Le système d’information est un ensemble de ressources qui permet de collecter, stocker, traiter et distribuer des informations. Ces systèmes d’information sont disponibles dans le cyberespace et les espaces non-droit.
Aujourd’hui, plusieurs objets sont connectés aux systèmes d’information. Ils sont présents pour collecter, pour stocker, pour traiter, et pour distribuer.
La liste de ces objets sont de plus en plus nombreux :
Les ordinateurs,
Les serveurs,
Les tablettes,
Les smartphones,
Les caméras de surveillances,
Les voitures connectées, etc…
Tous ces objets sont vulnérables lorsqu’ils sont connectés à l’internet. Le cyberespace est un endroit à haut risques.
Dans certains pays, l’utilisation de cyberespace est réglementée. Comme, stocker ou/et transiter les données chiffrées non autoriser ou certains pays vont même créer un réseau complètement fermé, c’est la volonté de contrôler le système d’information. D’autres, disposent même techniquement la capacité de bloquer ou de censurer tout ou une partie d’internet.
2. Réglementation Française sur le système d’information
En France dispose également de réglementation. Elle a créé plusieurs entités nationales pour encadrer le système d’information et pour défendre contre les cyberattaques. Je vais vous décrire quelques entités nationales pour prendre connaissance de leurs principaux activités.
2.1. Commission National de l’Informatique et des Libertés (CNIL)
Le CNIL a été créé par la loi informatique et liberté du 6 janvier 1978. Elle est chargée de veiller à la protection des données personnelles contenues dans les fichiers et traitements informatiques ou papiers, aussi bien publics que privés.
2.2. La loi Godfrain du 5 janvier 1988
Loi no 88-19 du 5 janvier 1988 relative à la fraude informatique, est la première loi française réprimant les actes de criminalité informatique et de piratage.
2.3. La loi pour la confiance dans l’économie numérique
Le décret no 2004-575 du 21 juin 2004, abrégée sous le sigle LCEN, est une loi française sur le droit de l’Internet, transposant la directive européenne 2000/31/CE du 8 juin 2000 sur le commerce électronique et certaines dispositions de la directive du 12 juillet 2002 sur la protection de la vie privée dans le secteur des communications électroniques. La transposition de la directive 2000/31 aurait dû être effective le 17 janvier 2002 mais ne l’aura été que le 21 juin 2004.
2.4. Network and Information Security (NIS)
Améliorer la capacité de cybersécurité des états membres.
Améliorer la coopération entre les états et les secteurs publics et privés.
Exiger les entreprises des secteurs critiques : Energie, Transport, Finances et la Santé ainsi que les services internet clés adoptent les pratiques de gestions des risques et communiquent les accidents majeurs aux autorités nationales.
La directive est structurée autour de 4 axes :
Le renforcement des capacités nationales de cybersécurité. Les états membres doivent notamment se doter d’autorité nationale compétentes en matière de cybersécurité, l’équipe nationale de réponse aux incidents informatiques (CSIRT) et de stratégie nationale de sécurité. Pour la France : ANSSI et CERT-FR.
Etablissement d’un cadre de coopération volontaire entre les états membres de l’UE. Création de groupe coopération des états membres sur l’aspect politique et cybersécurité ainsi qu’un réseau européen des CSIRT des états membres.
Renforcement par chacun des états de la cybersécurité de services essentiels.
L’obligation pour les opérateurs de notifier les incidents ayant un impact sur la continuité de leurs services essentiels.
2.5. Le règlement général sur la protection des données (RGPD)
Il responsabilise les organismes publics et privés qui traitent leurs données. La réforme de la protection des données a pour 3 objectifs :
Renforcer les droits des personnes, notamment sur la création d’un droit à la portabilité des données personnelles et des expositions propres aux personnes mineurs.
Responsabiliser les acteurs qui traitent les données.
Crédibiliser la régulation grâce à une coopération renforcer entre les entités de protections des données qui pourront notamment adopter des décisions communes lorsque les traitements de données seront transnationaux et renforcer les sanctions.
3. Législation internationale sur le système d’information
ICANN, est une organisation à but non lucratif et reconnue d’utilité publique rassemblant des participants du monde entier qui œuvrent à la préservation de la sécurité, la stabilité et l’interopérabilité de l’Internet.
