Botnet : quand les pirates prennent le contrôle de votre ordinateur

Un botnet est un réseau créé pour donner des ordres à but malveillant à un groupe d’ordinateurs pouvant atteindre des millions. Il est très difficile de détruire un botnet car plus le réseau de celui-ci (composé d’ordinateurs zombies contaminés) est grand plus il est difficile de stopper la propagation.

Un botnet agit en plusieurs étapes :

1/Création du botnet

2/Envoi du botnet sur des ordinateurs choisis au hasard. Un PC sans anti-virus et sans anti-spam est infecté en 4 minutes. On appelle les ordinateurs infectés des machines zombies car ils sont commandés à distance par le pirate informatique.

3/Lorsque le pirate décide d’activer un logiciel malveillant (spam, malware, etc.) tous les ordinateurs zombies lui obéissent. Un spam met ainsi moins de 10 min à être envoyé sur plusieurs milliers d’ordinateurs.

Est-il possible de stopper les botnets ?

Une société japonaise, Cyber Clean Center (CCC), propose un système anti-botnet qui s’organise comme ci-dessous :

Tout d’abord, l’entreprise est chargée de la détection d’une infection botnet et de la prise d’un échantillon de ce dernier. Grâce à cet échantillon, CCC crée un outil de désinstallation pour le botnet. Puis CCC identifie les utilisateurs infectés et leur envoie un email avec un lien pour utiliser l’outil de désinstallation du botnet.

Lorsque l’ordinateur est infecté par le botnet, ce dernier prend alors le contrôle de l’ordinateur devenu zombie. Il peut alors décider d’activer un logiciel malveillant qui aura différentes répercussions sur l’ordinateur touché.

Liste des principales intentions prêtées à un botnet :

• La diffusion de spam

• L’usurpation d’identité / Ingénierie sociale

• Propagation de malware (virus, vers,…)

• Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

1/La diffusion de Spam

L’agence européenne ENISA (Agence européenne de la sécurité des réseaux et de l’information) a sorti une étude en 2009 selon laquelle 95,6% des messages électroniques ont été identifiés comme étant des spams par les chaînes de filtrage des fournisseurs d’adresses email. Les spams sont particulièrement nombreux. Enno Cramer a identifié en 2010 le contenu des spams et 80% du contenu des spams,  concerne des publicités pour des produits à caractère sexuel, répertorié comme Xpharmacy; viennent ensuite les publicités pour maigrir puis les publicités pour les casinos en ligne.

Comment diminuer le nombre de Spams reçus ?

Signal Spam est un système de recensement des emails considérés comme spam par les utilisateurs grâce à l’intégration d’un bouton Signal Spam sur les clients de messagerie. Ce système permet de repérer les spams non-filtrés par un anti-spam classique et de comprendre leurs fonctionnements pour mieux lutter contre ces derniers.

Ce service sera prochainement disponible sur certaines messageries électroniques en ligne (webmail) comme Alinto …

2/L’usurpation d’identité ou Ingénierie sociale

Ce terme est surtout utilisé pour définir les méthodes des pirates informatiques qui usent de cette méthode d’ingénierie sociale pour obtenir un accès à un système informatique ou simplement pour satisfaire leur curiosité. L’ingénierie sociale ou « social engineering » peut être assimilée à un abus de confiance, à une manipulation de l’utilisateur.

Généralement mis en place par des actions de phishing ou avec de fausses annonces (offres d’emploi, …), l’hameçonnage (ou phishing) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

Comment s’en protéger ?

La meilleure façon de se protéger des techniques d’ingénierie sociale est d’utiliser son bon sens pour ne pas divulguer à n’importe qui des informations pouvant nuire à sa sécurité.

3/Propagation de malware (virus, vers,…)

Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux exemples de malwares les plus connus. En revanche, il en existe beaucoup d’autres. D’après le site ZDnet, 48% des 22 000 ordinateurs scannés seraient infectés par des malwares. Il existe différentes façons d’attraper un malware sur son ordinateur : via internet, via du P2P (partage de fichier), par email, par la navigation sur un site web, par un email avec une redirection vers un site malveillant ou par l’utilisation d’appareil externe (MP3, appareil photo, disque dur externe,…).

