Qu’est-ce qu’un botnet ?

Menaces

Les botnets ont été découverts par le grand public au début des années 2000 quand un adolescent canadien a lancé une série d’attaques par déni de service contre plusieurs sites Web célèbres. L’adolescent, connu sous le nom de Mafiaboy, a ciblé Yahoo, ETrade, Dell, eBay, Amazon et d’autres sites pendant plusieurs jours, inondant les sites avec d’énormes quantités de trafic indésirable jusqu’à que leurs services crashent. Bien que Mafiaboy, dont le vrai  nom est Michael Calce, n’ait pas utilisé de botnet pour lancer ses attaques, les experts en sécurité avait averti à la suite de l’incident que les botnets – de larges réseaux d’ordinateurs infectés par un même virus – et les attaques DDoS pour lesquelles on les utilise, représentaient une menace majeure pour la stabilité et l’intégrité d’Internet. Et ils avaient raison.

botnet

Définition d’un botnet

Botnet est un terme générique qui désigne un groupe d’ordinateurs infectés et contrôlés par un pirate à distance. Les botnets sont généralement créés par un pirate informatique ou par un petit groupe de pirates qui utilise un malware afin d’infecter un grand nombre de machines. Les ordinateurs faisant partie du botnet sont souvent appelés « bots » ou « zombies » et il n’y a pas de taille requise pour pouvoir considérer un groupe d’ordinateurs comme un botnet. Les petits botnets peuvent désigner des centaines ou quelques milliers de machines, alors que les botnets les plus grands peuvent comprendre jusqu’à des millions d’ordinateurs. Les botnets les plus célèbres de ces dernières années incluent Conficker, Zeus, Waledac, Mariposa et Kelihos. On parle souvent d’un botnet comme une seule entité, néanmoins les créateurs de malwares tels que Zeus vendront leurs virus à toute personne prête à payer pour les obtenir, on peut donc parfois trouver des douzaines de botnets séparés qui utilisent tous le même virus.

Méthode d’infection

Il existe deux méthodes principales d’infection que les pirates utilisent pour infecter les PC et les ajouter au botnet : les téléchargements drive-by et les courriers électroniques. Les infections par téléchargements drive-by requièrent certaines étapes spécifiques et le pirate doit trouver un site Internet célèbre doté d’une vulnérabilité exploitable. Le pirate envoie ensuite son propre code malveillant sur le site et le formate de façon à pouvoir exploiter la vulnérabilité d’un navigateur célèbre tel que Google Chrome ou Internet Explorer. Le code sera habituellement téléchargé et installé sur la machine de  l’utilisateur. L’infection par courrier électronique est bien plus simple. Le pirate envoie une quantité importante de courriers indésirables qui contiennent soit un document Word ou PDF infecté par un code malveillant, soit un lien vers un site qui contient un code malveillant. Dans les deux cas, une fois le code du pirate sur l’ordinateur de l’utilisateur, le PC fait partie du botnet. Le pirate peut contrôler l’ordinateur à distance, télécharger des données de l’ordinateur, télécharger de nouveaux composants et en bref, faire ce qu’il veut avec.

 Utilisations

Les botnets sont traditionnellement utilisés dans les attaques DDoS. Ces attaques reposent sur la puissance et les bandes passantes de centaines ou de milliers de PC afin d’envoyer d’énormes quantités de trafic vers un site Web pour le faire crasher. Il existe de nombreux types d’attaques DDoS  mais l’objectif est toujours le même : empêcher le site ciblé de fonctionner. Les pirates utilisaient cette tactique dans le but de mettre le site de leurs rivaux hors-ligne, mais ils s’en sont ensuite pris à des portails Web tels que Yahoo ou MSN, à des sites bancaires ou de shopping en ligne, ainsi qu’à des sites gouvernementaux. Des groupes tels que Anonymous, LulzSec et autres ont récemment utilisé des attaques DDoS contre des compagnies de défense, des banques et autres organisations. Pendant ce temps, les cybercriminels ont commencé à utiliser les attaques DDoS contre les sites bancaires afin de déguiser  des attaques plus importantes sur ces mêmes banques. Les botnets sont également utilisés dans un grand nombre d’opérations. Les spammeurs utilisent les botnets dans le but d’envoyer des millions de courriers électroniques indésirables à partir des ordinateurs infectés et les cybercriminels les utilisent dans des opérations de fraude à la carte bancaire à grande échelle.

Se protéger contre les botnets

Il existe un certain nombre de défenses contre les attaques DDoS dans lesquelles sont utilisés les botnets, mais presque toutes se trouvent au niveau de la programmation in-situ (ISP) ou du serveur. Pour les utilisateurs, la solution est de vous assurez que tous vos logiciels soient bien mis à jour et de ne pas cliquer sur des liens suspects. Les pirates se reposent sur la crédulité des utilisateurs qui ouvriront des pièces jointes infectées ou qui cliqueront sur des liens malveillants afin de pouvoir infecter de nouveaux ordinateurs. Si vous prenez ces précautions, il sera bien plus difficile pour les pirates de construire et d’utiliser des botnets.