À l’origine de puissantes attaques et difficiles à faire tomber, les botnets menacent aussi bien les utilisateurs dont ils infectent les machines que les internautes non touchés. Dans les les deux cas, l'usage d'un bon antivirus pourra vous en prévenir.
Bien que les chiffres concernant leur nombre et leur taille soient peu fiables, les réseaux démantelés au cours des dix dernières années font état de parcs comptant plusieurs dizaines, voire centaines de milliers d’appareils infectés. Certains ont même passé la barre des millions, comme Gameover, ZeuS et Necurs. Mais que sont-ils exactement ? Et en quoi sont-ils dangereux ?
Qu’est-ce qu’un botnet ?
Contraction de « robot network », un botnet est un réseau de robots informatiques. Plus concrètement, il s’agit d’un ensemble de machines compromises par des hackers et gérables à distance, que l'on désigne sous l'appellation de "machines zombies". Ces appareils vérolés sont tous connectés les uns aux autres au sein du même réseau, ce qui permet aux pirates de déployer des cyberattaques de grande envergure grâce à la mise en commun des ressources (attaques DDoS, campagnes de spams, bruteforce, etc.). Aujourd’hui, un botnet peut se composer d'ordinateurs, de smartphones, ou de tout autre objet connecté comme une smart TV, une montre, une station météo, un frigo.
Il faut néanmoins savoir que les botnets n’ont pas toujours eu mauvaise réputation. Initialement, ils désignaient des réseaux de robots IRC auxquels étaient assignées diverses tâches comme la gestion automatisée des canaux de discussion.
Bien qu’il existe encore des botnets utiles et légitimes (indexation web, par exemple), le terme est aujourd’hui associé aux réseaux de machines zombies et à leurs pratiques malveillantes, difficiles à neutraliser, dont il vaut mieux se prémunir.
Comment fonctionne un botnet ?
Une fois installé sur la machine, le bout de code malveillant procède à la phase d’activation. L’appareil rejoint le réseau et peut désormais être contrôlé à distance. Il existe deux cas de configuration possibles : le terminal infecté ne répond qu’aux commandes de celui qui gère le botnet, ou bien, il peut prendre ses ordres d’autres machines infectées intégrées au botnet (à la manière d’un réseau décentralisé).
Dans le premier cas, il suffit de neutraliser le centre de contrôle, aisément identifiable, pour faire tomber le botnet. Trop facile à enrayer, ce type de schéma n’existe aujourd’hui quasiment plus.
Dans le second, les ordres peuvent à la fois provenir du système du pirate et être relayés par l’un des appareils infectés dans le réseau. Identifier la source maîtresse au sein d’un parc composé de milliers de machines est alors bien plus compliqué, conférant au botnet une durée de vie plus longue.
D’autres parades permettent aux botnets de prospérer sans trop de difficultés. Certains connaissent des mises à jour qui leur permettent de modifier leur signature virale et ainsi d’échapper à la surveillance des antivirus les plus performants. Par ailleurs, tous mettent en place des mesures visant à pérenniser leur influence et leur discrétion (installation de rootkits, modifications du système, protection contre d’autres malwares susceptibles d’entraver leurs actions).
Enfin, le botnet n’est viable que tant qu’il regroupe un nombre de machines suffisant. Et plus il grandit, plus il est puissant, efficace et difficile à neutraliser. La propagation s’effectue le plus souvent via les machines déjà infectées qui diffusent à leur tour le virus ou scannent leur réseau d’origine à la recherche d’une faille ou d’une backdoor.
Quels risques représentent les botnets pour les appareils infectés ?
Lorsqu’un appareil fait partie d’un botnet, sa puissance de calcul est constamment mise au service des actions commandées par le propriétaire du botnet (dans les cas de cryptojacking, par exemple). Par conséquent, les ralentissements sont légion. Ce qui ne signifie toutefois pas qu’ils soient suffisamment importants pour éveiller les soupçons de l’utilisateur. C’est d’ailleurs là l’une des forces du botnet qui, malgré une sollicitation continuelle des ressources, sait demeurer discret.
En plus des actions malveillantes réalisées sur d'autres appareils grâce au réseau de botnets, le malware peut également attaquer l'appareil infecté. Il essaiera notamment de récupérer des données sur l'activité et sur les contacts de sa cible, afin de trouver de nouvelles victimes faciles à infecter. Il peut par ailleurs s'attaquer aux fichiers du système pour consolider son emprise sur les ordinateurs ou smartphones et installer d'autres malwares.
Comment sont utilisés les botnets ?
Les pirates qui contrôlent des botnets peuvent les utiliser pour de nombreuses opérations néfastes. Le but est de posséder une force de frappe et de calcul suffisante pour mener des campagnes d'infection à grande échelle. Parmi les opérations menées par des réseaux de machines zombies, nous pouvons citer les attaques DDoS, qui cherchent à empêcher le bon fonctionnement de services ou de sites web en envoyant un grand nombre de requêtes en une seule fois. Les botnets pouvant contenir jusqu'à plusieurs milliers d'appareils, ils se révèlent particulièrement efficaces pour ce genre d'attaques.
Les botnets cherchent constamment à grandir et mettent leur réseau déjà existant à contribution pour atteindre leur but, avec des campagnes de spam et de phishing massives pour propager le malware. Ils peuvent également être utilisés pour des raisons financières par leurs opérateurs, que ce soit en louant le réseau à d'autres criminels, en faisant cliquer les machines de façon massive sur des bannières publicitaires ou en leur faisant miner des cryptomonnaies. Enfin, ils sont également une porte d'entrée pour d'autres malwares, comme des ransomwares.