La durée de vie d’un malware est généralement courte et le temps de la transformation du malware est, dans la plupart des cas, inférieur à 24h avant que ce dernier ne se transforme en danger pour l’ordinateur visé.

Comment éviter les malwares

La signature numérique est un mécanisme permettant d’authentifier l’auteur d’un document électronique et de garantir son intégrité, par analogie avec la signature manuscrite d’un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes :

• Il doit permettre au lecteur d’un document d’identifier la personne ou l’organisme qui a apposé sa signature.
• Il doit garantir que le document n’a pas été altéré entre l’instant où l’auteur l’a signé et le moment où le lecteur le consulte.

Ce système permet seulement d’éviter au mieux les malwares, mais la signature numérique est payante et peu de gens l’utilisent aujourd’hui.

4/Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

Définition du mot DDOS : “Distributed Denial Of Service“, “déni de service distribué”, utilisation de démons sur différentes machines pour provoquer un déni de service.

Un exemple d’organisation de DDos en Corée sur 4 jours en juillet 2009 :

L’attaque a eu pour but l’infection et la création d’ordinateurs zombies (115 044 cibles) pour contaminer des sites internet (49 sites coréens et américains) en seulement 3 jours.  Le denier jour, les pirates ont détruits tous les disques durs des 115 044 ordinateurs zombies.

Mesures à prendre contre les DDos

Au niveau technique, on souhaite aujourd’hui, accélérer et augmenter la prévention, la détection et la réponse aux DDos. Toutes les données relatives à ce genre d’attaques devraient être mises en commun pour mieux connaître et combattre l’infection. Certaines entreprises pensent que créer des lois de prévention pour les PC zombies serait une bonne idée.

Conclusion

Aujourd’hui, les pirates usent de plus en plus d’ingéniosité et de créativité pour s’introduire dans le système informatique de l’ordinateur. Ce mois-ci par exemple, j’ai reçu un email frauduleux soi-disant de la Caisse d’Epargne (cliquez ici pour voir le mail frauduleux) me demandant de vérifier mes accès et de retaper mes identifiants en cliquant sur le lien intégré dans le mail. Mais en posant le curseur de la souris sur le lien et en le comparant avec l’URL affiché en dessous on voit que celui-ci ne dirige pas vers la caisse d’épargne mais vers un site complètement inconnu.

De ce 8^ème sommet Anti-Spam, il ressort notamment que la prévention, couplée à l’utilisation d’anti-virus et d’anti-spam, est le meilleur moyen de lutter contre les attaques informatiques.

Après Signal Spam en France, Cyber Cleaner Center au Japon, l’Allemagne décide, elle aussi, d’aider les particuliers contre la cybercriminalité avec l’accord des fournisseurs d’accès internet qui enverront un email (ou un courrier) à l’utilisateur lorsque son ordinateur est infecté.

A l’échelle mondiale, l’Europe veut elle aussi mettre en place des moyens de lutter contre la cybercriminalité par la répression avec la mise en place de peine de prison pour les pirates informatiques.

Enfin, une idée intéressante, proposée par un chercheur de Microsoft, consisterait en la mise en place de « certificat de santé » pour les ordinateurs avec une mise en quarantaine comme si les ordinateurs étaient des personnes physiques touchées par une maladie contagieuse.

Les thèmatiques abordées sont les suivantes :

• le spam,
• les sites et logiciels malveillants du web qui naissent un peu plus chaque jour,
• une mise à jour des prévisions pour l’année 2009.

Pour résumer, il en ressort que la menace la plus sérieuse provient des BOTNETS, ces ordinateurs zombies qui sont capables d’envoyer plus de 100 milliards de spams par jour à l’insu de leurs utilisateurs. Ces machines pourraient dépasser le nombre du million !

Pour Mc Afee, une douzaine de million d’adresses IP seraient attaquées par ces PC Zombies depuis Janvier dernier. Soit une augmentation de 50% par rapport à l’année dernière. De quoi faire frémir…
Selon le cabinet Avert Labs de l’éditeur, cette augmentation pourrait s’expliquer par la facilité des spammeurs à diffuser leurs messages et aux capacités d’hébèrgement aujourd’hui peu couteuses. De ce fait, plus de 153 millions de SPAMS sont envoyés chaque jour.