L’entrée en application de la LPM implique nécessairement un investissement conséquent de la part des OIV, ne serait-ce que pour décliner la notion de SIIV (Système d’information d’importance vitale), mettre en conformité leurs Systèmes d’Information à chacune des règles et aligner leurs processus et corpus documentaire sur les exigences imposées par la LPM.
L’ANSSI estime à 3 ans la durée nécessaire aux OIV pour assurer un déploiement global des mesures de cybersécurité de la LPM.
2. Par où commencer ?
Pour une mise en conformité efficace, il convient de commencer par dresser la liste des SIIV, réaliser la cartographie des SIIV et recenser les écarts en matière de protection des systèmes d’information.
Ci-dessous une liste précise des différentes étapes du processus d’homologation :
Stratégie d’homologation et mise en place d’une architecture robuste :
Identifier les Systèmes d’information d’importance vitale de l’opérateur ;
(SIIV) à homologuer et le justifier ;
Identifier les acteurs de l’homologation et leur rôle ;
Instruire le contenu du dossier d’homologation et définir le planning ;
Mettre en conformité les systèmes d’information avec la LPM (gestion des incidents de sécurité et protection des systèmes des systèmes d’information) ;
Maîtrise des risques :
Effectuer une analyse des risques pesant sur les SIIV ;
Mesurer l’écart entre les objectifs de sécurité et la réalité (audit PASSI) ;
Mise en place du plan d’actions nécessaires à la réduction des risques ;
Identifier les risques résiduels ;
Décision d’homologation
3. Les 20 règles de la LPM
Les arrêtés de la loi de programmation militaire prévoient un délai variant de 3 mois à 2 ans pour mettre en place les mesures de mise en conformité des SIIV. Ces mesures sont listées dans la loi, au nombre de 20, et regroupées en fonction des thématiques de mise en conformité présentées ci-dessous :
3.1. Le coût
Les SIIV représentent en moyenne 3% des SI des OIV, ainsi les budgets nécessaires à leur mise en conformité sont encore difficiles à déterminer.
Selon l’enquête, la taille des SI dont le budget nécessaire peut aller de 5 à 45 millions d’euros.
Toutefois, ces budgets peuvent être largement minorés lorsque le niveau de maturité de l’opérateur en matière de cybersécurité est déjà élevé.
3.2. Les acteurs
De par ses relations privilégiées avec l’ANSSI et son rôle au sein de son entreprise, le RSSI (responsable de la sécurité des systèmes d’information) est l’acteur légitime pour piloter et animer la mise en conformité.
Ainsi, le RSSI est le chef d’orchestre qui mobilise les différents acteurs, de la généralisation des principes de sécurité à la planification des différents chantiers de mise en conformité.
Les RSSI sont les premiers interlocuteurs de l’ANSSI, mais aussi la direction, les responsables de la sécurité, les équipes conformité, les métiers, la DSI, et les achats.
3.3. Le contenu du dossier d’homologation
PSSI (politique de sécurité des systèmes d’information)
Stratégie d’homologation
Procédure d’homologation
Rapport d’analyse de risque
Rapport de l’audit PASSI (audit de configuration, architecture, organisationnel et physique)
Plan d’actions réduisant les risques
Liste des risques résiduels
Cartographie des SIIV
Avis commission d’homologation
Décision d’homologation
3.4. Le cycle d’homologation
Ce cycle d’homologation est à renouveler tous les 3 ans.
Si le SIIV est déjà en production, c’est une rétro homologation.
Si le SIIV est nouveau, l’homologation permettra la mise en production.
Si un SIIV connait un changement majeur, cela peut impliquer un réexamen du dossier d’homologation pouvant conduire à une nouvelle décision d’homologation ou à un retrait de la décision d’homologation. Il est donc recommandé que la commission d’homologation soit réunie une fois par an par l’autorité d’homologation pour vérifier le respect des conditions d’homologation.
4. Conclusion
Ces 20 règles qui sont une contrainte réglementaire permettant aux OIV d’améliorer leur niveau de sécurité de leur SI en matière de processus, d’organisation humaine, d’analyse des risques et de sécurisation technique.
Cela permet de réduire grandement le risque de piratage des systèmes d’information d’importance vitale des opérateurs, de sensibiliser les équipes informatiques et de se préparer.
