Unbotnet (contraction de l'anglais « robot net » : « réseau de robots ») est un réseau debots informatiques, des programmes connectés àInternet qui communiquent avec d'autres programmes similaires pour l'exécution de certaines tâches.
Historiquement,botnet désignait desréseaux derobots IRC. Le sens debotnet s'est étendu aux réseaux demachines zombies, utilisés notamment pour le minage de cryptomonnaies mais aussi desusages malveillants, comme l'envoi despam etvirus informatiques, ou lesattaques informatiques par déni de service (DDoS).
Sur IRC, leur usage est de gérer des canaux de discussions, ou de proposer aux utilisateurs des services variés, tels que des jeux, des statistiques sur le canal, etc. Être connectés enréseau leur permet de se donner mutuellement le statut d'opérateur de canal de manière sécurisée, de contrôler de manière efficace les attaques parflood ou autres. Le partage des listes d'utilisateurs, de bans, ainsi que doutes sortes d'informations, rend leur utilisation plus efficace.
Il existe d'autres usages légitimes de botnets, comme l'indexation web : le volume des données à explorer et le nécessaire usage de parallélisation impose l'usage de réseaux debots.
Les premières dérives sont apparues sur les réseaux IRC[1] : des botnets IRC (Eggdrop en décembre 1993, puis GTbot en avril 1998) furent utilisés lors d'affrontements pour prendre le contrôle du canal.
Aujourd'hui, ce terme est très souvent utilisé pour désigner un réseau demachines zombies, car l'IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l'usage premier de l'IRC. Le premier d'entre eux qui fut référencé a été W32/Pretty.worm[2], appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d'Eggdrop et de GTbot. À l'époque, ils ne furent pas considérés comme très dangereux, et ce n'est qu'à partir de 2002 que plusieurs botnets malveillants (Agobot, SDBot puis SpyBot en 2003) firent parler d'eux et que la menace prit de l'ampleur.
Toute machine connectée à internet est susceptible d'être une cible pour devenir unemachine zombie : les machines Windows, qui représentent la majorité des machines contaminées, mais aussi, dans une moi
dre mesure, les machinesLinux, Apple[3], voire consoles de jeu[4] ou des routeurs[5].
En 2007,Vint Cerf considérait qu'un ordinateur sur quatre faisait partie d'un botnet[6].
Depuis peu ce phénomène se développe sur les terminaux téléphoniques de type smartphone et en particulier sur le système d'exploitationAndroid où le trojan chinois appelé « Geinimi » a fait son apparition en décembre 2010[7].
La caractéristique principale des botnets est la mise en commun de plusieurs machines distinctes, parfois très nombreuses, ce qui rend l'activité souhaitée plus efficace (puisqu'on a la possibilité d'utiliser beaucoup de ressources) mais également plus difficile à stopper.
Les botnets malveillants servent principalement à :
Le Spam : pour envoyer plus de mails.
Le DDoS : envoyer plus d'attaques sur un serveur pour le faire arrêter de fonctionner.
Le BruteForcing : trouver un mot de passe plus vite.
L'aspect économique est primordial : lataille du botnet ainsi que la capacité d'être facilementcontrôlé sont des éléments qui concourent à attirer l'activité criminelle, à la fois pour le propriétaire de botnet (parfois appelé « botherder » ou « botmaster ») que pour les utilisateurs, qui la plupart du temps louent les services d'un botnet pour l'accomplissement d'une tâche déterminée (envoi de pourriel, attaque informatique, déni de service[8], vol d'information, etc.). En, un botnet de 1 900 000 machines[11] mis au jour par la société Finjian engendrait un revenu estimé à 190 000 dollars par jour à ses « botmasters »[12].
En dehors de l'aspect économique, les attaques informatiques peuvent devenir une arme de propagande ou de rétorsion, notamment lors de conflits armés ou lors d'événements symboliques. Par exemple, lors du conflit entre laRussie et laGéorgie en 2008, le réseau géorgien a été attaqué sous de multiples formes (pour le rendre indisponible ou pour réaliser desdéfacements des sites officiels)[13]. En 2007, uneattaque d'importance contre l'Estonie a également eu lieu[14] : la motivation des pirates serait le déplacement d’un monument en hommage aux soldats russes du centre deTallinn[15]. Début 2010, leViêt Nam serait à l'origine d'un botnet visant à réduire au silence la dissidence politique[16].
La vengeance ou le chantage peuvent également faire partie des motivations des attaquants, sans forcément que l'aspect financier soit primordial : un employé mal payé[17] ou des joueurs en ligne défaits[4] peuvent chercher à se venger de l'employeur ou du vainqueur du jeu.
Composés au départ d'ordinateurs personnels ou de serveurs, les botnets sont désormais aussi composés desmartphones ou de tout type d'objet connecté.
Un botnet comporte plusieurs phases de vie[1],[23]. Une conception modulaire lui permet de gérer ces phases avec une efficacité redoutable, surtout dès que la machine ciblée est compromise. La phase d'infection est bien évidemment toujours la première, mais l'enchaînement de ces phases n'est pas toujours linéaire, et dépend de la conception du botnet.