En tête du Box-Office des machines piratées figure les Etats-Unis avec environ 18% du total mondial, la Chine (13%) de BOTNETS, l’Australie avec (6%), l’Allemagne (5,3%) et le Royaume Uni (4,7%). La Russie termine en queue de peloton avec 2,5%.

Selon ce rapport, “le spam portant sur l’amélioration des performances sexuelles pour l’homme, les médicaments délivrés sur ordonnance et la publicité générale continuent d’occuper le haut du classement des types de spam envoyé. Ces trois formes représentent à elles seules environ 60 % du spam envoyé au cours des trois derniers trimestres.”

Beaucoup de SPAMS véhiculent également des logiciels malveillant, en provenance de divers mouvements gouvernementaux ou institutions bancaires. Beaucoup en provenance de Russie, d’ailleurs.
Sans être paranoïaque, restons donc méfiants !

Le rapport complet est disponible ici, si vous souhaitez lire l’intégralité du rapport.

Sources
http://www.silicon.fr/fr/news/2009/05/06/botnets___deja_12_millions_de_nouvelles_adresse_ip_piratees_en_2009

A partir du 15 novembre, les messages indésirables qui arriveront sur votre téléphone mobile (comme les SMS publicitaires vous enjoignant à récupérer un cadeau, à la condition d’appeler un numéro surtaxé), pourront être signalés et transférés à un organisme d’Etat, en composant simplement le 33 700. Lequel organisme se chargera d’alerter l’opérateur depuis lequel les spam mobile auront été émis. L’opérateur en question aura alors l’opportunité d’appliquer des sanctions, pouvant aller, en extrême cas, à la suppression du numéro surtaxé.

Une bonne initiative qui semble arriver au moment opportun. En effet, des menaces d’importance sont attendus sur les terminaux mobiles, et plus particulièrement sur les SmartPhone, qui se rapprochent beaucoup d’ordinateurs de poche. De plus en plus d’experts craignent que les SmartPhone ne fassent l’objet d’attaques de robots pour devenir des « mobiles zombies ». La création d’un botnet sur PC n’a jamais été aussi simple qu’aujourd’hui et, cependant, leur détection reste une tâche des plus ardues.

Techniquement, tous les éléments sont déjà réunis pour qu’une telle chose voit le jour. Des millions de mobiles intégreraient des botnets et se transformeraient alors en plateforme de relai du spam mobile. Or, à l’heure actuelle, il n’existe aucune protection valable contre ce genre d’attaques sur les téléphones mobiles ; y compris sur les plus avancés d’entre eux, les SmartPhone.

En fait, la conception même de telles applications de sécurité sur les mobiles, pose un véritable défi technique aux ingénieurs, car de telles applications, tournant en permanence en tâche de fond, amoindriraient grandement l’autonomie des terminaux mobiles.

Pourtant, il faudra bien qu’une solution soit trouvée, car l’émergence de ce type d’attaques a toute les chances de se produire. Des entreprises spécialisées dans la sécurité informatique l’envisagent déjà pour l’année 2009. Nul doute que, dans ces conditions, la mise en place du 33 700 est un premier pas de bon augure.

Suite à la déconnexion du réseau de l’hébergeur McColo Corp par ses fournisseurs mardi 11 novembre 2008, la propagation de spams aurait diminué de 66 à 75 % selon les sources. La raison de cette interruption soudaine de service ?

Les fournisseurs de l’hébergeur dont fait partie Hurricane Electric, ont réagi suite au rapport de Brian Kerb, journaliste au Washington Post, dénonçant les dérives de McColo Corp. Selon les différentes enquêtes du journaliste, la société californienne hébergerait les machines permettant la diffusion de botnets et e-mails litigieux. La répercussion des fournisseurs suite à la connaissance de ce rapport a été instantanée. En moins d’une heure, McColo Corp s’est retrouvé hors réseau.

Mais ce répit pour nos “boîtes de réception” ne saurait être que de courte durée, car il ne fait aucun doute  que les spammers sont réactifs et que la quantité de spams va très vite revenir à la “normale”.

