Botnets : Le retour des morts-vivants… connectés

Botnets : Le retour des morts-vivants… connectés

botnet main

De nos jours, tout semble connecté. Les grille-pain, les babyphones, même les cafetières ont accès à Internet. S’apparentant à des jouets pour adultes, ces dispositifs sont créés pour faciliter votre vie, voire vous divertir. Toutefois, ce niveau de commodité peut conférer aux cybercriminels un accès facile à vos données.

Imaginez un enfant entouré des jouets qu’il aurait dérobé à autant d’autres enfants possible, jouets disposés de manière méthodique sur le sol, et comportant le nom d’une personne sur son pied. Son propriétaire n’a peut-être même pas remarqué que son jouet manquait, mais maintenant, il fait partie intégrante du monde créé par ce tyran en herbe.

Lorsque le tyran à la mainmise sur tous les jouets, il peut leur faire faire tout ce qu’il veut. Un botnet fonctionne de la même manière. Le botmaster (l’enfant) contrôle tous les appareils (les jouets). Il peut les utiliser à des fins illégales et, pire, puisqu’il utilise vos jouets pour le faire, il le fait de manière totalement anonyme.

Les botnets sont utilisés pour envoyer massivement des courriers indésirables et surcharger les sites Web à tel point qu’ils finissent par planter, causant de sérieux dommages financiers aux entreprises (attaques DDoS)

Seriez-vous surpris de savoir que votre ordinateur, en ce moment même, est peut-être en train de spammer des utilisateurs, de distribuer de la pornographie juvénile ou de contribuer à faire planter les serveurs de Twitter dans le but de les mettre hors ligne.

Un grand nombre de vos appareils connectés pourraient faire partie d’une armée de robots.

N’ayez crainte, vous pouvez facilement savoir si votre ordinateur a rejoint les rangs des bas-fonds de l’Internet, et s’il est devenu un jouet entre les mains d’un cybertyran.

Dans notre article aujourd’hui, nous expliquons ce que sont les botnets, comment ceux-ci sont utilisés à des fins criminelles, et comment faire pour qu’ils ne tombent pas entre de mauvaises mains.

Allons-y !

Qu’est-ce qu’un botnet ?

Pour le comprendre, définissons d’abord ce qu’est un bot ou un robot.

Un robot est installé par une sorte de cheval de Troie, un type de logiciel malveillant qui se cache dans votre système d’exploitation, attendant patiemment les consignes d’un serveur de commande et de contrôle aux mains d’un cybercriminel, également appelé botmaster (maître des robots) ou bot herder (berger des robots). Les robots peuvent effectuer une grande variété de tâches automatisées au nom de leur maître, par exemple en envoyant des pourriels d’hameçonnage ou en exécutant des enregistreurs de frappe, dans le but de recueillir les informations de votre carte de crédit. Pendant ce temps-là, les cybercriminels profitent tranquillement de ces activités illégales en toute sécurité, partout sur la Toile.

Un botnet utilise votre ordinateur conjointement à des milliers d’autres dispositifs, ce qui signifie que les cybercriminels aux commandes peuvent exploiter une puissance de calcul quasi illimitée. Au lieu d’envoyer 100 pourriels d’un seul ordinateur, ils peuvent en envoyer 10 de 200 000 machines. Cela n’a aucun impact sur votre système, et la portée est infinie. Les robots peuvent même camoufler leurs processus et exécuter d’autres tâches en sourdine comme désactiver votre anti-malware, le tout, bien entendu, à votre insu.

Et car les robots se connectent à Internet, ils sont également capables d’infecter rapidement des centaines, voire des milliers d’ordinateurs, tout en effectuant n’importe quelle tâche qui leur a été attribuée.

Ne pensez pas que tous les robots sont des ordinateurs. N’importe quel appareil connecté peut être compromis. Les caméras de vidéosurveillance sont notoirement détournées à de telles fins.

Un dispositif infecté est appelé bot (ou robot). Un ensemble de ces robots constitue un botnet (ou réseau de robots).

Comment fonctionnent les botnets ?

