Botnet : quand les pirates prennent le contrôle de votre ordinateur

Un botnet est un réseau créé pour donner des ordres à but malveillant à un groupe d’ordinateurs pouvant atteindre des millions. Il est très difficile de détruire un botnet car plus le réseau de celui-ci (composé d’ordinateurs zombies contaminés) est grand plus il est difficile de stopper la propagation.

Un botnet agit en plusieurs étapes :

1/Création du botnet

2/Envoi du botnet sur des ordinateurs choisis au hasard. Un PC sans anti-virus et sans anti-spam est infecté en 4 minutes. On appelle les ordinateurs infectés des machines zombies car ils sont commandés à distance par le pirate informatique.

3/Lorsque le pirate décide d’activer un logiciel malveillant (spam, malware, etc.) tous les ordinateurs zombies lui obéissent. Un spam met ainsi moins de 10 min à être envoyé sur plusieurs milliers d’ordinateurs.

Est-il possible de stopper les botnets ?

Une société japonaise, Cyber Clean Center (CCC), propose un système anti-botnet qui s’organise comme ci-dessous :

Tout d’abord, l’entreprise est chargée de la détection d’une infection botnet et de la prise d’un échantillon de ce dernier. Grâce à cet échantillon, CCC crée un outil de désinstallation pour le botnet. Puis CCC identifie les utilisateurs infectés et leur envoie un email avec un lien pour utiliser l’outil de désinstallation du botnet.

Lorsque l’ordinateur est infecté par le botnet, ce dernier prend alors le contrôle de l’ordinateur devenu zombie. Il peut alors décider d’activer un logiciel malveillant qui aura différentes répercussions sur l’ordinateur touché.

Liste des principales intentions prêtées à un botnet :

• La diffusion de spam

• L’usurpation d’identité / Ingénierie sociale

• Propagation de malware (virus, vers,…)

• Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

1/La diffusion de Spam

L’agence européenne ENISA (Agence européenne de la sécurité des réseaux et de l’information) a sorti une étude en 2009 selon laquelle 95,6% des messages électroniques ont été identifiés comme étant des spams par les chaînes de filtrage des fournisseurs d’adresses email. Les spams sont particulièrement nombreux. Enno Cramer a identifié en 2010 le contenu des spams et 80% du contenu des spams,  concerne des publicités pour des produits à caractère sexuel, répertorié comme Xpharmacy; viennent ensuite les publicités pour maigrir puis les publicités pour les casinos en ligne.

Comment diminuer le nombre de Spams reçus ?

Signal Spam est un système de recensement des emails considérés comme spam par les utilisateurs grâce à l’intégration d’un bouton Signal Spam sur les clients de messagerie. Ce système permet de repérer les spams non-filtrés par un anti-spam classique et de comprendre leurs fonctionnements pour mieux lutter contre ces derniers.

Ce service sera prochainement disponible sur certaines messageries électroniques en ligne (webmail) comme Alinto …

2/L’usurpation d’identité ou Ingénierie sociale

Ce terme est surtout utilisé pour définir les méthodes des pirates informatiques qui usent de cette méthode d’ingénierie sociale pour obtenir un accès à un système informatique ou simplement pour satisfaire leur curiosité. L’ingénierie sociale ou « social engineering » peut être assimilée à un abus de confiance, à une manipulation de l’utilisateur.

Généralement mis en place par des actions de phishing ou avec de fausses annonces (offres d’emploi, …), l’hameçonnage (ou phishing) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

Comment s’en protéger ?

La meilleure façon de se protéger des techniques d’ingénierie sociale est d’utiliser son bon sens pour ne pas divulguer à n’importe qui des informations pouvant nuire à sa sécurité.

3/Propagation de malware (virus, vers,…)

Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux exemples de malwares les plus connus. En revanche, il en existe beaucoup d’autres. D’après le site ZDnet, 48% des 22 000 ordinateurs scannés seraient infectés par des malwares. Il existe différentes façons d’attraper un malware sur son ordinateur : via internet, via du P2P (partage de fichier), par email, par la navigation sur un site web, par un email avec une redirection vers un site malveillant ou par l’utilisation d’appareil externe (MP3, appareil photo, disque dur externe,…).

