Présentation
RÉSUMÉ
Le monde de la sécurité Internet est un domaine en constante évolution. Les menaces évoluent, changent : DOS et DDOS (déni de service), spam et phishing, compromission de systèmes, défiguration de sites web, ver et virus... Parmi les dangers en forte progression, les botnets (roBOT NETwork) tiennent une place d’honneur. Les pirates ont en effet compris que les PC des utilisateurs constituent des ressources anonymes et gratuites leur permettant de commettre leurs méfaits. Ainsi, les PC d’utilisateurs lambda sont attaqués, compromis, puis infectés par des programmes qui permettent aux pirates d’en prendre le contrôle total en toute discrétion. Ces ordinateurs, transformés en zombies à la merci des pirates, forment un botnet, réseau de machines compromises qui obéissent au « Botnet Master », chef d’orchestre du réseau. Afin de rendre ces réseaux les plus résilients et furtifs possibles, les protocoles de communications entre zombies et botnet master sont aussi en perpétuelle évolution.
Lire cet article issu d'une ressource documentaire complète, actualisée et validée par des comités scientifiques.
Lire l’articleABSTRACT
Internet security is a constantly evolving domain. Threats continuously evolve: DOS and DDOS (Denial of Service), Spam and Phishing, System compromising, Web defacement, worms and viruses etc. Amongst them, Botnets have known a significant expansion. Hackers have understood that the of the end-users’ PCs are free and anonymous resources which allow them to perpetrate wrongdoings. The PCs of legitimate users are thus attacked, compromised and finally infected by specific programs which allow hackers to take full control over them. These compromised systems, called Zombis, form a Botnet (roBOT NETwork), which are under the full control of the botmaster. Various protocols (including IRC, DNS, P2P, etc.) can be used between botmasters and zombies in order to increase the resilience and stealthiness of these botnets. This article invites the reader to deepen their knowledge of the Botnet world.
Auteur(s)
-
Franck VEYSSET : Expert en sécurité des réseaux
-
Laurent BUTTI : Expert en sécurité des réseaux
INTRODUCTION
En quelques années, le nombre de systèmes connectés à lnternet a véritablement explosé. L'arrivée des connexions « toujours actives », de type xDSL ou câble, et la faible sécurisation des machines des particuliers a apporté son lot de nouvelles menaces, parmi lesquelles les machines « zombies ». Ces machines, infectées et télépilotées, sont réunies dans des réseaux mondiaux – les « botnets » – pour être ensuite contrôlées par des individus peu scrupuleux, à la recherche de profit sur Internet, utilisant ces énormes ressources pour s'adonner au spam, phishing, attaques de déni de service et bien d'autres...
Qu'est-ce qu'un botnet ?
Selon Wikipédia, les botnets ou ordinateurs « zombies » forment des réseaux de PC infectés par des virus informatiques ou par des chevaux de Troie, contrôlés via Internet le plus souvent à des fins malveillantes.
Le terme « botnet » est l'abréviation anglaise de roBOT NETwork, ou réseau de machines « robots ».
En plus de servir à paralyser le trafic (attaque par déni de service aussi appelé DDoS), de moteur à la diffusion de spam, les botnets peuvent également être utilisés pour commettre des délits comme le vol de données bancaires et identitaires à grande échelle. Les botnets sont parfois loués à des tiers peu scrupuleux.
Selon Symantec, fin 2004, le parc le plus important de PC contaminés se trouve au Royaume-Uni (avec 25,2 % des machines). Les États-Unis décrochent la deuxième place avec 24,6 %. Ils sont suivis respectivement par la Chine (7,8 %), le Canada (4,9 %) et l'Espagne (3,8 %). La France est au sixième rang avec 3,6 % d'ordinateurs victimes d'une prise de contrôle sauvage à distance.
Selon Sophos, début 2005, la première place est attribuée aux États-Unis (35,7 % de pourriels détectés), suivis de la Corée du Sud et de la Chine, puis de la France avec 3,19 %.
Selon Sophos, début 2007, la première place est toujours attribuée aux États-Unis avec 22 %. La deuxième place est cette fois-ci prise par la Chine (incluant Hong Kong) avec 15,9 %, puis par la Corée du Sud avec 7,4 %. La France est toujours quatrième de ce palmarès avec 5,4 %, suivie de près par l'Espagne avec 5,1 % des pourriels détectés.
