Le business des Botnets. 1ere partie : Définition, et fonctions.
14 Juin 2010


Suite à mon dernier article sur les malwares, la question légitime que beaucoup se posent, est « Mais pourquoi développer des programmes pour casser les pieds des internautes du monde entier ?« .
La réponse, est assez complexe, et je vais vous la détailler en une série de 3 articles.
Les lecteurs qui connaissent déjà le sujet trouveront des informations sur les dernières tendances en matière de développement de botnet.

Les botnets existent depuis environ 10 ans. Les experts ont averti le public de la menace posée par les botnets à peu près à la même période. Néanmoins, l’importance du problème est encore sous-estimés et de nombreux usagers ne s’en soucient pas jusqu’à ce que leur FAI (Fournisseur d’Accès à Internet) les déconnecte d’Internet, ou que de l’argent soit volé sur leur compte en banque, ou que leur adresse de messagerie instantanée ou mail soient détournées.

Définition : Qu’est-ce qu’un botnet?

Tout d’abord, nous devons comprendre ce qu’est un botnet, également appelé réseau de zombies.

Un botnet est un réseau d’ordinateurs constitué de machines infectées par un malware de type backdoor. Cela permet à des cybercriminels de contrôler à distance les ordinateurs infectés (ce qui peut signifier le contrôle d’une seule machine, d’un groupe d’ordinateurs, ou l’ensemble des ordinateurs du réseau Botnet).

De tels programmes malveillants spécifiquement conçus pour être utilisés dans la création de réseaux de zombies sont appelés bots.

Les botnets disposent d’une énorme puissance de calcul. Ils sont utilisés comme une cyber-arme puissante et sont un outil efficace pour faire de l’argent illégalement. Le propriétaire d’un botnet peut contrôler les ordinateurs qui constituent le réseau de n’importe où dans le monde (d’une autre ville, pays, voire un autre continent). De plus, Internet est structuré de telle manière qu’un botnet peut être contrôlé de façon anonyme.

Les ordinateurs infectés par un bot peuvent être contrôlés directement ou indirectement. Lorsque les robots sont contrôlés directement, le cybercriminel établit une connexion avec un ordinateur infecté et le gère à l’aide des commandes intégrées au programme de bot. Dans le cas d’un contrôle indirect, le bot se connecte au centre de contrôle (ou à d’autres machines sur le réseau) envoie une requête, puis exécute la commande qui est retournée.

Le propriétaire d’une machine infectée ne soupçonne généralement pas que l’ordinateur est utilisé par des cybercriminels. C’est pourquoi les ordinateurs infectés par des bots et qui sont contrôlés par des cybercriminels sont également appelés zombies. Les réseaux formés à partir de machines infectées peuvent être appelés réseaux de zombies. La plupart des machines zombies sont des ordinateurs domestiques.

À quoi peuvent servir les botnets ?

Les botnets peuvent être utilisés par les cybercriminels pour mener une vaste gamme d’activités, qui va du simple envoie de spam à carrément l’attaque des réseaux gouvernementaux.

Envoi de spam.


C’est l’utilisation la plus simple et commune des réseaux de zombies. Les experts estiment que plus de 80% des spams sont envoyés par des ordinateurs zombies. Il convient de noter que le spam n’est pas toujours envoyé par les propriétaires de botnet: Les botnets sont souvent loués par les spammeurs.

C’est la spammeurs qui comprennent la valeur réelle des botnets. Selon une estimation, un spammeur moyen gagne entre 50.000 dollars et 100.000 dollars par an. Les Botnets composés de milliers d’ordinateurs permettent aux spammeurs d’envoyer des millions de messages à partir de machines infectées dans un espace de temps très court. En plus de la vitesse et du volume de spam qui peut être envoyé, utiliser des botnets pour spammer présente un avantage de plus : Habituellement, les adresses utilisées pour envoyer des spams sont souvent indexées, et les messages venant de ces adresses seront bloqués ou automatiquement marqués comme spam par les serveurs de messagerie. En utilisant des centaines de milliers d’adresses e-mail («emprunté» aux propriétaires d’ordinateurs zombies), ce n’est plus un problème.

Un autre bonus pour les spammeurs est l’occasion de récolter des adresses mail sur les ordinateurs infectés. Les adresses volées sont revendus à des spammeurs ou utilisés par les propriétaires eux-mêmes. Un botnet va ajouter de plus en plus de nouvelles adresses à sa récolte.

Le chantage


La deuxième méthode la plus populaire pour faire de l’argent via les réseaux de zombies est d’utiliser des dizaines voire des centaines de milliers d’ordinateurs pour effectuer des attaques DDoS (Distributed Denial of Service). Cela consiste à envoyer un flot de fausses demandes depuis les machines infectés par les bots sur un serveur Web cible. Par conséquent, le serveur sera surchargé et finira par être indisponible. En règle générale, le cybercriminel demandera un paiement au propriétaire du serveur en échange de l’arrêt de l’attaque.

Aujourd’hui, de nombreuses entreprises travaillent exclusivement sur Internet. La perte de leur serveur stop leur activité, ce qui entraîne des pertes financières. Pour que leur serveur recouvrent leur stabilité dès que possible, ces sociétés sont plus susceptibles de céder au chantage que de demander à la police de les aider… C’est exactement ce sur quoi misent les cybercriminels, et les attaques DDoS sont de plus en plus communes.

Les attaques DDoS peuvent également être utilisées à des fins politique. Dans ces cas, les attaques ciblent généralement les serveurs appartenant à des organismes gouvernementaux. Ce qui rend de telles attaques particulièrement dangereuses, c’est qu’elles peuvent être utilisées pour faire de la provocation, sans pouvoir identifier le cybercriminel. Je vous recommande de lire cette affaire qui a failli contribuer à un changement de gouvernement en Estonie.

Accéder anonymement à Internet.

Les cybercriminels peuvent accéder aux serveurs web en utilisant des machines zombie et commettre des cybercrimes tels que le piratage des sites Web ou transférer de l’argent volé. Cette activité, bien sûr, semble provenir de la machine infectée.

Vente et location de botnets


La création de botnets destinés à la vente est aussi une entreprise criminelle lucrative.

Le phishing

Les adresses des pages de phishing sont souvent indexées peu après leur apparition. Un botnet permet aux hameçonneurs de changer les adresses des pages de phishing fréquemment en utilisant les ordinateurs infectés comme des proxy (comme une passerelle). Cela permet de cacher l’adresse réelle du serveur Web des escrocs.

Le vol de données confidentielles


Les botnets facilitent 1000 fois plus le vol de mots de passe (pour les comptes mails, MSN, FTP, les services web…) et d’autres données confidentielles de l’utilisateur. Un bot peut télécharger un autre programme malveillant, par exemple, un cheval de Troie voleur de mot de passe, et infecter tous les ordinateurs du réseau de zombies avec, en fournissant aux cybercriminels les mots de passe de tous les ordinateurs infectés. Les mots de passe volés sont vendus ou utilisés pour infecter des pages web (dans le cas de mots de passe de compte FTP) afin de continuer à diffuser le programme bot et d’élargir le botnet.

J’espère que cet article ne vous a pas rendu trop parano. Maintenant, si vous voulez avoir moins de chance de contribuer à de telles actions, vous pouvez toujours passer sur Linux avec une belle distribution comme Ubuntu.
Nous verrons prochainement comment sont utilisés les botnets par les cybercriminels, puis nous détaillerons les différents types de bot.

Hacking

    Laisser un commentaire

    Votre adresse e-mail ne sera pas publiée.

    Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.