Créer un botnet gratuit dans le cloud, c'est possible... et facile ?

Deux chercheurs en sécurité sont parvenus à reproduire l'équivalent d'un botnet en s'inscrivant de façon automatisée à la plupart des offres cloud gratuites du marché. Sans bourse délier, ils ont ainsi réuni une puissance de calcul significative.

Pourquoi infecter à son insu l'ordinateur d'un particulier innocent quand des centaines d'hébergeurs proposent d'accéder gratuitement à des machines gérées par leurs soins ? Deux chercheurs en sécurité ont eu l'idée de mutualiser les ressources mises à disposition gratuitement par les acteurs du cloud pour créer une importante force de calcul distribué, utilisable comme bon leur semble. Rob Ragan et Oscar Salazar présenteront les résultats de leurs travaux le mois prochain lors de la conférence Black Hat, mais le magazine Wired en révèle déjà quelques éléments. La démarche a semble-t-il été couronnée de succès.

Sur le marché ultra-concurrentiel de l'hébergement et de la location de ressources informatiques, de nombreux acteurs appâtent le chaland à grands coups de formules gratuites. Partant de constat, Ragan et Salazar ont eu l'idée de créer les outils qui leur permettraient de profiter de ces offres d'appel à grande échelle. Autrement dit, ils ont cherché comment s'inscrire sur le plus grand nombre possible de services gratuits, pour ensuite faire travailler de concert les machines ainsi mobilisées.

Le processus se fait en deux étapes. Pour la phase d'inscription, les deux chercheurs ont réalisé un outil automatisé, capable de générer des adresses email, remplir un formulaire et gérer les étapes de la validation de création du compte. La seconde consiste enfin à installer l'application que l'on souhaite exécuter sur ces espaces gratuits. Ici, Ragan et Salazar sont simplement passés via Fabric, un service qui permet de déployer, là encore de façon automatique, son code sur un ensemble de serveurs.

Histoire de valider le concept, les deux hommes expliquent avoir choisi de faire tourner un mineur de Litecoin (une monnaie virtuelle similaire au Bitcoin). En moyenne, chaque serveur (ou plutôt portion de serveur) souscrite a su générer 0,25 dollar par jour. Le montant unitaire parait bien faible, mais la force vient du nombre : dans son ensemble, leur botnet pilote avait la capacité de générer l'équivalent en Litecoin de 1750 dollars par semaine. Cerise sur le gâteau : s'il est illégal d'envoyer du spam ou de participer à des attaques par déni de service, miner une monnaie virtuelle n'a rien d'illégal. « Tout se fait sur la facture d'électricité de quelqu'un d'autre », rappelle tout de même Ragan auprès de Wired.

Leurs recherches feront-elles des émules ? Les deux chercheurs penchent sans ambages pour l'affirmative et invitent d'ores et déjà les acteurs du cloud à se prémunir de ce genre de pratiques, en complexifiant par exemple leurs modalités d'inscription. Un tiers seulement des services testés par leurs soins a résisté au processus d'enregistrement automatique.

Sur le sujet, voir aussi :

• Bitcoin, Litecoin : montez votre propre mineur !
• Entreprises, faut-il accepter les paiements en Bitcoin ?