Comme toute infection malveillante, une infection par robots se déroule en plusieurs étapes spécifiques : de la pénétration de votre système à la communication avec le botmaster en passant par les tâches à exécuter. Découvrons-les ci-après :

  1. Infection

Le botmaster déploie des logiciels malveillants pour infecter des ordinateurs. Ceux-ci peuvent pénétrer les systèmes informatiques via des téléchargements intempestifs, des pièces jointes ou des liens douteux dans certaines publications sur les réseaux sociaux. Le robot malveillant exploite les vulnérabilités de votre logiciel, en quête d’une porte dérobée via des modules complémentaires obsolètes ou un système d’exploitation non mis à jour. Ensuite, il ne lui reste qu’à bien s’implanter dans la racine de votre système.

  1. Connexion

Une fois dans votre système, le logiciel malveillant utilise Internet pour entrer en contact avec le serveur de commande et de contrôle (C2). À ce stade, votre ordinateur reste en mode passif et le bot inactif, il ne fera que vérifier périodiquement si son botmaster lui a envoyé des consignes à suivre. Comme l’impact sur le système est si faible, vous ne vous doutez d’absolument rien.

  1. Contrôle

Le botnet, dans son ensemble, peut “dormir” pendant un certain temps dans l’attente qu’une certaine tâche soit effectuée. Une fois que le botmaster décide de conférer au botnet un objectif, des consignes sont envoyées aux robots par le biais du serveur de commande et de contrôle. C’est à ce stade que l’amplificateur de botnet se réveille et commence à se comporter de façon malveillante en envoyant des courriers indésirables par exemple ou en participant à une attaque DDoS.

  1. Multiplication

Pendant ce temps-là, le botmaster s’évertue à recruter de plus en plus d’ordinateurs pour développer l’ampleur du réseau. Comme ces ordinateurs semblent inactifs, le botnet pourrait compter des centaines de milliers d’ordinateurs zombies, sans que personne ne se doute de quoi que ce soit.

Usages des botnets

Les botnets agissent à des fins illégales, comme un serveur proxy, dans le plus grand anonymat. Le fait que les activités illégales se déroulent sur des milliers de dispositifs simultanément permet de dissimuler la source du crime, tout en fournissant une puissance de calcul presque illimitée au cybercriminel. Citons quelques activités illégales :

    1. La fraude publicitaire. Des milliers d’ordinateurs peuvent être exploités afin de cliquer à plusieurs reprises sur des publicités, décuplant les profits des fraudeurs qui utilisent les clics sur des publicités pour gagner de l’argent.
    2. Le téléchargement et la distribution de documents illégaux tels que la pornographie infantile ou simplement l’envoi de spam en ligne. Les entreprises paient de grosses sommes d’argent pour que leurs publicités soient être diffusées intensivement. Le moyen le plus simple d’y arriver ? Louer un botnet ou faire appel à une entreprise ayant accès à un botnet.
    3. Le minage de Bitcoin pour enrichir quelqu’un d’autre en répartissant la charge de travail sur des milliers de robots.
    4. Le vol de vos données privées, notamment les mots de passe et les coordonnées de votre carte de crédit par le biais d’enregistreurs de frappe.
    5. Une attaque DDoS de botnet en surchargeant et en faisant planter un service en ligne tel que Twitter ou Spotify.
    6. L’envoi de courriers indésirables à des fins d’hameçonnage des coordonnées de cartes de crédit et d’informations privées des nouvelles victimes.
    7. La diffusion de rançongiciels auprès de nouvelles victimes par pièces jointes dans un e-mail.
    8. La fraude au vote grâce à un botnet peut influencer énormément les résultats car chaque ordinateur compte comme un vote unique.
    9. L’attaque par force brute des serveurs d’entreprise dans le but de décoder un mot de passe et d’accéder à un réseau d’entreprise important.

Vous pensez peut-être que cela ne vous concerne en rien, qu’en aucun cas votre ordinateur puisse faire partie d’un tel réseau.

Mais, saviez-vous que le botnet Zeus comptait sur la puissance de 3,6 millions de robots rien qu’aux États-Unis ?

Actuellement, tous les mois, c’est un quart de la population mondiale qui accède à Facebook, une source d’infection populaire pour Zbot (Zeus) et d’autres logiciels malveillants. Il est fort probable qu’au moins un de vos appareils soit entré en contact avec l’une de ces souches malveillantes.