DOI (Digital Object Identifier)
CET ARTICLE SE TROUVE ÉGALEMENT DANS :
Accueil > Ressources documentaires > Archives > [Archives] Sécurité et gestion des risques > Botnets, la menace invisible > Conclusions
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Présentation
7. Conclusions
Les botnets font malheureusement aujourd'hui partie du paysage informatique. Les problématiques classiques de sécurité ont été de plus en plus mises en exergue par les attaques qui les exploitent. Ces attaques ont pour but de réaliser du chiffre d'affaires et les botnets sont un moyen aujourd'hui très efficace, de par leur flexibilité sans cesse croissante et leur adaptation à différents types de failles de sécurité, pour pouvoir se propager. C'est ici qu'il faut bien distinguer le mode de propagation – qui est simplement le vecteur de l'attaque et qui varie en fonction du temps et de la mode – des capacités d'un outil installé sur une machine compromise qui peut être assimilé à une boîte à outils (la plus furtive possible) pour l'attaquant afin qu'il puisse perpétrer tout un ensemble d'actions malveillantes.
Cette menace en forte croissance, et l'arrivée de botnets de plus en plus évolués, montre une orientation claire et nette vers la professionalisation de ce type d'activité. D'aucuns diraient qu'il suffirait que les systèmes d'exploitation soient sûrs pour ne plus avoir de problèmes et donc ne plus être compromis. C'est certes une partie de la question et les efforts d'éditeurs tels que Microsoft permettent tout de même de grandement réduire les possibilités d'attaques grâce aux mécanismes de prévention d'exploitation générique. Cependant, il est de bon ton de rappeler que le niveau de sécurité global est le niveau de sécurité du maillon le plus faible et c'est la raison pour laquelle de plus en plus de failles de sécurité sont exploitées sur des logiciels tiers tels que Firefox, Flash, Java ou Adobe Reader (qui sont présents en standard sur la quasi majorité des machines connectées à Internet aujourd'hui). Ajoutez une pincée de « social engineering » et il devient alors réellement difficile de se prémunir contre tous les types d'attaques (pour les personnes non spécialistes du sujet). Les botnets évolueront certainement de plus en plus vers les technologies Web ou des rootkits mode utilisateur si (un jour) les mécanismes de prévention d'exploitation seront réellement appliqués et efficaces.
Le jeu du chat et de la souris est maintenant de plus en plus visible, ce qui n'était pas le cas il y a quelques années. Ceci est un point positif qui montre que la communauté sécurité s'intéresse au phénomène et essaye tant bien que mal de trouver des solutions, que ce soit dans la détection et l'éradication des botnets...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive
Conclusions
DANS NOS BASES DOCUMENTAIRES
-
Le spam.
ANNEXES
Shadowserver Foundation, une équipe de chercheurs observant les activités illicites sur l'internet http://www.shadowserver.org
Secure Works – Étude sur les relations entre les Botnets et le SPAM http://www.secureworks.com/research/threats/topBotnets/
[Storm Worm]
Peacomm.C – Cracking the nutshell http://www.reconstructer.org/papers.html
Wikipedia – Overnet http://en.wikipedia.org/wiki/Overnet
Wikipedia – Kademlia http://en.wikipedia.org/wiki/Kademlia https://fr.wikipedia.org/wiki/Kademlia
Botnet communication over Twitter, Reddit, social web http://compsci.ca/blog/botnet-communication-over-twitter-reddit-social-web/
Pirated Windows 7 OS Comes With Trojan, Builds A Botnet http://www.darkreading.com/security/client/showArticle.jhtml;jsessionid=IKOBTRQ3ISVXIQSNDLRSKH0CJUNN2JVN?articleID=217400548
Anubis : Analyzing Unknown Binaries http://anubis.iseclab.org/
Bypassing Browser Memory Protections http://www.phreedom.org/research/bypassing-browser-memory-protections/bypassing-browser-memory-protections.pdf
http://www.generation-nt.com/bbc-achat-botnet-experience-spam-ddos-actualite-247511.html...
Cet article fait partie de l’offre
Sécurité des systèmes d'information
(76 articles en ce moment)
Cette offre vous donne accès à :
Une base complète d’articles
Actualisée et enrichie d’articles validés par nos comités scientifiques
Des services
Un ensemble d'outils exclusifs en complément des ressources
Un Parcours Pratique
Opérationnel et didactique, pour garantir l'acquisition des compétences transverses
Doc & Quiz
Des articles interactifs avec des quiz, pour une lecture constructive