Il est possible que le navigateur Web actuellement utilisé n'affiche pas ce site correctement.

TrendSecure fonctionne au mieux lorsqu’il est ouvert avec la dernière version de Microsoft Internet Explorer ou Mozilla Firefox .

Première ligne de défense

Tous sur les réseaux de zombies : Première partie : le comportement des attaques

Les réseaux de zombies représentent probablement la plus grande menace Internet actuellement, et sont bien plus dangereux que les messages de spam, virus et vers. L'objectif des pirates informatiques dans le cadre des attaques sur Internet consistait auparavant uniquement à acquérir une certaine réputation. Aujourd'hui, il s'agit d'organisations criminelles élaborant des attaques visant à générer des profits. D'autre part, les attaques de réseaux de zombies deviennent sans cesse plus puissantes et plus sophistiquées. En conséquence, le nombre d'attaques de réseaux de zombies grandit à vitesse grand V.

Un réseau de zombies désigne un ensemble d'ordinateurs qui, à l'insu de leurs utilisateurs, sont exploités au moyen d'un programme malveillant et sont manipulés via IRC pour transmettre des programmes malveillants comme du spam ou des programmes espions à d'autres ordinateurs connectés à Internet. Ces réseaux d'ordinateurs fonctionnent sous le contrôle d'un seul et même pirate informatique (ou groupe de pirates) qu'on désigne par le terme de « botmaster » (administrateur de réseaux de zombies).

Une fois le réseau de zombies créé par le botmaster, les attaques peuvent se produire de différentes façons : attaques par saturation (attaques par refus de service distribué), subterfuges et envoi de messages de spam, exploitations à distance ou à l'aide d'enregistreurs de frappe ou d'analyseurs de trafic réseau. Les réseaux de zombies peuvent parvenir à rassembler une quantité phénoménale d'ordinateurs pour créer de gigantesques agrégations informatiques. Les attaques sont variées et ciblent toutes sortes de publics. À titre d'exemple, un botmaster peut commander à chacun des ordinateurs infectés (bots) de son réseau de zombies de transmettre des messages de spam, d'usurper des numéros de cartes de crédit (obtenus à l'aide d'enregistreurs de frappe habilement dissimulés) et de lancer en même temps des attaques par saturation sur des milliers d'ordinateurs hôtes. Les réseaux de zombies ne cessent de se multiplier et deviennent toujours plus puissants et sophistiqués. Les pirates élaborent des techniques nouvelles et/ou personnalisées en exploitant les connaissances de leurs prédécesseurs.

Les réseaux de zombies utilisent des techniques de subterfuges et la distribution de messages électroniques malveillants pour infecter de nouveaux ordinateurs. Un réseau de zombies peut par exemple diffuser des messages électroniques véhiculant des programmes malveillants en pièces jointes ou contenant des liens redirigeant l'utilisateur vers des sites frauduleux. Parmi ces techniques de subterfuges, on trouve des lignes d'objet du style « Regardez cette image ! » incitant les utilisateurs à ouvrir une pièce jointe infectée ayant l'apparence d'un fichier .jpg et déclenchant l'exécution de programmes malveillants. Les réseaux de zombies s'étendent en recherchant (et en exploitant activement) des ordinateurs présentant des failles de sécurité connues, telles que des failles de système d'exploitation ou de navigateur Web. De cette manière, de plus en plus d'ordinateurs hôtes sont sélectionnés pour participer au réseau.

L'une des méthodes les plus anciennes utilisées par les réseaux de zombies correspond aux attaques par saturation : un certain nombre d'ordinateurs infectés attaquent une seule et unique cible, entraînant un refus de service pour les utilisateurs du système victime. En raison de la multitude de messages électroniques reçus par le système cible, celui-ci finit par être mis à l'arrêt. Au tout début des réseaux de zombies, les attaques par saturation visaient de grandes entreprises telles que Yahoo! et Microsoft. Des attaques par saturation récentes incluent également l'extorsion de sociétés, mais de façon générale, ce phénomène est de moins en moins fréquent.

Les réseaux de zombies sont couramment utilisés pour diffuser des messages de spam, car les victimes se trouvent dans l'impossibilité d'identifier leur source et d'avoir recours à la justice. De plus, les réseaux de zombies sont capables de diffuser des volumes de spam beaucoup plus importants. Certaines formes de spam sont utilisées pour parvenir à contrôler votre ordinateur, d'autres incitent les utilisateurs à accéder à des sites malveillants à partir desquels des programmes sont installés pour exploiter votre navigateur Internet.

Les réseaux de zombies sont le plus souvent utilisés pour voler des informations confidentielles à l'aide d'enregistreurs de frappe ou d'analyseurs de trafic réseau. Les systèmes d'enregistreurs de frappe permettent de modifier les systèmes d'exploitation d'ordinateurs hôtes, d'espionner, d'effectuer un suivi des activités de l'utilisateur et de déterminer les touches du clavier à utiliser pour saisir des données confidentielles. Les analyseurs de trafic réseau permettent de contrôler le trafic réseau transmis via le sous-réseau correspondant à l'ordinateur zombie. Ces outils permettent d'enregistrer les données confidentielles, de les compiler puis de les transmettre au botmaster, par exemple par l'intermédiaire du canal IRC déterminé d'un réseau de zombies ou dans des messages électroniques envoyés à une adresse e-mail précise.

