Aller au contenu

Le Botnet

Qu'est ce qu'un botnet ?

Selon Kaspersky, un Botnet est un terme générique qui désigne un groupe d’ordinateurs infectés et contrôlés par un pirate à distance. Les botnets sont généralement créés par un pirate informatique ou par un petit groupe de pirates qui utilisent un malware afin d’infecter un grand nombre de machines.

Un botnet ? Pourquoi faire ?

En général les pirates ont recours au Botnet quand ils ont besoin de plus de ressources qu’une machine pour exécuter son attaque. Par exemple, pour lancer une attaque DDOS, les pirates ont besoin qu’un grand nombre de machines envoient simultanément des paquets sur la carte réseau du serveur hébergeant un service ou un site web qu’ils veulent attaquer. Dans les grandes lignes les hackers ont besoin de créer un réseau de machines dites “zombies”, une fois le nombre de machines est suffisant pour lancer l’attaque, toutes les machines se “réveillent” et lancent en même temps les mêmes commandes. 

Comment les hackers créent des botnets ?

En réalité, comme très souvent en informatique, il n’existe pas qu’une seule solution pour arriver à ses fins. 

La solution la plus commune pour se créer un réseau de machines infectées, est d’envoyer un lien par email par exemple avec une pièce-jointe qui contiendrait du code, ou bien en encourageant les victimes à télécharger un fichier et à l’exécuter sur leurs machines. Une fois que le script est lancé, en général il se cache et il est impossible de l’arrêter. Une fois les commandes passées, en général il se cache dans les processus du système et est donc très difficile à détecter, surtout pour un utilisateur lambda puisque quand le code est inactif, il n’utilise que très peu de ressources système. 

Il existe une autre solution dite “avec des petites roulettes”, ou les pirates ou professionnels de la sécurité se rendent sur des sites qui vont créer, pour eux, directement le script à envoyer pour contrôler à distance l’ordinateur. C’est le cas de BYOB ( Build Your Own Botnet), qui en seulement quelques clics sur une jolie interface, vous pouvez créer un script pour macOS, Windows ou bien en Python pour qu’il puisse être exécuté sur n’importe quel matériel qui peut utiliser Python (oui même votre calculatrice ou votre Smartphone peut faire du Python). Une fois que tout est correctement paramétré, depuis l’interface vous pouvez voir les zombies qui sont en ligne, leurs adresses IP, leur position géographique, la vitesses de transferts ainsi que l’historique des commandes que vous avez passé sur la machine et un accès direct à leur console de programmation.

Comment ça marche ?

Les pirates ont créé leur script ou l’ont acheté, ils ont leur réseau de zombies, et la cible à attaquer, alors comment les machines infectées peuvent pirater à distance, sans que l’utilisateur ne s’en rende compte ? 

Le reverse shell est le nom que porte le fait de pouvoir utiliser la console (ou le terminal) d’une machine à distance, comme si vous étiez directement présent physiquement sur la machine et comme la tâche se déroule en arrière plan on n’y voit que du feu ! 

Et donc ... comment savoir je suis un pirate malgré moi ?

Il est difficile pour un utilisateur lambda de savoir si son ordinateur est infecté, mais il existe quelques points qui doivent tirer la sonnette d’alarme chez vous, voici les principaux :

  1. Votre ordinateur devient un peu plus lent, sans raison apparente. 
  2. Votre ordinateur est moins stable et crashe tout seul.
  3. Vous recevez des messages d’erreur Windows inexplicables.
  4. Vous détectez que des emails que vous n’avez pas écrits ont été envoyés.
  5. L’ordinateur prend plus de temps à s’allumer et s’éteindre qu’à l’accoutumée. 
  6. Vous perdez de l’espace disque sans rien télécharger ou installer. 
  7. Votre navigateur internet se ferme tout seul 
  8. Vos accès aux sites d’antivirus et de sécurité vous sont bloqués. 

Comment "tuer" un zombie ?

Pour tuer un zombie, il n’existe pas de solution miracle puisque les attaques ne sont jamais vraiment les mêmes. 

  • Premièrement il faut s’assurer que son système d’exploitation et son antivirus sont bien à jour.
  • Ensuite il existe des logiciels gratuits pour retirer les rootkits (programme qui cache le virus aux nez et à la barbe des antivirus). 
  • Configurez votre pare feu avec le plus haut niveau de blocage
  • Vérifier les processus qui tournent en arrière plan sur votre ordinateur via le gestionnaire de tâches, et vérifier leur provenance via une recherche Google
  • En dernier recours, il faudra procéder au formatage de l’ordinateur pour retrouver un système sain.