La sécurité informatique a un coût, mais également un bénéfice : le vol d’informations stratégiques, le sabotage d’une infrastructure ou l’indisponibilité d’un système vital peuvent engendrer des impacts négatifs bien supérieures au coût de la cybersécurité que ce soit en matière de coût financier, organisationnel, juridique, réglementaire ou de déficit de réputation et d’image.
Ce qui peut occasionner un coût global pour un opérateur d’importance vitale de plusieurs centaines de millions d’euros.
Dans une stratégie de réduction des risques, il s’agit donc plus d’une opportunité qu’une contrainte.
Les objets connectés désignent la connexion de ces objets au réseau internet. Ces objets sont connectés soit directement par WiFi utilisant le protocole TCP/IP ou par intermédiaire du smartphone ou via le Bluetooth ou grâce à un protocole de communication qui leur sont propres, et qui permettraient aux objets entre eux (Z-Wave, Zigbee).
Ces dispositifs englobe n’importe quel objet captant et échangeant des données (Smartphone, GPS, Capteur divers, Camera IP & Webcam, Téléviseur, Réfrigérateur, Montre, Enregistreur Vidéo Numérique, Routeur, Voiture, Pacemaker, ne sont que quelques exemples).
C’est ce type d’objets 2.0 que nous appelons objets connectés.
Les objets connectés offrent aux entreprises à la fois un nouveau type de business model, comme une aide à la gestion. Ils produisent de grandes quantités de données dont le stockage et le traitement entrent dans le cadre de ce que l’on appelle les big data.
2.2. L’écosystème IoT se décline en 3 catégories
Léger :
Dispositif physique simple, typiquement un capteur, qui a peu de fonctions.
Protocole de réseau local à court ou à long terme pour la connectivité.
Système d’exploitation minimal ou non.
Complexe (connecté à un Back End) :
Connecté à un serveur de back-end sur une liaison de communication longue distance.
Peut effectuer des opérations cryptographiques symétriques ou asymétriques.
Passerelle :
Petit périphérique, généralement connecté à l’alimentation secteur, qui gère la communication entre les points d’extrémité légers et le back-end.
Les objets pouvant interagir avec leur environnement à travers le cloud et dont les fonctionnalités sont enrichies par un applicatif ou un capteur offrent un panorama d’usages multiples (avec en tête celui de la domotique et de la maison connectée).
En logistique, il peut s’agir de capteurs qui servent à la traçabilité des biens pour la gestion des stocks et les acheminements.
Dans le domaine de l’environnement, il est question de capteurs surveillant la qualité de l’air, la température, le niveau sonore, l’état d’un bâtiment, etc.
En domotique, l’IdO recouvre tous les appareils électroménagers communicants, les capteurs (thermostat, détecteurs de fumée, de présence…), les compteurs intelligents (Linky) et systèmes de sécurité connectés des appareils de type box domotique.
Le phénomène IdO est également très visible dans le domaine de la santé et du bien-être avec le développement des montres connectées, des bracelets connectés et d’autres capteurs surveillant des constantes vitales.
Selon diverses projections, le nombre d’objets connectés devrait largement augmenter au fil des ans, avec une prévision de 34 milliards d’objet d’ici 2020.
Les entreprises font ainsi état d’un large champ d’applications, allant de l’amélioration de process en interne au développement de nouvelles manières de se déplacer.
Les applications liées à l’émergence d’un « client connecté » arrivent ainsi dans le top 3 des priorités des entreprises. Pour celles-ci, 17% utilisent l’IoT dans une optique d’auto-diagnostique, et un peu plus de 15% pour suivre et gérer leurs actifs.
Trois autres types d’applications arrivent en tête des priorités de certaines entreprises :
Le développement d’applications de santé.
Le contrôle de leur supply chain.
Ainsi qu’une transition vers une smart factory (ou Industry 4.0, nom donné à la tendance actuelle de l’automatisation et de l’échange de données dans les technologies de fabrication).
On peut facilement dire que ces petits objets technologiques ont bouleversé notre manière de vivre aujourd’hui. Alors si ceux-ci paraissent alléchants et pratiques, ils suscitent certaines questions éthiques de l’ordre de la préservation de la vie privé.
Les données, désignent toutes les informations que récupèrent les objets connectés que vous utilisez. Par exemple, des informations médicales, vos goûts musicaux en passant par vos données bancaires, les données deviennent votre identité numérique. Celles-ci voyagent dans le monde entier entre les serveurs des marques des objets connectés et votre maison, smartphone ou ordinateur de bureau.