La durée de vie d’un malware est généralement courte et le temps de la transformation du malware est, dans la plupart des cas, inférieur à 24h avant que ce dernier ne se transforme en danger pour l’ordinateur visé.

Comment éviter les malwares

La signature numérique est un mécanisme permettant d’authentifier l’auteur d’un document électronique et de garantir son intégrité, par analogie avec la signature manuscrite d’un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes :

• Il doit permettre au lecteur d’un document d’identifier la personne ou l’organisme qui a apposé sa signature.
• Il doit garantir que le document n’a pas été altéré entre l’instant où l’auteur l’a signé et le moment où le lecteur le consulte.

Ce système permet seulement d’éviter au mieux les malwares, mais la signature numérique est payante et peu de gens l’utilisent aujourd’hui.

4/Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

Définition du mot DDOS : “Distributed Denial Of Service“, “déni de service distribué”, utilisation de démons sur différentes machines pour provoquer un déni de service.

Un exemple d’organisation de DDos en Corée sur 4 jours en juillet 2009 :

L’attaque a eu pour but l’infection et la création d’ordinateurs zombies (115 044 cibles) pour contaminer des sites internet (49 sites coréens et américains) en seulement 3 jours.  Le denier jour, les pirates ont détruits tous les disques durs des 115 044 ordinateurs zombies.

Mesures à prendre contre les DDos

Au niveau technique, on souhaite aujourd’hui, accélérer et augmenter la prévention, la détection et la réponse aux DDos. Toutes les données relatives à ce genre d’attaques devraient être mises en commun pour mieux connaître et combattre l’infection. Certaines entreprises pensent que créer des lois de prévention pour les PC zombies serait une bonne idée.

Conclusion

Aujourd’hui, les pirates usent de plus en plus d’ingéniosité et de créativité pour s’introduire dans le système informatique de l’ordinateur. Ce mois-ci par exemple, j’ai reçu un email frauduleux soi-disant de la Caisse d’Epargne (cliquez ici pour voir le mail frauduleux) me demandant de vérifier mes accès et de retaper mes identifiants en cliquant sur le lien intégré dans le mail. Mais en posant le curseur de la souris sur le lien et en le comparant avec l’URL affiché en dessous on voit que celui-ci ne dirige pas vers la caisse d’épargne mais vers un site complètement inconnu.

De ce 8^ème sommet Anti-Spam, il ressort notamment que la prévention, couplée à l’utilisation d’anti-virus et d’anti-spam, est le meilleur moyen de lutter contre les attaques informatiques.

Après Signal Spam en France, Cyber Cleaner Center au Japon, l’Allemagne décide, elle aussi, d’aider les particuliers contre la cybercriminalité avec l’accord des fournisseurs d’accès internet qui enverront un email (ou un courrier) à l’utilisateur lorsque son ordinateur est infecté.

A l’échelle mondiale, l’Europe veut elle aussi mettre en place des moyens de lutter contre la cybercriminalité par la répression avec la mise en place de peine de prison pour les pirates informatiques.

Enfin, une idée intéressante, proposée par un chercheur de Microsoft, consisterait en la mise en place de « certificat de santé » pour les ordinateurs avec une mise en quarantaine comme si les ordinateurs étaient des personnes physiques touchées par une maladie contagieuse.

Les thèmatiques abordées sont les suivantes :

• le spam,
• les sites et logiciels malveillants du web qui naissent un peu plus chaque jour,
• une mise à jour des prévisions pour l’année 2009.

Pour résumer, il en ressort que la menace la plus sérieuse provient des BOTNETS, ces ordinateurs zombies qui sont capables d’envoyer plus de 100 milliards de spams par jour à l’insu de leurs utilisateurs. Ces machines pourraient dépasser le nombre du million !