Quels appareils sont visés par les opérateurs de botnets ?
Aucun appareil qui ne dispose pas au moins d'un antivirus gratuit n'est à l'abri d'un recrutement au sein d'un botnet tant qu'il est connecté à Internet, que ce soit des ordinateurs, smartphones, tablettes ou des objets connectés. Tout dépend des ambitions des opérateurs de celui-ci : ceux qui cherchent à avoir un nombre important d'appareils dans leur réseau vont viser l'IoT (Internet of Things, Internet des objets), l'ensemble de ces appareils connectés qui sont généralement peu protégés contre les attaques et dont le recrutement dans un réseau passe le plus inaperçu. Mirai est probablement le botnet le plus connu pour ses attaques contre les appareils de l'IoT. Il scannait Internet à la recherche d'adresses IP correspondant à des objets connectés sous Linux, puis utilisait les identifiants et mots de passe par défaut de ces objets, souvent toujours valables, pour les infecter avec son malware. Avec son armée d'objets connectés infectés, Mirai a servi à réaliser des attaques DDoS de grande ampleur.
D'autres, plus rares, cherchent à recruter des machines plus puissantes pour leur réseau. C'est le cas du botnet Mantis, qui a infecté plusieurs machines virtuelles et serveurs. Si le nombre d'appareils présents dans le réseau peut paraître faible, environ 5 000 bots en juillet 2022, leur puissance a permis de réaliser des attaques DDoS de très grande ampleur, ainsi que des campagnes de spam et de phishing visant les smartphones sous Android et iOS. Dans ce dernier cas, le but était soit d'installer un malware sur les smartphones Android, soit de récupérer des identifiants Apple quand le smartphone visé était sous iOS.
Comment se retrouve-t-on infecté ?
Les vecteurs d'infection sont similaires à ceux que l'on retrouve pour la plupart des menaces, malwares et virus. Le phishing et le spam restent toujours des méthodes privilégiées pour installer le malware sur un appareil. Le mail peut sembler provenir d'un des services que vous utilisez, comme votre opérateur Internet, un service de livraison, votre banque ou votre plateforme de streaming préférée, pour vous pousser à cliquer sur un lien malveillant qui permettra de vous infecter.
L'installation du malware peut aussi avoir lieu par l'intermédiaire d'un fichier ou logiciel téléchargé vérolé ou la visite de sites web compromis.
Comment s’en prémunir ?
On ne peut pas toujours se préserver des attaques orchestrées par un botnet, mais on peut toujours en atténuer les conséquences en modifiant régulièrement ses mots de passe. Les entreprises susceptibles d’essuyer des attaques DDoS peuvent également revoir leur architecture, répartir les points d’accès à leurs services sur plusieurs serveurs et configurer un serveur tampon.
Il est en revanche parfaitement possible de se protéger contre l’infection qui transforme un appareil connecté en soldat zombie d’un botnet. La première chose à faire est de toujours veiller à installer les dernières mises à jour logicielles et système disponibles depuis le site officiel de l’éditeur. Deuxièmement, il est impératif de ne jamais télécharger et ouvrir une pièce jointe ou cliquer sur un lien issu d’un mail frauduleux. De manière générale, il est vivement conseillé d’analyser tous les fichiers que l’on télécharge pour vérifier leur intégrité (via VirusTotal, par exemple), qu’ils proviennent de sources inconnues ou connues.
Les antivirus les plus connus se montrent en général performants dans la détection des logiciels et scripts malveillants. Néanmoins, nous l’avons vu précédemment, les bouts de codes malveillants inoculés dans le cadre de la propagation d’un botnet peuvent modifier leur signature virale et passer sous le radar des anti-malwares les plus performants. Il est donc nécessaire de toujours mettre à jour son antivirus le plus rapidement possible afin qu'il ait une chance de détecter le script avant qu’il ne se mette lui-même à jour et ainsi garantir la sécurité de son ordinateur ou son smartphone.
Comme nous l'avons vu, les appareils connectés représentent une cible de choix pour les botnets. Dès l'installation d'un de ces appareils, il est impératif de modifier les informations de connexion de base et de choisir un mot de passe fort pour éviter que des botnets qui parcourent Internet à la recherche de machines vulnérables puissent en prendre le contrôle, à l'aide d'attaques par force brute entre autres.
Glossaire Antivirus : nos autres définitions
- Qu'est-ce qu'un cheval de Troie (trojan) et comment s’en protéger ?
- Qu’est-ce qu’un malware de type wiper et comment s’en protéger ?
- Qu'est ce qu'un cryptolocker et comment s’en protéger ?
- Qu'est-ce qu'un bloatware et comment s'en débarrasser ?
- Qu'est-ce qu'un ransomware ou rançongiciel et comment s’en protéger ?
- Qu'est-ce que le phishing et comment s'en protéger ?
- Qu'est-ce qu'un logiciel malveillant (ou malware) et comment m'en protéger ?
- Qu'est-ce qu'un rootkit et comment s'en protéger ?
- Qu'est-ce qu'un keylogger et comment s'en protéger ?
- Qu'est-ce qu'un spyware et comment s'en protéger ?
- moodEssai 30 jours
- devices3 à 10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
- moodEssai 14 jours
- devices10 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsContrôle parental inclus
- moodEssai 30 jours
- devices5 à 30 appareils
- phishingAnti-phishing inclus
- local_atmAnti-ransomware inclus
- groupsPas de contrôle parental