Régulièrement, reviennent dans les actualités des scandales de piratages de données, et de demandes de rançons contre la restitution de données dans le domaine médical surtout. Ce sont là des questions sensibles mais essentielles à garder en tête en ce qui concerne l’Internet des objets.
En Juillet 2015, piratage d’une Jeep Cherokee alors qu’elle roulait. Les chercheurs ont réussi à prendre le contrôle du véhicule incluant la possibilité d’activer ou désactiver les essuies-glaces, suivre le GPS et arrêter le moteur.
En Septembre 2016, le site internet https://krebsonsecurity.com, hébergé par l’entreprise Akamai, a subi une attaque de déni de service distribué (DDoS).
Selon Akamai, cette attaque a constitué (jusqu’alors) l’une des plus importantes attaques qu’Internet n’ait jamais connue. En effet, il s’agit ici de plus de 620 Gbps de trafic réseau ciblant le site internet.
La distribution de l’attaque par nombre de devices/emplacement sur une carte :
Une attaque de grande ampleur a eu lieu vendredi 21 octobre 2016, mettant hors service pendant quelques heures plusieurs grands sites Internet comme amazon, Netflix, Twitter, Reddit, Spotify ou Tumblr.
Ces sites n’étaient pas directement sous le coup d’une attaque, ils ont été les victimes collatérales d’une attaque contre Dyn, une entreprise dont les services font d’elle une infrastructure critique d’Internet : Dyn gère un service DNS (système de noms de domaine), qui permet de corréler un nom de domaine en une adresse IP et vice versa.
UNE ATTAQUE BASIQUE MAIS SURPUISSANTE GRÂCE AUX OBJETS CONNECTÉS.
Ce qui est notable ici, c’est qu’il ne s’agissait pas d’une attaque sophistiquée, soigneusement mise en œuvre par un groupe d’experts.
Non, il s’agissait d’une attaque par déni de service distribué (DDoS), autrement dit une attaque ayant pour but de rendre un service indisponible en le noyant d’informations inutiles s’appuyant principalement sur le botnet Mirai, qu’a identifié le cabinet d’analyse Flashpoint.
4.1. Mirai, Comment ça marche ?
Mirai s’attaque aux objets connectés, son fonctionnement est simple. Il parcourt internet en cherchant à se connecter à toutes les adresses telnet qu’il trouve avec une liste de logins/mots de passe par défaut (dont le classique admin/admin).
Une fois l’appareil infecté, Mirai bloque certains ports pour empêcher qu’on en reprenne le contrôle. Le malware est basique, rapide, efficace, et surtout disponible gratuitement pour quiconque souhaite s’amuser avec, car son créateur en a rendu le code public. De plus, contrairement aux ordinateurs, un botnet d’objets connectés n’a aucune utilité réelle autre qu’effectuer des attaques par déni de service.
Le fait que les objets connectés ont tendance à être allumés 24h/24 et 7j/7 facile aussi son usage.
Le résultat est une arme dont la puissance est absolument démesurée par rapport à son accessibilité.
En septembre 2016, le blog du journaliste spécialisé Brian Krebs avait été frappé par une attaque record atteignant un débit de 620 Gb/s. Une semaine plus tard, c’est l’hébergeur français OVH qui avait été visé, avec une puissance de frappe estimée à 1,5 Tb/s. L’attaque contre Dyn, survenue un mois plus tard, semble être à nouveau montée d’un cran. Quels sont les objets connectés utilisés par Mirai ?
On y trouve beaucoup de caméras de surveillance et d’enregistreurs numériques (DVR), principalement fabriquées par une seule entreprise : Hangzhou XiongMai Technology. A noter que d’autres botnets pourraient également avoir participé à l’attaque. On connaît l’existence d’au moins un autre malware au fonctionnement similaire à Mirai, baptisé Bashlight.
Le problème est que ces appareils sont pratiquement impossibles à protéger en l’état. Pour une partie d’entre eux, les identifiants sont codés « en dur » dans le firmware et ne sont pas modifiables. Et même pour les autres, le fait qu’ils utilisent le protocole telnet (en ligne de commande, sans interface graphique) les rend difficile à configurer pour les utilisateurs.