Gardez à l’esprit qu’il n’y a pas que les ordinateurs qui sont touchés, tous les appareils connectés sont vulnérables. Vous rappelez-vous quand des grille-pain intelligents, magnétoscopes numériques et autres appareils connectés ont fait planter Internet, mettant hors ligne des grands sites comme Amazon, The New York Times, Netflix et de nombreux autres services des plus présents dans notre quotidien ?

Il est assez effrayant de penser que même des novices sont capables de créer un botnet en un rien de temps, assis chez eux. Imaginez ce que des pirates aguerris pourraient aujourd’hui faire avec des ressources illimitées, comprenant notamment votre réfrigérateur ou votre ordinateur de bureau.

Tout le monde est concerné. Si votre ordinateur effectue une activité illégale, plaider l’ignorance n’est pas une excuse, vous êtes fondamentalement l’ultime responsable.

 

L’union fait la force : des attaques de botnets qui ont fait la une

L’un des principaux avantages pour les attaquants est que le botnet dissimule l’identité. Les attaques se font donc à plus grande échelle et les conséquences pour les botmasters ne sont que minimes. Voici quelques exemples récents d’attaques qui ne sont pas passées inaperçues :

  1. Le botnet Mirai

Le nom de Mirai vient du japonais et signifie “l’avenir”. On pense qu’il est tiré d’un dessin animé : Mirai Nikki.

Mirai scanne en continu Internet, en quête d”adresses IP d’appareils faisant partie de l’Internet des objets (IdO). Lors du balayage, il identifie les gadgets vulnérables et s’y connecte. Une fois l’infiltration réussie, il y injecte le logiciel malveillant Mirai.

Tout comme un robot sur votre ordinateur, le maliciel Mirai influence très peu le système.

Le botnet Mirai a été utilisé pour certaines des attaques DDoS parmi les plus importantes de ces dernières années, dont notamment :

Chaque nouvelle attaque de Mirai est devenue la plus grande de son genre jamais enregistrée, et le botnet continue de recruter des appareils afin que ces “soldats” rejoignent son armée.

  1. Le botnet Hajime

La rumeur veut que le botnet Hajime ait été créé pour concurrencer Mirai.

Découvert en octobre 2016 par le Rapidity Networks, Hajime s’efforce de recruter autant de robots que possible. Les notes de déconnexion laissées affirment que le seul objectif de Hajime est de neutraliser les appareils connectés avant que Mirai ou toute autre personne ne puisse y accéder.

Cependant, certains experts en sécurité se demandent si Hajime est vraiment une opération de type “chapeau blanc”, affirmant que si le botnet ferme les ports à Mirai, il s’en ouvre d’autres.

Hajime contrôle déjà plus de 300 000 objets infectés, principalement des magnétoscopes numériques, des routeurs et des caméras/appareils photos connectés à Internet, mais ne les utilise pour l’instant à aucune fin malveillante. Par contre, si ce botnet venait à être détourné, qui sait dans quel but il pourrait être utilisé.

  1. Le botnet Zeus/Zbot

Zeus se propage de la même manière que Mirai, et le fait depuis des années. Cheval de Troie privilégié pour le vol d’informations bancaires, il s’appuie sur les enregistreurs de frappe et les attaques de l’homme-dans-le-navigateur, subtilisant toutes les données relatives à vos services bancaires en ligne et cartes de crédit.

Il a également été utilisé pour duper les utilisateurs sur PC, leur faisant penser que leur ordinateur est infecté par un autre type de virus via de fausses invites d’un prétendu service d’assistance technique.

Au pic de son activité, Zeus a infiltré et infecté la Bank of America, la NASA, ABC, Cisco et Amazon. Avant Mirai, il s’agissait du plus grand botnet de son genre. Toutefois, au lieu d’effectuer des attaques DDoS, il diffusait le rançongiciel CryptoLocker.

Saviez-vous qu’une fois infecté par un robot malveillant, vous pouvez l’être à jamais ?

