Botnet est le nom d'une collection de PC compromis qu'un attaquant peut contrôler à distance. Elles sont généralement construites par un attaquant individuel ou un groupe. Ils utilisent un programme malveillant pour infecter le plus grand nombre d'ordinateurs possible. Les PC individuels d'un botnet sont généralement appelés "bots" ou "zombies". Il n'y a pas de nombre minimum de PC infectés pour un botnet. Les petits botnets peuvent compter une centaine d'ordinateurs infectés, tandis que les grands botnets fonctionnent avec des millions de PC. Parmi les exemples de botnets bien connus de ces dernières années, citons Conficker, Zeus, Waledac, Mariposa et Kelihos. Un botnet est généralement considéré comme une entité unique, mais comme Zeus, les auteurs de logiciels malveillants vendent également leurs créations, de sorte qu'il existe parfois des dizaines de botnets distincts utilisant le même logiciel malveillant en même temps.
Méthode d'infection
Il existe deux méthodes principales que les cybercriminels utilisent pour infecter les PC afin de les transformer en zombie : Téléchargements et courriers électroniques. Les infections par téléchargement doivent être préparées par l'attaquant en quelques étapes, et il doit également trouver un site web populaire avec une vulnérabilité exploitable. Il peut ensuite télécharger son logiciel malveillant sur le site. Cela permet d'exploiter les failles de sécurité des navigateurs courants, tels que Google Chrome ou Internet Explorer. Normalement, le navigateur est redirigé vers le site de l'attaquant, d'où le code du bot est téléchargé et installé sur le PC.
La méthode d'infection par e-mail est beaucoup plus simple. L'attaquant envoie une énorme quantité de spam qui contient soit un fichier (par exemple un document Word ou un fichier PDF) avec un code malveillant, soit un lien vers le logiciel malveillant. Dans les deux cas, le PC fait partie du botnet dès que le code malveillant est téléchargé sur l'ordinateur. L'attaquant peut désormais contrôler le PC, transférer des données de l'ordinateur à lui-même, télécharger de nouveaux programmes et en faire ce qu'il veut.
Les botnets en pratique
Les applications traditionnelles et les plus utilisées des botnets sont les attaques DDoS (Distributed Denial of Service). Ces attaques utilisent la puissance de traitement et la bande passante de centaines ou de milliers de PC pour diriger d'énormes quantités de trafic vers des sites web spécifiques afin de faire planter ces sites. Il existe différents types d'attaques DDoS, mais le but est le même pour tous : empêcher l'accès à une page. Les attaquants ont utilisé cette tactique pour entraver les sites concurrents, mais ils se sont ensuite tournés vers des portails web tels que Yahoo et MSN, ainsi que vers des boutiques en ligne et des sites bancaires et gouvernementaux. Des groupes tels que Anonymous, LulzSec et d'autres ont récemment utilisé des attaques DDoS contre des sociétés d'armement, des banques et d'autres organisations. Entre-temps, les cybercriminels ont commencé à utiliser des attaques DDoS contre les sites bancaires pour dissimuler des attaques plus profondes sur les banques. Les botnets sont également utilisés à d'autres fins. Les spammeurs utilisent les botnets, par exemple, pour envoyer des millions de courriers électroniques publicitaires via des PC infectés, et les cybercriminels les utilisent pour commettre des fraudes à grande échelle sur les cartes de crédit.
Défense
Il existe certaines défenses contre les attaques DDoS pour lesquelles les botnets sont utilisés, mais presque toutes doivent être mises en œuvre du côté des FAI ou sur les serveurs. Les utilisateurs peuvent protéger leur PC contre l'appartenance à un réseau de zombies en gardant tous les programmes installés à jour et en ne cliquant pas sur des liens suspects. Les attaquants comptent sur la bonne foi des utilisateurs qui ouvrent des pièces jointes malveillantes ou cliquent sur des liens. C'est la seule façon pour eux de faire parvenir leurs logiciels malveillants sur les PC. En supprimant ces facteurs de l'équation, les attaquants ont beaucoup plus de mal à construire et à utiliser des réseaux de zombies.