D’après une analyse de Flashpoint, plus de 515 000 objets connectés seraient aujourd’hui vulnérables et susceptibles d’être incorporés dans un botnet. Certains experts ont proposé des solutions radicales, notamment de développer un malware plus rapide que Mirai, capable d’infecter un objet connecté vulnérable avant lui lors d’un redémarrage de ce dernier, et de le saboter pour le mettre définitivement hors service. Une mesure aussi drastique qu’illégale, mais qui souligne à quel point la situation désempare l’industrie.
Il y a eu beaucoup de mises en garde face au danger que représente l’Internet des Objets, mais, comme souvent, celles-ci n’ont servi à rien. Puisqu’il est clair que l’essor des objets connectés n’est pas prêt de s’arrêter, il est impératif que les acteurs majeurs de cette industrie mettent en place des normes et des bonnes pratiques au plus tôt, faute de quoi l’Internet des Objets continuera à scléroser l’Internet tout court, et ce de plus en plus souvent.
5.1. IoTroop
Selon Check Point, un nouveau malware a infecté des millions d’objets connectés. Un puissant botnet dont les attaques pourraient se montrer dévastatrices.
Check Point déclare avoir découvert un nouveau botnet massif au côté duquel Mirai ferait figure de hors-d’œuvre. Un botnet massif est en train de préparer une cyber-tempête qui pourrait faire tomber l’Internet Baptisé « IoTroop », le malware a été détecté fin septembre et aurait déjà contaminé un grand nombre d’objets. Check Point évoque des millions d’objets, sans plus de précision pour l’heure.
Mais Les caméras IP sans fil de GoAhead, D-Link, TP-Link, AVTECH, Netgear, MikroTik, Linksys, Synology et d’autres sont les principales victimes. Tout comme le System Files Information Disclosure sous Linux.
5.2. Hajime
Le monde découvrait le botnet Hajime, qui signifie « commencer » (un mot bien connu des pratiquants de judo). Mais depuis, il a grossi et il effraie les experts en sécurité. Comme Mirai, il vise les objets connectés (routeurs domestiques, caméra de surveillance, enregistreur numérique) via des faiblesses de sécurité dans les protocoles et les firmwares.
Il a été observé pour la première fois en octobre dernier à l’occasion d’attaques DDoS menées avec Mirai. A cette époque, les éditeurs de sécurité avaient concentré leur attention sur Mirai et avait délaissé Hajime.
C’est un botnet modulaire à des fins curatives.
Symantec s’est penché sur ce botnet. Une fois implanté sur les terminaux ciblés, via les ports Telnet ouverts ou l’exploitation de mots de passe par défaut, Hajime bloque l’accès à un certain nombre de ports (23, 7547, 5555 et 5358) afin de barrer la route à Mirai.
Un message du développeur de Hajime est là pour tranquilliser (ou tenter de tranquilliser) les personnes infectées : « Je suis seulement un hacker blanc tentant de sécuriser quelques systèmes », écrit-il. Le but de Hijame serait donc de protéger les objets connectés. En les infectant, Hijame utilise le protocole P2P pour communiquer avec les serveurs de contrôles.
Hajime s’étoffe et inquiète, mais cet altruisme pourrait n’être qu’une façade et les spécialistes de la sécurité commencent à s’alarmer de sa potentielle force de frappe. En effet, les dernières estimations montrent que le ver a réussi à infecter 300 000 objets connectés et pourrait se transformer en un botnet IoT très puissant. Kaspersky et Radware ont également analysé Hajime et le considèrent comme très sophistiqué.
Les pirates ont un objectif de créer un réseau zombie difficile à identifier pour attaquer une cible en masse pour des fins économique, idéologique ou personnelles.
Le risque d’être infectés par le botnet est réel, il est valable aussi bien pour les ordinateurs que les objets connectés, parce que les botnets sont de plus en plus difficile à détecter, donc, de plus en plus sophistiquer. Nous savons aussi qu’une fois infecté, ce malware reste connecter à son serveur commanditaire et attendre les ordres d’attaque. L’infection, empêche la machine d’avoir un comportement normal, fonctionne en ralentit etc… donc une perte de productivité pour l’entreprise. Tant dis que les cibles attaquées, peuvent engendrer de graves problèmes économiques.
Donc, les botnet représentent une menace économique pour les entreprises. Il faut préparer pour se protéger, ou au moins limiter les risques éventuels d’être infectés.
