...

Mort d'un botnet

Étant donné le rôle essentiel donné aux serveurs de contrôle et de commande, le démantèlement d'un botnet passe par la mise hors service de ces derniers, et cette opération nécessite une intervention des autorités auprès des sociétés hébergeant les serveurs de contrôle et de commande.

Le 25 octobre 2010, le botnet Bredolab a été fortement affaibli suite à  la saisie par les autorités des Pays Bas de 143 serveurs auprès de l'hébergeur hollandais LeaseWeb. Toutefois, le botnet est toujours actif, grâce à la présence d'autres serveurs de contrôle et de commande en Russie et au Kazakhstan.

Autre exemple : le botnet Grum a été complètement démantelé en juillet 2012, grâce aux opérations menées conjointement par les autorités en Hollande, au Panama et en Ukraine.

La capacité à mettre hors service un botnet est par conséquent principalement conditionnée par la bonne volonté des autorités des pays où sont hébergés les serveurs de contrôle et de commande : la problématique n'est plus d'ordre technique mais juridique et politique.

A propos de l'auteur

Sébastien Goutal
Responsable du Laboratoire R&D de Vade Retro

Filtered HTML

Plain text

CAPTCHA
Cette question permet de vérifier que vous n'êtes pas un robot spammeur :-)
 X   X   AA   W     W  U   U   AA  
X X A A W W U U A A
X AAAA W W W U U AAAA
X X A A W W W U U A A
X X A A W W UUU A A