S’il est tellement difficile de détecter quel impact un bot a sur votre système, comment savoir si un logiciel malveillant y a pris racine ? Ne vous inquiétez pas, certains signes sont flagrants.

 Symptômes d’une infection par botnet

Vous pouvez identifier certains signes qui confirment que votre ordinateur a soudainement rejoint les rangs d’une armée de botnets. En voici quelques-uns :

La vitesse du système chute soudainement

Si votre appareil se met soudainement à tourner au ralenti, il se peut que votre système soit trop occupé à exécuter les commandes émises par un attaquant au lieu de s’occuper de vos tâches habituelles. Consultez votre gestionnaire de tâches et regardez ce qui se passe. Si aucun processus n’explique le ralentissement de votre système, investiguez plus en profondeur. Vérifiez quelles applications tournent en arrière-plan, et si votre système n’héberge pas de données indésirables.

Changements inexpliqués de volume d’espace libre d’un système

Vérifiez également l’espace libre sur votre disque dur. Avez-vous soudainement perdu du volume sans raison ? Cela pourrait être dû au fait qu’un hôte caché utilise cet espace.

Vérifiez votre disque dur simplement en trois étapes :

  1. Ouvrez l’explorateur de fichiers en utilisant le raccourci clavier, la touche Windows + E, ou en appuyant sur l’icône de dossier dans la barre des tâches.
  2. Appuyez ou cliquez sur Ce PC dans la fenêtre de gauche.
  3. Regardez la quantité d’espace libre sur votre disque dur du lecteur Windows (C :).

Problèmes soudains de navigateur ou de messagerie électronique

Votre navigateur Web plante-t-il sans raison ? Recevez-vous des notifications d’e-mails non délivrés alors que vous n’avez pas envoyé l’e-mail original ?

Tous ces signes indiquent potentiellement que votre ordinateur est utilisé à des fins que vous ignorez.

Détection facile de botnet : empêcher tout d’abord l’infection

Pour empêcher une infection malveillante par botnet, prenez les mêmes précautions qu’avec tout autre type de logiciels malveillants. Puisque les supprimer une fois votre système infecté relève de la prouesse, la prévention est la seule défense qui vaille. Suivez ces consignes pour barrer le passage aux chevaux de Troie.

Sur les PC

  1. Il est essentiel d’effectuer régulièrement les mises à jour logicielles. Disciplinez-vous à suivre de bonnes pratiques de maintenance, et veillez à ce que votre système d’exploitation et vos applications soient à jour.
  2. Avant de cliquer, réfléchissez ! N’ouvrez jamais les pièces jointes d’expéditeurs inconnus (ou les pièces jointes inattendues d’expéditeurs connus). De même, faites preuve de prudence lorsque l’on vous incite à cliquer sur un lien. Maintenez-vous informé des manières les plus courantes par lesquelles les fraudes à l’hameçonnage dérobent vos informations et injectent dans votre système des logiciels malveillants.
  3. Utilisez une suite anti-malware de qualité pour éviter les pièges des menaces Jour zéro.

Pour les autres appareils connectés

  1. Actualisez les configurations. Un grand nombre de produits que nous recevons sont configurés avec des mots de passe par défaut, notamment les routeurs wifi auxquels on peut accéder très rapidement si un mot de passe unique n’est pas configuré après l’achat.
  2. Désactivez l’accès à distance sur vos appareils afin que personne ne puisse y accéder sans autorisation.
  3. Menez votre petite enquête sur le produit que vous avez acheté avant de le connecter à Internet. Il existe peut-être déjà des failles de sécurité connues par le fabricant. Appliquez les correctifs disponibles avant de connecter cet appareil à Internet.

Comme vous avez pu le constater, partager n’est pas toujours synonymes de bienveillance. La puissance illimitée d’un botnet peut ouvrir aux cybercriminels un monde infini d’arnaques visant aussi bien les particuliers que les entreprises. Cependant, mettre en œuvre certaines mesures simples vous permettra d’assurer la longévité de votre système informatique. Assurez-vous que votre ordinateur ne fait pas le sale boulot des cybercriminels. Préparez votre stratégie de défense dès aujourd’hui !

Nous vous souhaitons une excellente journée (à l’abri de tout logiciel malveillant) !