Qu’est-ce qu’un botnet ? Comment s’en protéger ?

12 décembre 2020 à 10h10
Sponsorisé par
ExpressVPN
1
Sponsorisé par ExpressVPN

À l’origine de puissantes attaques et difficiles à faire tomber, les botnets menacent aussi bien les utilisateurs dont ils infectent les machines que les internautes non touchés.

Bien que les chiffres concernant leur nombre et leur taille soient peu fiables, les réseaux démantelés au cours des dix dernières années font état de parcs comptant plusieurs dizaines voire centaines de milliers d’appareils infectés. Certains ont même passé la barre des millions, comme Gameover ZeuS et Necurs. Mais que sont-ils exactement ? Et en quoi sont-ils dangereux ?

Qu’est-ce qu’un botnet ?

Contraction de « robot network », un botnet est un réseau de robots informatiques. Plus concrètement, il s’agit d’un ensemble de machines compromises par des hackers et gérables à distance. Ces appareils vérolés sont tous connectés les uns aux autres au sein du même réseau, ce qui permet aux pirates de déployer des cyberattaques de grande envergure grâce à la mise en commun des ressources (attaques DDoS, campagnes de spams, bruteforce, etc.). Aujourd’hui, un botnet peut se composer de PC, de smartphones, ou de tout autre objet connecté comme une smart TV, une montre, une station météo, un frigo.

Il faut néanmoins savoir que les botnets n’ont pas toujours eu mauvaise réputation. Initialement, ils désignaient des réseaux de robots IRC auxquels étaient assignées diverses tâches comme la gestion automatisée des canaux de discussion.

Bien qu’il existe encore des botnets utiles et légitimes (indexation web, par exemple), le terme est aujourd’hui associé à des pratiques malveillantes, difficiles à neutraliser, dont il vaut mieux se prémunir.

Comment fonctionne un botnet ?

Tout commence par l’infection virale. Il peut s’agir d’un malware dissimulé dans une pièce jointe, d’un cheval de Troie, d’une faille de sécurité exploitée dans un logiciel ou un navigateur ou d’un fichier téléchargé en peer-to-peer. Dans tous les cas, la phase d’infection passe généralement inaperçue aux yeux de l’utilisateur.

Une fois installé sur la machine, le bout de code malveillant procède à la phase d’activation et crée une backdoor. L’appareil rejoint le réseau et peut désormais être contrôlé à distance. Il existe deux cas de configuration possibles : le terminal infecté ne répond qu’aux commandes de celui qui gère le botnet, ou bien il peut prendre ses ordres d’autres machines infectées intégrées au botnet (à la manière d’un réseau décentralisé).

Dans le premier cas, il suffit de neutraliser le centre de contrôle, aisément identifiable, pour faire tomber le botnet. Trop facile à enrayer, ce type de schéma n’existe aujourd’hui quasiment plus.

Dans le second, les ordres peuvent à la fois provenir du système du hacker et être relayés par l’un des appareils infectés dans le réseau. Identifier la source maîtresse au sein d’un parc composé de milliers de machines est alors bien plus compliqué, conférant au botnet une durée de vie plus longue.

D’autres parades permettent aux botnets de prospérer sans trop de difficultés. Certains connaissent des mises à jour qui leur permettent de modifier leur signature virale et ainsi d’échapper à la surveillance des antivirus les plus performants. Par ailleurs, tous mettent en place des mesures visant à pérenniser leur influence et leur discrétion (installation de rootkits, modifications du système, protection contre d’autres malwares susceptibles d’entraver leurs actions).

Enfin, le botnet n’est viable que tant qu’il regroupe un nombre de machines suffisant. Et plus il grandit, plus il est puissant, efficace et difficile à neutraliser. La propagation s’effectue le plus souvent via les machines déjà infectées qui diffusent à leur tour le virus ou scannent leur réseau d’origine à la recherche d’une faille ou d’une backdoor.

Quels risques représentent les botnets ?

Les botnets sont dangereux à deux échelles : pour ceux dont la machine a été infectée, et pour tous les autres.

Lorsqu’un appareil fait partie d’un botnet, sa puissance de calcul est constamment mise au service des actions commandées par le propriétaire du botnet (dans les cas de cryptojacking, par exemple). Par conséquent, les ralentissements sont légion. Ce qui ne signifie toutefois pas qu’ils soient suffisamment importants pour éveiller les soupçons de l’utilisateur. C’est d’ailleurs là l’une des forces du botnet qui, malgré une sollicitation continuelle des ressources, sait demeurer discret.

