Les botnets : la porte de service des réseaux d’entreprise

Les botnets représentent aujourd’hui la menace la plus importante auxquelles les entreprises doivent faire face pour protéger leur réseau. Composés de quelques milliers à plus d’un million de systèmes compromis, les botnets sont utilisés par les cybercriminels pour s’accaparer des ordinateurs et mener des activités illégales telles que le vol de données, l’accès non autorisé à des ressources réseau, le lancement d’attaques de déni de service ou la diffusion de spam.

Par Thierry Karsenti, Directeur technique Europe chez Check Point Software Technologies
Les botnets ne disparaîtront pas de sitôt. Fini les logiciels malveillants statiques… de par leur nature dynamique, les botnets peuvent rapidement prendre une forme différente selon le bon vouloir des cybercriminels. Des kits de création de botnets sont vendus en ligne pour seulement quelques centaines d’euros alors que les attaques coûtent aux entreprises plusieurs millions d’euros ! Cela donne une idée de l’ampleur du problème.

Impact de l’infection des bots

Il est estimé que plus d’un quart de tous les ordinateurs personnels connectés à Internet font partie d’un botnet. En 2011, le botnet TDL a infecté plus de 4,5 millions d’ordinateurs et approximativement 100 000 adresses uniques par jour. En parallèle, près de la moitié des professionnels de la sécurité informatique ont constaté une forte recrudescence des attaques de logiciels malveillants.

Cette explosion est la conséquence de plusieurs éléments clés :

•             Les logiciels malveillants sont devenus un business très rentable

Les cybercriminels ne sont plus de simples amateurs isolés. Ils appartiennent à des groupes bien structurés ressemblant à des organisations terroristes, avec de l’argent, de la motivation et des objectifs. Ils peuvent déployer du temps, des ressources et une intelligence considérable pour mettre en place des botnets pouvant coûter des millions d’euros aux entreprises.

L’information est devenue la mine d’or des pirates.  Toutefois, les données financières ne sont pas les seules informations de valeur qu’ils visent. Nous constatons un intérêt grandissant pour des informations clients générales, et moindre pour des informations bancaires spécifiques dont notamment les numéros de cartes de crédit.  De telles informations sont très lucratives pour les pirates, et leur permettent de personnaliser de futures attaques ou de futures campagnes de spam, et améliorer ainsi leurs chances de succès. Imaginez par exemple un emailing destiné à 500 000 personnes leur proposant d’acheter un produit. Si seulement 1 personne sur 1 000 commande le produit, cela fait déjà 500 nouvelles commandes. Maintenant, imaginez le profit potentiel que peut réaliser un spammeur sur un fichier de 70 millions d’adresses email…

Pour illustrer la puissance incroyable des botnets, l’armée de bots du botnet «Rustock» générait à elle seule jusqu’à 14 milliards de messages de spam par jour avant son démantèlement en mars 2011 par les autorités américaines.

•             Augmentation du nombre de menaces sophistiquées

Les entreprises ont devant elles pléthore de types de logiciels malveillants et de menaces, dont notamment des virus, des vers, des chevaux de Troie, des logiciels espions, des logiciels publicitaires et des botnets, pour n’en citer que quelques uns. Ce sont tous des outils utilisés par les cybercriminels pour attaquer spécifiquement et continuellement des individus et des entreprises. De plus, en raison de leur nature polymorphe, les botnets peuvent imiter le comportement normal des applications et des réseaux, rendant ainsi difficile le travail des solutions de sécurité de type antivirus sur signatures. Les entreprises ont besoin de se doter d’une approche multicouches pour réduire efficacement la menace des botnets.

•             Nombreux vecteurs d’attaque

Il existe de nombreux points d’entrée pour pénétrer les défenses d’une entreprise, dont notamment les vulnérabilités des navigateurs, les téléphones mobiles, les pièces jointes malveillantes et les supports amovibles, pour n’en citer que quelques exemples. L’explosion du nombre d’applications web 2.0 et des réseaux sociaux utilisés comme outils professionnels fournit également aux pirates des armes pour tromper leurs victimes et les inciter à cliquer sur des liens malveillants ou de fausses publicités présentés sur des sites légitimes.

