Un botnet est un ensemble d’appareils infectés par un malware que le cybercriminel peut contrôler à distance. Le botnet peut effectuer des tâches différentes : participer à une attaque Ddos, réaliser une opération de calcul distribué, mener une campagne de phishing, etc. Vinton Cerf, l’un des fondateurs d’internet, estime qu’un appareil connecté sur quatre fait partie d’un botnet.
Le cabinet McKinsey estime à 43 milliards le nombre d’appareils connectés à internet en 2023. Ceci représente une opportunité pour les hackers de former un botnet. Malgré leur expertise en informatique, une équipe de pirates détient un nombre limité d’appareils locaux. Pour mener une attaque d’envergure, elle doit investir dans des centaines, voire des milliers d’appareils. Un tel investissement est coûteux, d’où la création d’un botnet qui est moins onéreux. Les hackers prennent le contrôle d’appareils supplémentaires grâce à des logiciels malveillants. Le plus célèbre d’entre eux est Mirai. Ce type de malware cible les appareils grand public comme les thermostats, les routeurs, les caméras intelligentes, etc.
Qu’est-ce qu’un botnet exactement ?
Le terme « botnet » est une contraction entre les mots anglais « robot » et « network ». Il désigne un réseau d’ordinateurs et appareils connectés qui sont infectés par un logiciel malveillant. L’objectif des pirates est de prendre le contrôle de ces appareils. La personne qui se trouve aux commandes est appelée « bot herder ».
Chaque appareil infecté est appelé « bot », ils forment ensemble un botnet. Le bot herder coordonne les actions de ces ordinateurs compromis à distance. Plus le nombre de bot est élevé, plus le botnet est puissant pour mener une attaque.
Quels sont les types d’appareils pouvant faire partie d’un botnet ?
Tous les appareils utilisant internet peuvent être détournés pour faire partie d’un botnet :
- les ordinateurs traditionnels : ils sont les cibles privilégiées des hackers depuis longtemps, que ce soit des ordinateurs de bureau ou portables. Les hackers ne font pas de distinction entre les systèmes d’exploitation utilisés.
- les appareils mobiles : plus de 55% de la population mondiale utilisent au moins un smartphone. Pourtant, les appareils mobiles incluent également les tablettes.
- les appareils de l’internet des objets : ils correspondent à tous les appareils utilisant internet dans les échanges de données. Les caméras de sécurité, les téléviseurs, les montres intelligentes, etc.
Comment fonctionnent les attaques par botnet ?
Derrière un éleveur de bots qui mène l’attaque peut se cacher une seule personne ou une équipe. Il peut constituer sa propre armée de bots ou bien opter pour la location. Des acteurs malveillants proposent des services appelés MaaS ou « malware-as-a-service ».
Une fois les appareils infectés, ils sont contrôlés soit depuis un serveur centralisé, soit depuis un modèle décentralisé.
Modèle centralisé
L’attaque par botnet est dirigée depuis un seul serveur qui fonctionne comme un éleveur de bot. Des sous-éleveurs peuvent exister au niveau des serveurs, mais l’éleveur de bots reste aux commandes.
Les cybercriminels n’utilisent plus cette approche depuis longtemps. Il est facile pour les experts de remonter jusqu’à un serveur centralisé et de le localiser.
Modèle décentralisé
Ce modèle est également appelé peer-to-peer (P2P). Chaque bot qui compose le botnet détient le privilège d’ordonner et d’exécuter des instructions. Cette méthode complique l’identification de l’éleveur de bot. C’est pourquoi elle est la plus plébiscitée par les hackers.
Pour tout problème lié à l'envoi de ce formulaire, écrivez à contact@guardia.school ou appelez le 04 28 29 58 49
Comment se déroule une attaque par botnet ?
Ce type d’attaque se déroule en trois phases :
- identifier les failles de sécurité ;
- infecter les appareils d’un utilisateur ;
- prendre le contrôle pour mener une attaque.
Identification des vulnérabilités
Les failles de sécurité sur une application ou un site web constituent une opportunité pour une attaque par botnet. Le facteur humain peut également être source de vulnérabilité. C’est le cas notamment dans les attaques de phishing.
Infection des appareils
Lorsqu’ils sont moins prudents, les internautes peuvent devenir des bots à leur insu. Les hackers parviennent à convertir un appareil en bot à travers plusieurs méthodes. Néanmoins, les attaques par phishing sont les plus utilisées. L’internaute télécharge un malware à l’instar d’un Trojan par inadvertance.
Mobilisation du bot
Une fois que l’éleveur de bots a infecté des centaines, voire des milliers d’appareils, il les mobilise en réseau et prend leur contrôle à distance.
Mirai : l’exemple le plus connu d’un malware botnet
Le code source de Mirai a été développé par deux étudiants, Josiah White et Paras Jha en 2016. Ces derniers ont utilisé le malware pour mener des attaques DDos et extorquer de l’argent à leur victime. Les deux cybercriminels ont ensuite ciblé le serveur du jeu Minecraft.
Le malware Mirai cible surtout les appareils domestiques comme les babyphones, thermostats, routeurs. La majorité d’entre eux fonctionne avec le système d’exploitation Linux. Les pirates ont exploité la vulnérabilité de ces gadgets pour créer un réseau d’appareils infectés.