C'est logiquement la phase initiale. La contamination passe souvent par l'installation d'un outil logiciel primaire, qui n'est pas forcément l'outil final. Cette contamination de la machine utilise les mécanismes classiques d'infection :
Une fois installée, cette base logicielle peut déclarer la machine à un centre de contrôle, qui la considèrera alors commeactive. C'est une des clés du concept de botnet, à savoir que la machine infectée peut désormais être contrôlée à distance par une (ou plusieurs) machine tierce. Dans certains cas, d'autres phases sont nécessaires (auto-protection, mise à jour, etc.) pour passer en phase opérationnelle.
Une fois la machine infectée et l'activation réalisée, le botnet peut se mettre-à-jour, s'auto-modifier, ajouter des fonctionnalités, etc. Cela a des impacts importants sur la dangerosité du botnet, et sur la capacité des outils de lutte à enrayer celui-ci, car un botnet peut ainsi modifier sasignature virale et d'autres caractéristiques pouvant l'amener à être découvert et identifié.
D'origine, ou après une phase de mise à jour, le botnet va chercher à s'octroyer les moyens de continuer son action ainsi que des moyens de dissimulation. Cela peut comporter :
La taille d'un botnet est à la fois gage d'efficacité et de valeur supplémentaire pour les commanditaires et les utilisateurs du botnet. Il est donc fréquent qu'après installation, lamachine zombie cherche à étendre le botnet :
Une fois le botnet installé et déclaré, la machine zombie peut obéir aux ordres qui lui sont donnés pour accomplir les actions voulues par l'attaquant (avec, au besoin, l'installation d'outils complémentaires via une mise à jour distante) :
Voici le principe de fonctionnement d'un botnet servant à envoyer ducourriel :
Il est extrêmement difficile d'avoir des chiffres fiables et précis, puisque la plupart des botnets ne peuvent être détectés qu'indirectement. Certains organismes comme shadowserver.org tentent d'établir des chiffres à partir de l'activité réseau, de la détection des centres de commandes (C&C), etc.
Au mois de février 2010, on estimait qu'il existait entre4 000 et5 000 botnets actifs[24]. Ce chiffre est à considérer comme une fourchette basse, puisque les botnets gagnent enfurtivité et que la surveillance detout le réseau internet est impossible.
La taille d'un botnet varie mais il devient courant qu'un réseau puisse comprendre des milliers demachines zombies. En 2008, lors de la conférence RSA, le top 10 des réseaux comprenait de 10 000 à 315 000 machines, avec une capacité d'envoi de mail allant de 300 millions à 60 milliards par jour (pour Srizbi, le plus important botnet à cette date)[25].
Fin 2009, MessageLabs donnait le top 10 suivant[26] :
| Nom du botnet | Nombre de machines | Capacité en mails par minute |
|---|---|---|
| Rustock | 540 000 à 810 000 | 14 000 000 |
| Cutwail | 1 100 000 à 1 600 000 | 12 800 000 |
| Bagle | 520 000 à 780 000 | 12 000 000 |
| Bobax | 110 000 à 160 000 | 10 000 000 |
| Grum | 580 000 à 860 000 | 6 800 000 |
| Maazben | 240 000 à 360 000 | 1 500 000 |
| Festi | 140 000 à 220 000 | 900 000 |
| Mega-D | 50 000 à 70 000 | 690 000 |
| Xarvester | 20 000 à 36 000 | 615 000 |
| Gheg | 50 000 à 70 000 | 300 000 |
Dans son rapport de 2009, la société MessageLabs estime également que5 millions de machines[26] sont compromises dans un réseau de botnets destiné auspam.
La constitution même d'un botnet, formé parfois de très nombreuses machines, rend latraçabilité des actions et des sources délicate. Plus le botnet est grand, plus il devient également difficile de l'enrayer et de l'arrêter puisqu'il faut à la fois stopper la propagation des agents activant le botnet et nettoyer les machines compromises.
Les anciennes générations s'appuyaient souvent sur un centre de contrôle centralisé ou facilement désactivable (adresse IP fixe ounom de domaine pouvant être bannis, canal IRC pouvant être fermé, etc.). Désormais, lepeer-to-peer permet une résilience du système de communication, et les fonctions Web 2.0 détournées rendent l'interception très complexe : le botnet recherche un mot clé sur le web et l'utilise pour déterminer l'emplacement du centre de contrôle auprès duquel il doit recevoir ses ordres.
Plusieurs actions concertées dans lesquelles le département de sécurité deMicrosoft s'est fortement impliqué ont permis de démanteler deux importants réseaux :Waledac (en) etRustock (opérations dénommées respectivement b49 et b107). En, Rustock comprenait environ un million de machines générant 47,5 % du spam mondial (selonSymantec[27]) et soncode source utilisait 106 adresses IP pour son contrôle[28].
Mesures habituelles de protection des machines (anti-virus, HIDS/HIPS, mot de passe, gestion des droits utilisateurs, anti-spam, gestion des mises à jour, etc.).
| Articles principaux | |
|---|---|
| Botnets remarquables | |