Ainsi, le spam est souvent décrié et peut-être à tort…. En effet, des chercheurs de deux universités américaines (Berkeley et San Diego) se sont intéressés au retour sur investissement de l’envoi de spams (consulter l’étude). Sur 350 millions de courriels expédiés en 26 jours, 28 ventes ont pu être concrétisées avec une dépense moyenne de 100 dollars. Si le taux de transformation n’est que de 0,00001 %, il faut avouer que le spam présente l’énorme avantage d’être très rentable. La diffusion en masse de ces messages engendre un potentiel de clients finaux non-négligeable, ce sujet est développé plus en détails sur Demain le Mail dans l’article du 09 septembre 2008.

Ce groupement de surveillance, composé de professionnels de l’informatique et de la sécurité des données, publie en effet sur son site des graphiques, mis à jour régulièrement, et référençant des données collectées sur l’activité réseau de malwares, virus, attaques DDoS, et autres botnets.

C’est à la lecture d’un des graphiques de la fondation, que John Bambenek a rapporté sur son blog la croissance par 4 du nombre de machines infectées par des bots, en seulement 3 mois !

Progression de nombre de bots référencés depuis 90 jours

Une augmentation inquiétante qui, selon lui, coïnciderait avec celle des attaques par injection de commandes SQL, en nette recrudescence sur les serveurs Web depuis quelques temps. Ce type d’attaque permet à un pirate de récupérer la base de données des utilisateurs référencés par un site Web, pour ensuite faire de ces derniers les proies de son logiciel robot.

Si John Bambenek, avec ses collègues de l’Institut SANS, s’estiment assez bons dans la détection des attaques réseau et des infections par email, ce dernier reconnaît qu’il leur reste encore beaucoup de travail pour détecter de pures attaques de serveurs Web. Philosophe, John conclue ainsi : « C’est l’un des inconvénients de travailler de façon réactive. Nous sommes derrière la courbe de progression pendant un certain temps, jusqu’à ce que nous trouvions quelque chose qui nous ramène à une certaine parité. »

On découvre ainsi que la diffusion de spam image a considérablement diminué par rapport à ce qu’elle était il y a 2 ans. Si la proportion de spam image flirtait allègrement avec les 60% en 2006, parmi les échanges de courriers électroniques, celle-ci n’est plus que de 3% à la fin du semestre 2008 ! Une chute spectaculaire de la diffusion de ce type de spam au profit des spam texte qui, durant la même période, sont passés de 20 à 70% des mails échangés sur Internet.

Si le spam ne représente que le neuvième moyen de diffusion des malwares dans le top 10 de BitDefender (les malwares se répandant surtout par les failles de sécurité logicielle et les téléchargements illégaux), les laboratoires de recherche de l’éditeur estiment tout de même que le spam occupera une place importante, dans leurs prévisions d’évolution des menaces électroniques, pour la fin de l’année 2008.

Dans ce nouveau top 10 prédictif des menaces 2008, BitDefender prévoit, en deuxième position, une nouvelle avalanche de spam s’appuyant sur de toutes nouvelles méthodes de diffusion et sur l’utilisation de grands événements médiatiques (comme les prochaines élections présidentielles américaines). Le spam revient ensuite en quatrième position des menaces les plus importantes, avec la diffusion du spam mobile, pour lequel les SmartPhone seront particulièrement visés du fait de leur technique de Push Mail (comme le prédit également Secure Computing).

L’ombre du spam est encore présente, en sixième position, avec l’ascension des botnets. Si les chercheurs de BitDefender en jugent par les dégâts causés par le Troyen Storm, l’arrivée d’un nouveau cheval de Troie du nom de Zlob devrait participer à la prochaine et conséquente augmentation des envois de spam.

Si le nombre de sondés peut paraître faible pour obtenir des résultats probants, il n’en reste pas moins que les réponses des utilisateurs étaient volontaires et que la proportion qui en résulte peut être comparée à celle établit en 2004 par l’institut Forrester Research, qui comptabilisait déjà 20% de personnes répondant favorablement aux spam qu’ils recevaient.

Par ailleurs, une hausse de cette proportion serait somme toute plausible, compte tenu de l’augmentation importante qu’ont connu les envois de spam au niveau mondial depuis 2004.