Pour brouiller les pistes quant à leur identité, les deux créateurs ont divulgué le code source de leur malware en ligne. D’autres cybercriminels ont repris le code pour mener leur propre attaque de botnet. Depuis, Mirai continue de faire des ravages à travers les attaques DDos, notamment aux États-Unis.
Le code source de Mirai évolue au fur et à mesure des années. Des malwares comme Satori, Reaper ou encore Okiru reposent sur son code source.
Comment les hackers utilisent cette armée d’ordinateurs infectés ?
Un botnet représente déjà une attaque en soi. Cependant, il sert d’outil pour accomplir une attaque à grande échelle comme :
Les attaques de phishing
Ayant désormais accès à l’appareil de l’utilisateur, l’éleveur de bots peut également utiliser son compte de messagerie pour envoyer des courriels. L’email peut contenir un malware permettant d’infecter le destinataire pour que son appareil devienne à son tour un bot.
Les hackers se servent du botnet également pour mener une campagne de spam à grande échelle. Leur objectif consiste à voler des informations sensibles comme les identifiants d’un compte ou les coordonnées bancaires.
En 2009, MessageLabs rapportait que le botnet Ozdok était capable d’envoyer plus de 38 milliards de spams par jours. Pourtant, il était composé de 660 000 appareils.
Les attaques DDos
Ce type d’attaque consiste à inonder un serveur de requête jusqu’à ce qu’il ne puisse plus répondre. Les hackers se servent des botnets pour surcharger les sites de trafic. Cela met des services en ligne hors d’usage pendant des minutes, voire des heures.
L’entreprise spécialisée dans les solutions de cybersécurité, Netscout System, a recensé plus de 7,9 millions d’attaques Ddos au premier semestre 2023. Les cibles ne sont pas uniquement des entreprises. Des hacktivistes ciblent des pays comme la Turquie, la Hongrie ou encore la Finlande en 2022.
Une attaque par force brute
Les hackers ont besoin de la puissance de calcul des appareils infectés pour déchiffrer les mots de passe des utilisateurs dans le cadre d’une attaque par force brute.
Les fraudes publicitaires
Un site web tire profit du nombre de clics sur les annonces affichées. Avec un botnet, les hackers peuvent augmenter le nombre de clics. Les appareils paraissent comme des utilisateurs légitimes. Cette pratique leur permet de générer des revenus.
Le cryptojacking
Le minage de cryptomonnaie demande des appareils assez puissants pour réaliser les calculs. Les machines infectées accomplissent cette tâche pour le bot herder. Ce dernier gagne ainsi de l’argent aux dépens des victimes.
Comment savoir si son ordinateur fait partie d’un botnet ?
Un appareil peut faire partie d’un botnet à l’insu de son propriétaire pendant des mois. Quelques symptômes devraient toutefois alerter l’utilisateur :
- ralentissement d’internet : la connexion devient plus lente. Pourtant, le routeur tourne à plein régime alors qu’aucune activité consommatrice de data n’a lieu.
- activité inexpliquée : le ventilateur du processeur fonctionne soudainement alors qu’aucune utilisation excessive n’a lieu.
- redémarrage et arrêt plus lent : la présence d’un logiciel malveillant ralentit le fonctionnement de l’ordinateur. Si ce dernier fait partie d’un botnet actif, il mettra du temps à s’arrêter.
- utilisation excessive de la RAM : une activité de botnet consomme énormément de mémoire. Il est alors important de vérifier si une application consomme une part importante de la RAM.
- applications hors services : certains programmes qui fonctionnaient bien ne s’ouvrent plus.
Comment protéger son ordinateur contre ce type d’attaque ?
Un changement des habitudes de consommation d’internet ainsi que l’utilisation de logiciels de protection contribuent à la protection d’un appareil.
- Renforcer son mot de passe : il ne concerne pas uniquement les comptes et les outils de travail (ordinateur). Il est également nécessaire de renforcer le mot de passe de tous les appareils intelligents. Plus il est long et complexe, plus les hackers mettent du temps à le déchiffrer.
- Mettre à jour les paramètres par défaut des appareils : qu’il s’agisse de réfrigérateur intelligent ou des gadgets dotés de la technologie Bluetooth, ils sont protégés grâce à un mot de passe par défaut. Leur mise à jour est cruciale dès l’acquisition pour empêcher les pirates informatiques d’y accéder.
- Se méfier des e-mails contenant une pièce jointe ou un lien : il faut réfléchir à deux fois avant de télécharger un fichier en pièce jointe d’un e-mail. En cas de doute, il est préférable de demander confirmation à l’expéditeur. Un logiciel antivirus performant est aussi capable d’empêcher le téléchargement de ce type de fichier malveillant. Il en est de même pour les liens qui circulent sur les réseaux sociaux.
- Utiliser un logiciel antivirus : les solutions payantes offrent une meilleure protection aux appareils. Elles sont capables d’identifier tous les types de menaces, y compris les chevaux de Troie. La solution adoptée doit également protéger les appareils mobiles.