Lumières sur la sécurité

lundi 4 juillet 2016

Les botnets sont des réseaux créés par des malfaiteurs utilisant des programmes malveillants autonomes ou gérés à distance. Les programmes qui sont capables de recevoir des commandes provenant des serveurs de contrôle ont été appelés " bots " (de l'abréviation du mot anglais robot). En fait, tous les botnets n'ont pas de serveurs de contrôle - il existe plusieurs types de réseaux où les bots peuvent communiquer directement entre eux pour échanger des informations.

Les créateurs de botnets ont des objectifs différents, mais ils ont tous, d’une manière ou d’une autre, une nature criminelle. Le plus souvent, les criminels utilisent des botnets pour l'organisation d’attaques DDoS, c'est-à-dire, des attaques par déni de service : des dizaines de milliers d’ordinateurs infectés envoient simultanément des requêtes à une même ressource Internet, qui, ne pouvant absorber un tel flux, ne « répond » plus. Il n’est plus possible alors d’accéder au site attaqué.

C'est aussi à l’aide des botnets que les cybercriminels envoient du spam, volent des informations confidentielles et téléchargent sur les ordinateurs infectés des programmes malveillants.

Les bots sont un outil universel des crimes sur Internet - ils sont capables d’exécuter plusieurs fonctions à la fois.

Souvent, les propriétaires et organisateurs de botnets proposent leurs services aux autres criminels sur les forums de pirates afin de tirer profit de leur utilisation.

Le réseau créé par les criminels en 2004 à l'aide du ver de mail Beagle est considéré comme le premier réseau botnet massif. Ce programme malveillant a contaminé environ 230 000 ordinateurs fonctionnant sous Microsoft Windows dans le monde entier. Beagle envoyait ses copies via email et grâce au module rootkit embarqué, il pouvait masquer sa présence dans le système et terminer les processus de certains logiciels antivirus, ce qui rendait sa détection et suppression assez compliquées.

Parmi les plus gros botnets connus, Rustock est apparu en 2006 et a été conçu pour l'envoi de spam. Les ordinateurs contaminés faisant partie de ce botnet étaient capables d'envoyer jusqu'à 25000 messages publicitaires par heure. En 2008, le ver Conficker, qui a contaminé plus de 10 millions d'ordinateurs dans 200 pays, a été diffusé massivement.

La structure des premiers réseaux botnet était assez simple - les ordinateurs contaminés se connectaient à un serveur de contrôle pour recevoir des commandes et l'adresse du serveur était enregistrée dans le corps du malware. Ces réseaux étaient extrêmement instables : en cas de défaillance du serveur de contrôle, le botnet cessait d'exister. C'est pourquoi les criminels ont commencé à utiliser le mécanisme dit DGA — Domain Generation Algorithm ou " algorithme de génération de noms de domaine ". Les botnets de ce type ne comportent pas d'adresses de serveurs de contrôle mais génèrent ces adresses " à la volée " selon un schéma spécifique. Si l'un des serveurs de contrôle tombe en panne, les Trojans se trouvant sur les ordinateurs contaminés calculent l'adresse du serveur suivant et tentent de s'y connecter. C'est sur cette technique que la technologie d'interception des botnets dite Sinkhole est basée, cette technologie est utilisée par les spécialistes des éditeurs antivirus : s’ils parviennent à comprendre l’algorithme de génération des noms de domaine utilisé par les Trojans, ils peuvent eux-mêmes enregistrer un ou plusieurs domaines de ce type. Puis, il suffit de liquider de n'importe quelle manière le serveur de contrôle opérationnel afin d'obtenir un pouvoir illimité sur tout le réseau botnet.

Pour contrer cette technologie, les malfaiteurs créent des botnets P2P (Peer-to-Peer), qui n’ont pas de serveurs de contrôle. Dans de tels réseaux, les bots communiquent entre eux comme des « pairs », ils transmettent les commandes d'un ordinateur contaminé vers un autre. Parce qu’un tel système est décentralisé, il est très difficile de le détruire ou de le paralyser. Afin d’améliorer les chances de survie des botnets modernes, les cybercriminels utilisent activement des signatures numériques, le chiffrement du trafic, le tunneling pour transmission de données et d'autres astuces pour compliquer la vie des analystes antivirus.

Les botnets ne menacent pas seulement les utilisateurs de Microsoft. En 2012, les analystes de Doctor Web ont détecté le botnet le plus important dans l’histoire composé d’ordinateurs Apple qui ont été infectés par le Trojan BackDoor.Flashback.39.