« Le sondage met en lumière une vérité qui dérange », déclare ainsi Bradley Anstis, Vice-Président du département Produits de Marshal. « Nombre d’entre nous se pose souvent cette question : pourquoi y a-t-il autant de spam ? La réponse est simplement que beaucoup de personnes achètent les produits vantés par le spam, ce qui rend donc utiles et profitables les efforts des spammeurs. »”

Le sondage révèle également qu’en moyenne, parmi les sondés ayant admis avoir effectué des achats, chacun aurait réalisé plus de deux achats différents via le spam. Selon Marshal, ceci prouverait que ces personnes prennent pour habitude le fait d’acheter des produits selon les spams qu’elles reçoivent.

Outre ces résultats, Marshal souligne que, si le spam parvient à proliférer aussi facilement, c’est également en grande partie dû aux économies d’échelle sur les moyens d’exploitation, que les spammeurs se permettent de réduire avec les fameux botnets. D’après des données retransmises par le FBI, les détenteurs de botnets feraient payer l’envoi du million de messages entre 5 et 10$ ! Les possesseurs des botnets les plus grands parviendraient ainsi à gagner jusqu’à 150 000$ par jour.

Pour autant, les analyses hebdomadaires réalisées par la société Marshal établissent que seulement 4 bots se partageraient 85% des envois de spam.

Graphique de répartition des différents bots selon le nombre de spam émis
durant la semaine du 25 au 31août 2008

Après 4 ans d’envois de spam aux clients d’AOL, et alors même qu’il plaidait coupable, le jeune américain de 24 ans, Michael Dolan, s’est vu infligé la peine maximale par le tribunal du Connecticut, soit sept années d’emprisonnement, dont trois ans ferme. L’argument de la santé mentale fragile de Michael Dolan, plaidé par son avocat, n’a donc pas retenu l’attention des juges qui ont rendu le verdict le plus sévère attribué à un spammeur. Une condamnation très certainement faite pour l’exemple, étant donné les dommages causés par Michael Dolan : 400 000$, escroqués à 250 personnes, ce qui représente relativement peu de choses par rapport au « marché » du spam.

Mais les Etats-Unis continuent de déployer leurs moyens face aux spammeurs. Récemment encore, c’est un jeune homme de 19 ans qui a été arrêté au Pays-Bas, avant qu’il ne puisse vendre les données de son botnet à un Brésilien de 35ans (le Brésil étant le quatrième pays pourvoyeur de spams au monde). Cette arrestation a été rendue possible grâce à la coordination des informations de la cyber-police Hollandaise, du FBI et de l’éditeur d’antivirus Kaspersky, qui a repéré le logiciel malveillant sur 150 000 machines. Le bot se répandait en utilisant les contacts du logiciel de Messagerie Instantanée Windows Live Messenger.

Alors que les solutions anti-spam n’étaient souvent proposées qu’en option il y a quelques années, elles font aujourd’hui de plus en plus parties intégrantes des services ou logiciels de messagerie. Pour autant, leur action reste pratiquement toujours concentrée sur le filtrage des emails entrants dans les boîtes électroniques.

Or, avec l’évolution des moyens et des réseaux haut débit, les spammeurs ne s’occupent pratiquement plus de la tâche de diffusion des spams et laisse cette dernière aux machines victimes des botnets. Des utilisateurs génèrent ainsi sans le savoir, depuis leurs propres machines, des spams en direction des contacts de leur carnet d’adresses ou vers d’autres adresses emails, listées et transmises par les serveurs du botnet.

Un filtrage des mails sortants permettrait une diminution de l’efficacité des botnets ; ce qui est loin d’être anodin lorsqu’on sait que 43% des bots mondiaux auraient choisi l’Europe comme zone de prédilection de leur activité.

Les détenteurs de botnets « revendent » souvent leurs bases de machines infectées à des entreprises peu scrupuleuses ou des sociétés écrans, qui souhaitent augmenter le nombre de leurs clients. C’est ainsi que les botnets ont souvent pour fonction la diffusion massive de spam. Ainsi, les créateurs de botnets se couvrent à la fois des coûts matériels informatiques normalement nécessaires à la tâche et, en même temps, des investigations judiciaires menées à leur encontre en faisant émettre le spam, non pas par leurs propres machines, mais par celles des utilisateurs infectés par le bot et constituant le botnet.