De façon générale, les botmasters disposent de trois méthodes pour contrôler leurs réseaux : de façon centralisée, par la mise en réseau poste à poste (Peer-to-Peer P2P), ou de manière aléatoire. Le contrôle des opérations de réseaux de zombies est unique et il est peu probable que les méthodes utilisées se diversifient au niveau des attaques de bots et de leurs variantes. La méthode de contrôle des réseaux de zombies utilisée est essentielle à l'efficacité du réseau et représente le maillon faible du fonctionnement des réseaux. Si nous parvenons à faire échouer ce système de contrôle ou à interrompre la communication, les botmasters se trouvent dans l'impossibilité de contacter un grand nombre d'ordinateurs hôtes ou de lancer des attaques coordonnées à grande échelle. C'est pourquoi il est capital pour nous de comprendre le fonctionnement des méthodes de contrôle des réseaux de zombies afin de mieux combattre ce fléau.

Le modèle centralisé est prédominant dans les méthodes utilisées. Dans le cas du modèle centralisé, un botmaster sélectionne un seul et unique hôte disposant d'une connexion Internet à haut débit et le désigne comme point de contact (l'ordinateur devient serveur de contrôle) pour tous les autres bots. Ce serveur de contrôle, qui correspond donc le plus souvent à l'un des ordinateurs victimes, exécute certains services de réseau comme IRC, HTTP, etc. Lorsqu'un nouvel ordinateur est touché par un bot, il intègre le réseau de zombies en établissant une connexion avec le serveur de contrôle. Par la suite, le bot reçoit les ordres du botmaster par l'intermédiaire du serveur de contrôle. Les réseaux de zombies disposent parfois de certains mécanismes pour protéger leurs communications. Par exemple, les canaux IRC peuvent être protégés par des mots de passe dont l'utilisation est limitée aux bots et à leurs administrateurs afin d'éviter tout risque d'écoute électronique.

Certains auteurs de réseaux de zombies ont commencé à élaborer des systèmes de communication alternatifs, qui résistent mieux aux failles du réseau. Le modèle de contrôle basé sur le principe poste à poste est bien plus difficile à repérer et à détruire. Étant donné que le système de communication ne dépend pas fortement d'un groupe restreint de serveurs sélectionnés, l'élimination d'un ou de plusieurs bots ne suffit généralement pas à anéantir le réseau entier. Cependant, les systèmes de poste à poste ont quand même des points faibles. Tout d'abord, ils ne prennent en charge que des conversations de groupes d'utilisateurs restreints, comprenant entre 10 et 50 utilisateurs environ (les réseaux de zombies à contrôle centralisé de « petite » taille comptent environ 1 000 ordinateurs hôtes). Ensuite, ces systèmes ne garantissent pas une diffusion et une propagation rapide des messages, ce qui fait que les réseaux de zombies sont plus difficiles à coordonner que ceux qui utilisent un modèle de contrôle centralisé. Bien que les réseaux de zombies basés sur des systèmes poste à poste soient largement utilisés, cette méthode est peu à peu délaissée en raison de ces deux inconvénients majeurs. Les réseaux de zombies P2P qui persistent sont utilisés par les pirates informatiques pour attaquer un petit nombre d'ordinateurs hôtes. L'intelligence et les connaissances dans ce domaine ne cessant de se développer, on s'attend à voir apparaître une nouvelle génération de réseaux de zombies P2P capables de combler ces lacunes.

Le modèle de contrôle aléatoire1 n'est pas vraiment utilisé dans des scénarios réels, mais cette méthode risque d'aider le concept de réseau de zombies à résister aux techniques de sécurité. Avec le modèle aléatoire, le bot guette les connexions de son botmaster au lieu de le contacter directement ou de contacter d'autres bots. Pour lancer des attaques, un botmaster scanne l'Internet pour découvrir les ordinateurs infectés sous son contrôle. Avec ce modèle de contrôle, les réseaux de zombies sont facilement implémentés et sont difficilement repérables. Cependant, en réalité, ils présentent d'importants problèmes d'évolutivité et ne peuvent pas être utilisés dans le cadre d'attaques coordonnées à large échelle.

Nous vous invitons à lire la deuxième partie, dans laquelle vous découvrirez les mécanismes utilisés pour maîtriser les ordinateurs nouvellement infectés (bots), les protocoles de communication utilisés entre les bots et la manière dont les réseaux de zombies parviennent à éviter les méthodes de détection.

1Evan Cooke, Farnam Jahanian et Danny McPherson, The Zombie Roundup: Understanding, Detecting, and Disrupting Botnets, Proc. of Steps to Reducing Unwanted Traffic on the Internet Workshop (SRUTI '05), Boston, 2005.