7.1 Protection le système contre le Botnet sur l’ordinateur
Pour protéger le système ou limite les risques d’être infectés par les botnet, nous devons :
Installer un logiciel antivirus puissant, reconnu et digne de confiance sur l’ordinateur dans l’entreprise.
Configurer la mise à jour de vos logiciels antivirus et système uniquement sur le site de l’éditeur.
Bloquer l’utilisation de l’IRC, P2P, Port USB et lecteur amovible dans l’entreprise.
Scanner les pièces-jointes sur les emails ou limiter ou bloquer certains fichiers exécutables en pièce-jointe.
7.2. Autre façon d’être à l’abri de Botnet
Pour empêcher votre ordinateur de devenir le « zombie » d’une armée botnet, soyez toujours attentifs aux téléchargements suspects.
Ne cliquez pas sur des liens ou des pièces jointes envoyés depuis des adresses e-mail qui ne vous sont pas familières et soyez attentif à ce que vous téléchargez sur votre ordinateur.
Maintenez toujours vos logiciels et vos correctifs de sécurité à jour. Mais ce qui est encore plus important, c’est de vous protéger avec un antivirus puissant, qui empêchera votre système d’être infecté par des logiciels malveillants, qu’ils proviennent d’un botnet ou non.
Ce document explique en profondeur sur le botnet qui a été conçu pour le but bien précis et qui nuit à la sécurité du système information. De nos jours, l’explosion de l’IOT dans notre vie, augmente considérablement le nombre potentiel des machines susceptibles d’être infecter par les botnets.
Les objets connectés ont encore de beaux jours devant eux, ce sont les objets que nous utilisons tous les jours et qui deviennent connectés ou high-techs : Tee-shirt, Montres, Chaussures, Lunettes, etc… Les objets high-techs, aussi appelées intelligents (smart), envahissent nos foyers.
Aujourd’hui faisant intégrante de notre vie quotidienne, leur utilité est indiscutable pour le côté pratique, ludique et technologique.
Les botnets ont été découverts par le grand public au début des années 2000. Quand un adolescent canadien a lancé une série d’attaques par déni de service contre plusieurs sites Web célèbres.
L’adolescent, connu sous le nom de Mafiaboy, a ciblé Yahoo, ETrade, Dell, eBay, Amazon et d’autres sites pendant plusieurs jours, en inondant les sites avec d’énormes quantités de trafic indésirable jusqu’à que leurs services crashent. Bien que Mafiaboy, dont le vrai nom est Michael Calce, n’a pas utilisé de botnet pour lancer ses attaques, mais c’est semblable au fonctionnement du botnet de nos jours.
Suite à cette incident, les experts en sécurité avaient averti que les botnets (un large réseau d’ordinateurs infectés par le même virus) peuvent faire des attaques DDoS et qui représentent une menace majeure pour la stabilité et l’intégrité d’Internet.
2.1. Définition
Un botnet (une contraction de la langue Anglais « robot » et « réseau ») est un réseau de bots informatiques, des programmes connectés à Internet qui communiquent avec d’autres programmes similaires pour l’exécution de certaines tâches.
2.2. Fonctionnalité
Historiquement, botnet désignait des réseaux de robots IRC. Le sens de botnet s’est étendu aux réseaux de machines zombies, utilisés notamment pour le minage de cryptomonnaies mais aussi des usages malveillants, comme l’envoi de spam et virus informatiques, ou les attaques informatiques par déni de service (DDoS).
Aujourd’hui, ce nom est très souvent utilisé pour désigner un réseau de machines zombies, car l’IRC fut un des premiers moyens utilisés par des réseaux malveillants pour communiquer entre eux, en détournant l’usage premier de l’IRC.
2.3. Les botnets connus dans l’année 2000
Le premier d’entre eux qui fut référencé a été W32/Pretty.worm, appelé aussi PrettyPark, ciblant les environnements Windows 32 bits, et reprenant les idées d’Eggdrop et de GTbot. À l’époque, ils ne furent pas considérés comme très dangereux, et ce n’est qu’à partir de 2002 que plusieurs botnets malveillants (Agobot, SDBot puis SpyBot en 2003) firent parler d’eux et que la menace prit de l’ampleur.