Toutefois, les véritables cibles d’un botnet ne sont pas tant les machines zombies que le reste des utilisateurs connectés. En concentrant les ressources de plusieurs appareils, les botmasters cherchent en général à mener des attaques DDoS (le plus souvent par inondation du réseau et des serveurs), à gérer des opérations de bruteforce (trouver un mot de passe en essayant toutes les combinaisons possibles) et à organiser des campagnes de spam importantes.

Il faut parfois y voir des motivations personnelles et/ou idéologiques. Mais c’est surtout l’appât du gain qui incite les propriétaires de botnets à mener eux-mêmes ce genre d’action (chantage, revente de données personnelles, récupération d’identifiants bancaires, etc.) ou à louer leur réseau à des tiers (envois massifs de spams, attaques DDoS mandatées, etc.).

Comment s’en prémunir ?

On ne peut pas se préserver des attaques orchestrées par un botnet, mais on peut toujours en atténuer les conséquences en modifiant régulièrement ses mots de passe. Les entreprises susceptibles d’essuyer des attaques DDoS peuvent également revoir leur architecture, répartir les points d’accès à leurs services sur plusieurs serveurs et configurer un serveur tampon.

Il est en revanche parfaitement possible de se protéger contre l’infection qui transforme un appareil connecté en soldat zombie d’un botnet. La première chose à faire est de toujours veiller à installer les dernières mises à jour logicielles et système disponibles depuis le site officiel de l’éditeur. Deuxièmement, il est impératif de ne jamais télécharger et ouvrir une pièce jointe ou cliquer sur un lien issu d’un mail frauduleux. De manière générale, il est vivement conseillé d’analyser tous les fichiers que l’on télécharge pour vérifier leur intégrité (via VirusTotal, par exemple), qu’ils proviennent de sources inconnues ou connues.

Les antivirus les plus connus comme Avast ou Kaspersky se montrent en général performants dans la détection des logiciels et scripts malveillants. Néanmoins, nous l’avons vu précédemment, les bouts de codes malveillants inoculés dans le cadre de la propagation d’un botnet peuvent modifier leur signature virale et passer sous le radar des antimalwares les plus performants. Il est donc nécessaire de toujours mettre à jour son antivirus le plus rapidement possible afin que la nouvelle antivirale ait une chance de détecter le script avant qu’il ne se mette lui-même à jour.

Enfin, le recours à un VPN comme ExpressVPN peut garantir la sécurité de ceux qui seraient victimes collatérales d’une attaque bruteforce, ou de toute autre attaque visant à siphonner des données personnelles. En effet, en chiffrant localement les informations de connexion et de requête, puis en les faisant transiter via un tunnel chiffré jusqu’à ses serveurs, le VPN empêche l’identification de la source et l’affichage en claire des données émises. Un moyen simple et souvent peu coûteux au regard des conséquences que pourrait avoir la revente de données bancaires et d’identifiants de connexion sur le dark web.

Article proposé et conçu par La Rédaction Clubic en partenariat avec ExpressVPN. Consultez notre charte pour en savoir plus.
Soyez toujours courtois dans vos commentaires
et respectez le réglement de la communauté.
1
2
Voir tous les messages sur le forum

Actualités récentes

Test Yale Linus Smart Lock : cette serrure connectée simplifie t-elle vraiment la vie ?
Soldes Amazon : nouvelle baisse de prix sur la souris Logitech G903 Lightspeed
Forfait mobile : toutes les offres du moment chez RED, Free, B&You et Sosh
Soldes : la TV LG Nanocell 8K est soldée à prix cassé chez Fnac et Darty
2048 : bienvenue à Newropa, là où le cyberpunk côtoie la magie
Soldes : l'écran PC gaming Acer Nitro 27
Soldes Amazon : 250€ de réduction sur la barre de son Sony HT-ZF9
Quel SSD choisir pour booster le stockage de votre pc ?
Microsoft renonce à l'augmentation des prix du Xbox Live Gold
Soldes : le Fire TV Stick 4K d'Amazon est toujours en promo ce week-end
Haut de page