Botnets : comment s’en protéger ?

À travers les réseaux, il est possible de mettre à dis­po­si­tion la puissance de calcul d’or­di­na­teurs in­di­vi­duels et de réaliser ainsi des tâches intenses et complexes ra­pi­de­ment. Depuis sa création, cette tech­no­lo­gie est toutefois utilisée à des fins illégales ce pour quoi on attribue gé­né­ra­le­ment une con­no­ta­tion négative aux botnets. Qu’est-ce qu’un botnet, comment s’en protéger et que peut-on faire lorsque notre or­di­na­teur a été intégré à un botnet illégal ?

Un botnet est un réseau d’or­di­na­teurs utilisé pour réaliser diverses tâches de routine. On opère ici une dis­tinc­tion entre les botnets bien­veil­lants et mal­veil­lants. Les bien­veil­lants per­met­tent d’exploiter cor­rec­te­ment des sites Internet ou des Internet Relay Chats (IRC). Cependant, les botnets sont également utilisés dans les projets de recherche pour réaliser plus ra­pi­de­ment des opé­ra­tions de calcul complexes. L’un des exemples les plus connus est le projet SETI@home de l’uni­ver­sité de Berkeley dans lequel une partie de la puissance de calcul des or­di­na­teurs per­son­nels peut être utilisée pour re­cher­cher une vie ex­tra­ter­restre in­tel­li­gente.

Le mode le plus répandu pour propager le malware est d’envoyer des e-mails. Dans ce cadre, le botnet est utilisé pour sa propre expansion. Un programme d’ins­tal­la­tion est alors envoyé par e-mail et il est demandé au des­ti­na­taire de té­lé­char­ger la pièce jointe. Dès que l’uti­li­sa­teur ouvre le fichier, le programme mal­veil­lant s’installe en arrière-plan et l’or­di­na­teur est alors intégré au botnet.

Une autre méthode fait in­ter­ve­nir un té­lé­char­ge­ment « vo­lon­taire ». Dans ce cas, il s’agit d’un logiciel d’apparence inof­fen­sif té­lé­chargé et exécuté par l’uti­li­sa­teur. Un cheval de Troie est toutefois dissimulé dans l’ap­pli­ca­tion. De nos jours, de plus en plus de pro­grammes légaux sont hackés et de­vien­nent l’hôte d’un cheval de Troie.

Par ailleurs, des « exploits » peuvent être utilisés pour étendre encore le botnet. Ces exploits ex­ploi­tent des failles de sécurité dans le système d’ex­ploi­ta­tion ou le na­vi­ga­teur afin d’intégrer l’or­di­na­teur au réseau. Alors que certains exploits im­pli­quent que l’uti­li­sa­teur clique ac­ti­ve­ment sur un lien, on constate toujours plus d’« in­fec­tions Drive-by » dans les­quelles le code mal­veil­lant est di­rec­te­ment exécuté au char­ge­ment d'une page. Dans ce cadre, des sites po­pu­laires qui ne sont au­cu­ne­ment en lien avec le botnet peuvent également être infectés.

La variante de pro­pa­ga­tion la moins utilisée est l’ins­tal­la­tion manuelle. Elle in­ter­vient plutôt pour les serveurs puisqu’ils disposent d’une bonne connexion à Internet et d’une bonne puissance de calcul.

La cons­ti­tu­tion du réseau commence par l’in­fil­tra­tion d’un bot sur un or­di­na­teur tiers. Ce bot travaille en arrière-plan et n’est gé­né­ra­le­ment pas remarqué par le pro­prié­taire de l’appareil. Grâce à cet accès, l’or­di­na­teur peut exécuter des tâches simples sur demande d’un tiers. Cet or­di­na­teur pouvant être commandé à distance à notre insu, on appelle ce maillon du botnet un PC zombie.

Les PC zombies com­mu­ni­quent ensemble via Internet et reçoivent des ins­truc­tions du botmaster. Comme les PC zombies peuvent uni­que­ment être commandés via Internet, ils sont uni­que­ment actifs lorsqu’ils sont activés et connectés à Internet.

Le botmaster donne la même tâche à tous les PC zombies, que ce soit visiter un site Internet, envoyer des spams ou lancer une attaque DDoS.

Le but du botnet est d’exploiter la puissance de calcul de l’or­di­na­teur pour des tâches de routine. La majorité des botnets est utilisée à des fins cri­mi­nelles. Ils per­met­tent par exemple aux cy­ber­cri­mi­nels d’accéder à des in­for­ma­tions et des données im­por­tantes qu’ils pourront échanger contre de l’argent au marché noir (sur le Darknet) ou utiliser per­son­nel­le­ment.

