La menace Botnet, pas si fantôme que ça ?

0

Chaque jour, des millions d’équipements sont infectés par un mal bien étrange, rejoignant alors la grande famille des botnets, sans que leurs propriétaires ne s’en doutent un seul instant. Faisant indéniablement partie des menaces informatiques des plus courantes et nombreuses, les botnets – et leurs dangers – restent pourtant, et étonnamment, méconnus des entreprises et du grand public.

Se propageant la plupart du temps via des attaques et des logiciels malveillants basés sur des fichiers, ceux-ci font aujourd’hui la une de l’actualité : mais que sont-ils ? Quels sont leurs angles d’attaques ? Pourquoi existent-ils et comment se protéger de cette menace informatique omniprésente ?

  • Les botnets…?

Courte présentation pour nos lecteurs les moins avertis à cette menace de sécurité informatique : un botnet désigne un groupe d’ordinateurs ou d’équipements infectés et contrôlés par un pirate à distance. Ceux- ci sont généralement créés afin d’infecter un grand nombre de machines, sans que leurs propriétaires ne se doute de rien. Pour vous donner un ordre d’idée, les « petits » botnets peuvent désigner des centaines ou quelques milliers de machines, alors que les botnets les plus grands peuvent compromettre jusqu’à des millions d’ordinateurs.

Ils sont généralement conçus pour analyser les systèmes et équipements qu’ils sont sensés infecter dans le but d’y trouver des vulnérabilités non corrigées (par exemple des produits de sécurité non mis à jour), et de profiter de ces failles pour infecter autant de machines que possible.

Le hackeur à la source d’un botnet peut le contrôler à distance, souvent via des machines intermédiaires appelées serveurs de commande et de contrôle (C&C ou C2). Pour communiquer avec ces serveurs C&C, le « botmaster » (autre nom donné à un hackeur à la source d’un botnet) utilise divers canaux cachés, y compris des protocoles qui sembleraient a priori inoffensifs (par exemple un site en http), ainsi que des réseaux sociaux populaire comme Facebook.

Les serveurs botnet sont capables de communiquer et coopérer entre eux, créant un réseau Peer-to-peer, sous le contrôle d’un ou plusieurs botmasters. Cela signifie que toute attaque DDoS de botnet donnée peut avoir plusieurs origines, ou être contrôlée par plusieurs individus – travaillant parfois de manière coordonnée, d’autres fois opérant indépendamment. Un botnet peut être simultanément compromis par plusieurs hackeurs, chacun l’utilisant pour un type d’attaque différent. Par exemple, un ordinateur personnel infecté par un logiciel malveillant pourrait par exemple être commandé pour accéder à un site web dans le cadre d’une attaque DDoS.

Fait surprenant, des « botnets à louer » sont aujourd’hui disponibles, via différentes « plateformes » : des vrais marchés en ligne du botnet ont même vu le jour. Certaines entités commerciales vendent, par exemple, des PC déjà infectés par des logiciels malveillants.

Enfin, il est à souligner que le fonctionnement des botnets a changé dans le temps : nous assistons aujourd’hui à une vraie sophistication et multiplication en nombre de ceux-ci. Le but des hackeurs utilisant ce type d’attaques malveillantes est donc simple : rendre le suivi et la traçabilité de ces attaques plus difficile.

  • Leurs angles d’attaques

Du point de vue des attaquants, les appareils qu’ils réussiront à cibler et infecter seront des ressources informatiques pouvant être utilisées pour n’importe quel type d’attaques malveillantes, le plus souvent pour des attaques de spam ou DDoS (de l’anglais Distributed Denial of Service, dont nous vous parlerons plus tard dans cet article). A ces deux méthodes principales d’infection peuvent être ajoutées plusieurs autres « motivations » quant à la mise en place de botnets : keylogging, manipulation des sondages d’opinions, des clics payants ou des Google Ads (avec un gros avantage financier à la clé), campagne de phishing grâce à des vols d’identité par exemple.