 

Historique des botnets

GMBot, le tout premier botnet, n’avait pas un caractère malveillant. En fait, il a été créé à la fin des années 80 pour émuler un véritable humain durant des sessions de chat sur IRC. C’est vers 1999 que les premiers bots conçus avec des intentions malveillantes émergent. Les bots sont devenus ensuite plus sophistiqués, et dans certains cas, ont même été commercialisés. Le bot Zeus de 2006, était vendu par exemple pour plusieurs milliers d’euros. En mi-2011, le code source des bots Zeus et SpyEye a été rendu public, permettant ainsi à quasiment n’importe qui d’utiliser ces puissants outils pour établir son propre botnet.

Les botnets sont aujourd’hui principalement utilisés comme porte de service pour accéder à votre entreprise. Une fois à l’intérieur, les pirates opèrent en silence et restent cachés pour dérober autant d’information que possible avant que leur présence ne soit détectée.  Malheureusement, certains bots sont si bien cachés que de nombreuses entreprises ne sont  pas conscientes que leurs ordinateurs sont infectés, et les équipes de sécurité manquent souvent de visibilité sur les menaces provoquées par les botnets.

 

Menace future

Dans les prochaines années, les botnets continueront d’évoluer à l’aide de techniques d’ingénierie sociale, exploitation des failles zero-day, ainsi que par la prolifération des ordinateurs mobiles et des réseaux sociaux.

Il semblait jusqu’à présent que la plupart des botnets courants fonctionnaient sur des ordinateurs équipés de Windows, mais ce n’est plus vrai aujourd’hui. Les Mac et les systèmes Linux ne sont plus immunisés. Les nouvelles variantes de botnets sont multi plates-formes, et le marché devrait s’attendre à voir apparaître plus de botnets sur Apple, Android et d’autres plate-formes mobiles. Elles sont capables de communiquer avec des serveurs de contrôle et de commande via les réseaux 3G et Wi-Fi.

Une tendance assez troublante est l’utilisation des réseaux sociaux comme centres de contrôle et de commande.  Les réseaux sociaux et les services web, tels que la messagerie instantanée, sont utilisés pour envoyer des instructions à des programmes malveillants installés sur les réseaux des victimes, et donnent aux pirates la possibilité d’envoyer des commandes chiffrées. Des réseaux sociaux tels que Twitter permettent à des cybercriminels de mettre rapidement en place une présence puis de la refermer aussi rapidement sans avoir à supporter les frais d’exploitation d’un serveur physique.

 

Mise en œuvre de techniques d’ingénierie sociale

Les pirates tirent également parti de techniques de piratage associées à l’ingénierie sociale pour piloter l’activité des botnets. Les réseaux sociaux facilitent l’obtention d’informations personnelles et professionnelles sur des individus, et créent des points d’entrée pour lancer des attaques d’ingénierie sociale, des botnets, et des attaques continues.  Les laboratoires de recherche de Check Point ont démontré que la principale motivation des attaques d’ingénierie sociale sont l’appât du gain (51%), suivie de l’accès à des informations propriétaires (46%), des avantages concurrentiels (40%) et enfin par vengeance (14%), et coûtent aux entreprises entre 20 000 et 75 000 € par incident de sécurité.

Les pirates ont désormais facilement accès aux ressources et aux outils nécessaires au lancement d’attaques via des botnets. C’est un véritable jeu du chat et de la souris, car chaque fois que les signatures des antivirus sont mises à jour, les auteurs de logiciels malveillants créent de nouvelles variantes de leurs outils. Bien heureusement, les autorités, les grandes entreprises et les experts de la sécurité commencent à prendre des mesures efficaces pour stopper les botnets tels que Rustock. La fermeture des serveurs de contrôle et de commande empêche les opérateurs de botnets de contrôler des ordinateurs et empêche les infections de se propager. Des milliers d’entreprises ont déjà été la cible des botnets et d’attaques ciblées ; il est donc également du ressort des entreprises de stopper leur propagation.

Pour obtenir des informations complémentaires sur la menaces des botnets, rendez-vous sur : http://www.checkpoint.com/products/anti-bot-software-blade/anti-bot-software-blade-landing-page.html.