D’autre part, les botnets sont parfaits pour envoyer des spams, par exemple des e-mails d’ha­me­çon­nage. De cette façon, les actes illégaux sont réalisés via un or­di­na­teur tiers et l’auteur réel reste incognito.

Les pos­si­bi­li­tés d’uti­li­sa­tion des botnets pour causer des dommages sont donc très diverses. Les botnets in­ter­vien­nent souvent dans les attaques par déni de service. Dans ce cadre, les or­di­na­teurs intégrés sont utilisés pour générer un trafic immense sur un site Internet de façon à sur­char­ger le serveur et à rendre l’offre en ligne in­dis­po­nible. Dans le domaine du e-commerce, de tels évé­ne­ments suffisent pour causer des pertes fi­nan­cières massives à l’ex­ploi­tant du site.

En accédant à un or­di­na­teur tiers, le hacker a également accès aux données de l’uti­li­sa­teur cor­res­pon­dant parmi les­quelles ses intérêts. Le botmaster peut alors les analyser pour remplacer des bannières pu­bli­ci­taires par des pu­bli­ci­tés per­son­nel­le­ment adaptées à l’uti­li­sa­teur.

Comme les processus se déroulent en arrière-plan, les uti­li­sa­teurs lambda auront beaucoup de dif­fi­culté à iden­ti­fier un botnet. Cependant, il existe des indices pouvant indiquer une infection de l’or­di­na­teur.

Par exemple, si vous constatez que votre connexion Internet est nettement plus lente ou que l’uti­li­sa­tion de votre PC est plus im­por­tante que d’habitude malgré une uti­li­sa­tion des données inchangée, cela doit cons­ti­tuer un signal clair né­ces­si­tant de plus amples in­ves­ti­ga­tions. Une analyse des virus peut détecter les pro­grammes mal­veil­lants et permettre de démasquer un botnet. Si vous constatez des processus inconnus dans le ges­tion­naire des tâches ou des demandes d’exécution au­to­ma­tique suspectes, ces éléments peuvent également être ré­vé­la­teurs d’un botnet.

Bien que les cy­ber­cri­mi­nels ex­pé­ri­men­tés par­vien­nent à dénicher les failles de sécurité les plus petites, nous pouvons con­si­dé­ra­ble­ment leur com­pli­quer la tâche. La pré­ven­tion doit devenir votre devise. Ainsi, il convient d’observer certaines règles pour protéger autant que possible votre or­di­na­teur contre les attaques illégales.

Il est fortement re­com­mandé d’installer un anti-virus ce qui va nor­ma­le­ment de soit pour la plupart des pro­prié­taires d’or­di­na­teurs. Le pare-feu est un autre aspect important. Il doit être bien configuré pour offrir un maximum de pro­tec­tion. Par ailleurs, il est re­com­mandé de toujours maintenir à jour le système d’ex­ploi­ta­tion et l’ensemble des logiciels installés. Cela implique de ré­gu­liè­re­ment installer les mises à jour afin d’éviter que des failles de sécurité ne se créent à cause de versions obsolètes. D’autre part, il est conseillé d’installer une pro­tec­tion sur le na­vi­ga­teur qui iden­ti­fiera les pages d’ha­me­çon­nage et les pro­grammes mal­veil­lants tout en prévenant l’uti­li­sa­teur.

De nombreux or­di­na­teurs étant infectés via des e-mails, il convient également de se protéger contre les attaques survenant dans ce cadre. Cela implique de ne pas ouvrir sys­té­ma­ti­que­ment les pièces jointes dans les e-mails, par exemple les factures inat­ten­dues. Les e-mails supposés provenir de banques, contenant des liens suspects et une or­tho­graphe douteuse, doivent être ignorés.

De manière générale, il est re­com­mandé d’utiliser un compte d’uti­li­sa­teur sans droits d’ad­mi­nis­tra­teur lorsque vous utilisez votre or­di­na­teur. Un tel compte doit uni­que­ment être utilisé dans des cas ex­cep­tion­nels. Comme il est gé­né­ra­le­ment né­ces­saire de disposer de droits d’ad­mi­nis­tra­teur pour modifier les pa­ra­mètres du système, l’uti­li­sa­tion d’un compte normal diminue le risque qu’un programme mal­veil­lant puisse s’infiltrer dans les pro­fon­deurs de votre système.