Focalisons-nous quelques instants sur les attaques DDoS, véritable élément clé quand nous parlons de botnets. Nous pouvons parler de « déni de service distribué » lorsque l’attaque fait intervenir un réseau de machines (souvent compromises) afin d’interrompre temporairement ou totalement le ou les services visés. Une attaque DDoS n’implique qu’une seule machine utilisée pour cibler une vulnérabilité logicielle ou pour inonder une ressource ciblée avec des paquets et des requêtes. Cependant, une attaque DDoS utilise plusieurs périphériques connectés, souvent exécutés par des botnets ou, à l’occasion, par des individus qui ont coordonné leur activité.

Les attaques DDoS peuvent être divisées en deux catégories :

  • Les attaques incluant les attaques lentes, inondations HTTP, attaques zero day, ciblant les vulnérabilités dans les systèmes d’exploitation, les applications Web et les protocoles de communication.
  • Les types d’attaques DDoS de la couche réseau comprennent les inondations UDP, les inondations SYN, l’amplification NTP, l’amplification DNS, l’amplification SSDP, la fragmentation IP et plus encore.

 

Il est également à noter que les attaques DDoS peuvent également cibler les infrastructures et les services de support, le plus souvent ciblant leurs serveurs DNS. Ceux-ci peuvent être surchargés avec un flot de requêtes DNS fabriquées, provenant d’attaques botnet.

Maintenant que les attaques DDoS et autres botnets n’ont plus de secrets pour vous, il est temps de savoir comment en prémunir vos équipements et votre entreprise le plus efficacement possible :

  • Premièrement, pensez à installer un scanner de vulnérabilités sur vos équipements ainsi qu’un pare-feu.
  • Aussi, configurez vos logiciels pour qu’ils se mettent à jour automatiquement – ou vérifiez à intervalles réguliers que ces mises à jour soient effectuées
  • Soyez prudent lorsque vous cliquez, téléchargez ou ouvrez un document – quelle qu’en soit sa source (personne de confiance, ou non).
  • Désactivez « AutoRun » : cette fonction d’exécution automatique de logiciel doit être désactivée pour empêcher les systèmes d’exploitation de lancer aveuglément des commandes provenant de sources étrangères.

Valable seulement pour les entreprises :

  • Envisagez la compartimentation du réseau dans votre entreprise. Dans la plupart des environnements informatiques, les postes de travail n’ont pas besoin de communiquer entre eux à travers les départements. L’arrêt de cette fonctionnalité permet d’éviter la propagation des réseaux de zombies.
  • Utilisez un serveur proxy, pour surveiller et contrôler l’accès au Web et pour contourner certaines tentatives de tunnel autour des mesures de sécurité.
  • Filtrez les données quittant votre réseau. Les botnets établissent généralement une communication avec un ou plusieurs serveurs distants que les pirates utilisent pour récupérer des informations privées, cette solution permettra d’arrêter ces communications et les menaces qui y sont associées.
  • Déterminez des rôles administrateurs, utilisateurs. Lorsque les utilisateurs ne sont pas les administrateurs de leurs propres postes de travail, il est beaucoup plus difficile de propager les logiciels malveillants via le téléchargement drive-by ou pour que les méthodes AutoRun puissent s’installer sur un système.

Nous pourrions vous parler des botnets durant des heures mais la conclusion en serait souvent la même : il reste aujourd’hui des millions d’équipements potentiellement vulnérables aux attaques DDoS et les hackeurs qui en sont à l’origine disposent de plus en plus d’outils pour développer des menaces de très grande ampleur. Les botnets font d’ailleurs la une de l’actualités ces derniers jours, ne se contentant plus d’attaquer les ordinateurs à travers le monde : en effet, le botnet Reaper et semblent aujourd’hui se tourner vers les objets connectés…  Pour prévenir de ce type d’attaques futures, certaines solutions existent, comme Reveelium, outil d’analyse comportementale capable de prévoir des actions malveilantes grâce à l’IA.

Affaire à suivre…

About Author

Jean-Nicolas Piotrowski

Fondateur et Président d’ITrust. Diplômé de l’IUP STRI, ingénieur en télécommunications et réseaux informatiques, il a été successivement Responsable Sécurité de la salle de marché BNP Paribas, consultant sécurité pour la Banque Postale et le Crédit Lyonnais. En 2007, il fonde ITrust et dirige la société.

Leave A Reply