Toute machine connectée à internet est susceptible d’être une cible pour devenir une machine zombie : les machines Windows, qui représentent la majorité des machines contaminées, mais aussi, dans une moindre mesure, les machines Linux, Apple, voire consoles de jeu ou des routeurs.
2.4. Motivation des pirates
Plusieurs motivations sont possibles qui peuvent être, économique, idéologique ou personnelle.
L’objectif des pirates :
Relayer le spam pour du commerce illégal ou pour de la manipulation d’information.
Réaliser des opérations d’hameçonnage.
Identifier et infecter d’autres machines par diffusion de virus et de programmes malveillants (malware).
Participer à des attaques grouper de Deni de service (DDoS).
Génération de façon abusif des clics sur un lien publicitaire au sein d’une page Web (Fraude au clic).
Capturer de l’information sur les machines compromises (vol puis revente d’information).
Exploiter la puissance de calcul des machines ou effectuer des opérations de calcul distribué notamment pour cassage de mot de passe.
Voler des sessions utilisateurs par credential stuffing.
Mener des opérations de commerce illicite en gérant l’accès à des sites de ventes de produits interdits ou de contrefaçons via des techniques de fast flux, simple ou double-flux ou RockPhish.
Miner des cryptomonnaies, telles que le Bitcoin.
2.5. Les failles exploitées par les Botnets
Les botnets exploitent les failles via :
Un canal de commande et contrôle (C&C).
Canaux IRC (le premier historiquement), souvent sur un canal privé via des canaux décentralisés.
P2P, pour ne plus dépendre d’un nœud central.
HTTP (parfois via des canaux cachés 20), ce qui a pour principal avantage de ne plus exiger de connexion permanente comme pour les canaux IRC ou le P2P mais de se fondre dans le trafic web traditionnel.
Fonction du web 2, en faisant une simple recherche sur certains mots-clés afin d’identifier les ordres ou les centres de commandes auxquels le réseau doit se connecter.
Il a même été mis en évidence un réseau de botnets utilisant Twitter comme centre de commande et de contrôle.
2.6. Son cycle de vie
Un botnet comporte plusieurs phases de vie. Une conception modulaire lui permet de gérer ces phases avec une efficacité redoutable, surtout dès que la machine ciblée est compromise. La phase d’infection est bien évidemment toujours la première, mais l’enchaînement de ces phases n’est pas toujours linéaire, et dépend de la conception du botnet.
2.7. Méthode d’infection
C’est logiquement la phase initiale. La contamination passe souvent par l’installation d’un outil logiciel primaire, qui n’est pas forcément l’outil final. Cette contamination de la machine utilise les mécanismes classiques d’infection :
Virus, qui peut prendre la forme de logiciel malveillant.
Logiciel en pièce-jointe.
Cheval de Troie (fichier d’apparence anodine, comme des applications ou des fichiers classiques.
Failles de navigateur ou de logiciel.
P2P où le code malveillant se fait passer pour un fichier valide.
Intentionnel comme les botnets locaux qui multiplie généralement les processus de flood.
Combiné avec une action d’ingénierie sociale pour tromper l’utilisateur.
Une fois installé, cette base logicielle peut déclarer la machine à un centre de contrôle, qui la considération alors comme active. C’est une des clés du concept de botnet. Cette machine infectée peut être contrôler à distance par une ou plusieurs machine tierce. Dans certain cas, d’autres phases sont nécessaires (autoprotection, mise à jour, etc…) pour être opérationnelle.
2.8. Reconnaître les machines infectées
Vous pouvez reconnaître un ordinateur infecté par un botnet sensiblement de la même façon dont vous pouvez identifier un ordinateur infecté par d’autres types de logiciels malveillants.
Les signes comportent un ordinateur fonctionnant lentement, se comportant bizarrement, donnant des messages d’erreur ou dont le ventilateur se met soudainement en route alors que l’ordinateur est inactif. Tous ces signes sont les symptômes possibles de l’utilisation à distance de votre ordinateur dans le cadre d’un réseau de bots.
2.9. Comment retirer le Botnet du système s’il est infecté ?
Pour retirer un PC d’un réseau de botnet, vous devez supprimer le logiciel malveillant qui le contrôle. La meilleure façon de le faire est d’exécuter une analyse antivirus de votre ordinateur. Celle-ci devrait localiser le logiciel malveillant du botnet, puis le supprimer pour vous, une solution facile pour un problème sérieux.
