Depuis plus de quinze ans, les experts en sécurité informatique se battent sans relâche contre les botnets, les outils à la base de toutes les grandes attaques informatiques. Or, de leur propre aveu, ils ne sont pas en train de gagner la bataille.
Un botnet est un réseau clandestin d’ordinateurs dont un pirate a pris le contrôle à distance, grâce à un logiciel malveillant (un « malware »). Une fois infecté, l’ordinateur devient un « zombie », un maillon docile dans une vaste chaîne. Depuis son centre de commande, le « botmaster », le pirate qui le contrôle, peut l’utiliser, à l’insu de son propriétaire, pour mener toutes sortes d’actions : bloquer des serveurs, envoyer du spam, propager des virus spécialisés, voler des masses de données personnelles, gonfler artificiellement le trafic d’un site pour en fausser les statistiques, ou même combiner la puissance de calcul d’un grand nombre de zombies pour effectuer des calculs complexes – par exemple craquer un mot de passe.
Une attaque de botnet semble venir de partout à la fois, ce qui rend très difficile la localisation du centre de commande. De nos jours, un grand botnet peut compter plus de dix millions d’ordinateurs, ce qui donne au pirate une puissance de feu quasi-invincible. Les petits botnets, comptant quelques milliers de zombies, sont devenus monnaie courante.
Grâce à des analyses longues et minutieuses, les experts en sécurité parviennent de temps à autre à localiser un centre de commande, qui pourra ensuite être neutralisé – à condition que la police du pays d’accueil s’intéresse à l’affaire. Début décembre, Microsoft a ainsi annoncé le démantèlement de Dorkbot, un botnet rassemblant plus d’un million de machines, spécialisé dans le vol d’identifiants de services en ligne comme Netflix ou eBay. Dorkbot, qui s’attaquait aux ordinateurs équipés d’anciennes versions de Windows, déposait son malware de multiples façons : par e-mail, via Facebook, des messageries instantanées ou des sites Web piégés, et même hors-ligne, dans des clés USB.
Sa neutralisation fut une opération lourde : Microsoft affirme avoir travaillé avec la société de sécurité ESET, le FBI, Interpol, Europol, des agences polonaises et canadiennes… En revanche, Microsoft refuse d’expliquer la méthode utilisée, pour ne pas divulguer d’informations sensibles. Cela dit, un clone de Dorkbot pourrait sans doute être réactivé par une nouvelle équipe, car son malware est toujours en circulation.
Ces victoires, même provisoires, sont assez rares. Lors de la conférence Botconf 2015, qui a réuni 265 experts de 34 pays à Paris début décembre, l’ambiance était combative, mais pas très optimiste : les intervenants ont surtout insisté sur les progrès constants réalisés par les botmasters. Un ingénieur sécurité français employé par une société américaine résume la situation : « L’innovation est menée par les attaquants, pas par les défenseurs. Quand un expert annonce qu’il a fait une découverte, ça signifie généralement qu’il a trouvé un fichier sur Internet, et repéré une erreur commise par un botmaster. Chaque année, nous organisons des conférences pour nous esbaudir sur les progrès incroyables réalisés par les attaquants au cours de l’année passée. »
Ainsi, certains botnets fonctionnent sans interruption depuis plus de dix ans, car les pirates les améliorent constamment pour déjouer la surveillance. Les plus sophistiqués possèdent même des systèmes d’alarme qui préviennent le botmaster quand une société de sécurité tente d’analyser le fonctionnement d’un échantillon de leur malware.
Le plus vieux botnet connu des experts, Sality, d’origine russe, a été repéré pour la première fois en 2003. Il est toujours en activité. Pour perdurer, Sality, ainsi que d’autres botnets, ont su se débarrasser de leur principal point faible, le poste de commande unique. Ils se sont dotés d’une architecture décentralisée en peer-to-peer, avec des centres de commande temporaires installés chez des hébergeurs professionnels.
Le plus inquiétant est sans doute la prolifération des mini-botnets amateurs, qui peuvent être créés en quelques minutes grâce à des outils disponibles sur Internet. Ainsi, DarkComet, créé par un Français, se présente comme un simple outil d’administration à distance d’ordinateurs. En réalité, il donne au pirate le contrôle intégral de la machine infectée, et même des « superpouvoirs » sur le système d’exploitation que le propriétaire légitime de l’ordinateur ne possède pas. Un expert sud-africain a repéré en quelques mois près de 20 000 centres de commandes DarkComet – il affirme qu’avec plus de temps et de moyens, il en aurait sans doute découvert beaucoup plus. Dans le lot, 1 300 d’entre eux étaient très actifs, avec des centres de commande aux Etats-Unis, en Turquie, en Russie, en Roumanie, en France…
Il a notamment localisé un botmaster installé à Puteaux (Hauts-de-Seine), contrôlant plus de 7 700 victimes dans des pays francophones. En revanche, il n’a pas réussi à comprendre à quoi servait le botnet de Puteaux. Il n’a pas prévenu la police, car un botnet de cette taille ne vaut sans doute pas le déplacement.
Les botnets ont sans doute de beaux jours devant eux, car, désormais, ils s’attaquent aux smartphones, selon les mêmes principes et avec des résultats similaires. Les botmasters commencent aussi à s’intéresser à « l’Internet des objets » et aux « maisons intelligentes ». Un malware spécialisé dans ce type d’attaque a récemment été découvert par des Canadiens, qui l’ont baptisé Moose (élan). Selon eux, Moose permet aux pirates de passer par un routeur domestique pour se connecter sur Facebook, Instagram, Twitter et YouTube, et y perpétrer des fraudes visant des sites marchands. Un jour, peut-être, votre réfrigérateur connecté fera partie d’un botnet capable d’attaquer votre réseau social préféré.
Voir les contributions
Réutiliser ce contenu