Pour Mc Afee, une douzaine de million d’adresses IP seraient attaquées par ces PC Zombies depuis Janvier dernier. Soit une augmentation de 50% par rapport à l’année dernière. De quoi faire frémir…
Selon le cabinet Avert Labs de l’éditeur, cette augmentation pourrait s’expliquer par la facilité des spammeurs à diffuser leurs messages et aux capacités d’hébèrgement aujourd’hui peu couteuses. De ce fait, plus de 153 millions de SPAMS sont envoyés chaque jour.

En tête du Box-Office des machines piratées figure les Etats-Unis avec environ 18% du total mondial, la Chine (13%) de BOTNETS, l’Australie avec (6%), l’Allemagne (5,3%) et le Royaume Uni (4,7%). La Russie termine en queue de peloton avec 2,5%.

Selon ce rapport, “le spam portant sur l’amélioration des performances sexuelles pour l’homme, les médicaments délivrés sur ordonnance et la publicité générale continuent d’occuper le haut du classement des types de spam envoyé. Ces trois formes représentent à elles seules environ 60 % du spam envoyé au cours des trois derniers trimestres.”

Beaucoup de SPAMS véhiculent également des logiciels malveillant, en provenance de divers mouvements gouvernementaux ou institutions bancaires. Beaucoup en provenance de Russie, d’ailleurs.
Sans être paranoïaque, restons donc méfiants !

Le rapport complet est disponible ici, si vous souhaitez lire l’intégralité du rapport.

Sources
http://www.silicon.fr/fr/news/2009/05/06/botnets___deja_12_millions_de_nouvelles_adresse_ip_piratees_en_2009

L’augmentation du nombre de PC Zombies, les nouvelles techniques de spam et même la crise financière participeraient à la recrudescence du spam ! Résultat, en entreprise, le spam reviendrait cher : les employés auraient ainsi à trier en tant que tel près de 94% des emails présents chaque jour dans leur boîte.

Mais la riposte s’organise en France : l’association Signal Spam et la CNIL s’associent pour endiguer le fléau. Et il ne s’agit pas que de simples paroles, puisque les actions d’identification des spammeurs, par l’association Signal Spam, pourront se traduire par de réelles procédures judiciaires intentées contre eux par la CNIL.

Evidemment, faute de loi internationale sur le sujet, les plaintes formulées par la CNIL ne pourront toucher que la masse des spammeurs français, qui ne représentent que 5 à 8% des spam générés à l’échelle mondiale, « mais s’y attaquer et parvenir à l’endiguer serait déjà une belle victoire », indique François Bouvier, chef de projet chez Signal Spam.

Concrètement, l’association Signal Spam, fondée en 2005, passe à la vitesse supérieure en proposant à tous les internautes un plug-in à télécharger et à installer pour un client de messagerie local, pour que, d’un simple clic de souris, les spam d’une boîte mail soient directement signaler à l’association. Le plug-in existe en version compatible pour Outlook 2003/2007 et pour Thunderbird 2. Pour les autres types de messagerie (Apple Mail, GMail, Free, …), Signal Spam propose sa méthode classique d’enregistrement de l’utilisateur via un formulaire disponible sur son site, pour qu’ensuite celui-ci renseigne facilement l’association des différents spam qu’il reçoit.

Signal Spam se chargera alors d’identifier les plus gros émetteurs de spam en France pour les signaler à la CNIL. Sont principalement visées les entreprises françaises qui tirent bénéfices des envois massifs de spam, notamment en revendant des bases de données clients, constituées sans le consentement de ces derniers (opt-in).

Une fois connues de la CNIL, l’organisme public envoie des agents contrôleurs vérifier les activités « spammeuses » des entreprises suspectes. Une demi-douzaine de contrôles seraient ainsi effectués chaque mois. En cas d’irrégularités vérifiées, la CNIL lance une procédure visant à avertir les entreprises fautives et à surveiller l’évolution de leur activité en conséquence.

Si aucun changement n’est constaté, la CNIL choisit alors soit de dresser une sanction, pouvant aller jusqu’à 300 000€ d’amende, soit poursuivre en justice les entreprises incriminées, pour des conséquences plus lourdes.

Un message que nos spammeurs nationaux auront certainement écouté avec attention.