Qu'est-ce qu'un botnet DDoS ?

Les attaques botnet sont responsables des plus grandes attaques DDoS jamais enregistrées. Découvrez comment les périphériques sont infectés par des malwares botnet, comment les bots sont contrôlés à distance et comment protéger un réseau d’une invasion de botnets.

Share facebook icon linkedin icon twitter icon email icon

Botnet

Objectifs d'apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir un botnet DDoS
  • Expliquer pourquoi les botnets sont créés
  • Comprendre comment les botnets sont contrôlés à distance par les pirates
  • Conclure sur les stratégies de désactivation d'un botnet et de prévention des infections

Qu’est-ce qu’un botnet ?

Un botnet désigne un groupe d’ordinateurs infectés par des malwares et contrôlés par un acteur malveillant. Le terme botnet est la contraction des mots robot et réseau ; chaque appareil infecté est appelé un bot. Les botnets peuvent être conçus pour accomplir des tâches illégales ou malveillantes, notamment l'envoi de spam, le vol de données, les logiciels rançonneurs, les clics frauduleux sur des publicités ou les attaques par déni de service distribué (DDoS).


Bien que certains malwares, tels que les logiciels rançonneurs, aient un impact direct sur le propriétaire de l'appareil, les malwares botnet DDoS peuvent avoir différents niveaux de visibilité. Certains malwares sont conçus pour prendre totalement contrôle d'un appareil, tandis que d'autres fonctionnent discrètement en arrière-plan en attendant les instructions du pirate ou «bot herder».


Les botnets à auto-propagation recrutent des robots supplémentaires par le biais de divers canaux. Les voies d'infection comprennent l'exploitation des vulnérabilités de sites Web, les malwares cheval de Troie et le cracking d'authentification faible pour obtenir un accès à distance. Une fois l'accès obtenu, toutes ces méthodes d'infection entraînent l'installation de malwares sur le périphérique cible, permettant ainsi le contrôle à distance par l'opérateur du botnet. Une fois qu'un périphérique est infecté, il peut tenter de propager lui-même le malware botnet en recrutant d'autres périphériques matériels dans le réseau environnant.


S'il est impossible de déterminer avec précision le nombre exact de bots dans un botnet particulier, les estimations du nombre total de bots dans un botnet sophistiqué vont de quelques milliers à plus d'un million.

Animation d’une attaque DDoS Botnet

Pourquoi les botnets sont-ils créés ?

Les raisons d'utiliser un botnet vont du militantisme à la perturbation parrainée par l'État, de nombreuses attaques étant menées simplement dans un but lucratif. La location de services de botnet en ligne est relativement peu coûteuse, notamment par rapport au montant des dommages qu’ils peuvent causer. L’obstacle à la création d’un botnet est assez faible pour en faire une activité lucrative pour certains développeurs de logiciels, en particulier dans les zones géographiques où la réglementation et les autorités policières sont limitées. Les services en ligne offrant des prestations d’attaque se sont alors multipliés.

Comment le botnet est-il contrôlé ?

Une caractéristique essentielle d'un botnet est la possibilité de recevoir des instructions mises à jour de la part du bot herder. La possibilité de communiquer avec chaque bot présent sur le réseau permet au pirate d'alterner les vecteurs d'attaque, de modifier l'adresse IP ciblée, de mettre fin à une attaque et d'effectuer d'autres actions personnalisées. Les designs de botnet varient, mais les structures de contrôle peuvent être classées en deux catégories générales :

Le modèle botnet client/serveur

Le modèle client/serveur reproduit le flux de travail traditionnel d'un poste distant, dans lequel chaque ordinateur se connecte à un serveur centralisé (ou à un petit nombre de serveurs centralisés) afin d'accéder aux informations. Dans ce modèle, chaque bot se connecte à une ressource de centre de commande et de contrôle (CnC) comme un domaine Web ou un canal IRC afin de recevoir des instructions. En utilisant ces référentiels centralisés pour fournir de nouvelles commandes au botnet, un pirate doit simplement modifier le matériel source consommé par chaque botnet depuis un centre de commande afin de mettre à jour les instructions destinées aux machines infectées. Le serveur centralisé contrôlant le botnet peut être un appareil possédé et opéré par le pirate ou un périphérique infecté.


Un certain nombre de topologies populaires de botnets centralisés ont été observées, notamment :

Topologie de réseau en étoile

Animation de la topologie de réseau en étoile

Topologie de réseau multi-serveurs

Animation de la topologie de réseau multi-serveurs

Topologie de réseau hiérarchique

Animation de la topologie de réseau hiérarchique

Dans tous ces modèles client/serveur, chaque bot se connecte à une ressource de centre de commande et de contrôle comme un domaine Web ou un canal IRC afin de recevoir des instructions. En utilisant ces référentiels centralisés pour fournir de nouvelles commandes au botnet, un pirate doit simplement modifier le matériel source consommé par chaque botnet depuis un centre de commande afin de mettre à jour les instructions destinées aux machines infectées.


La vulnérabilité de ces machines est étroitement liée à la simplicité de mise à jour des instructions envoyées au botnet à partir d'un nombre limité de sources centralisées. Pour supprimer un botnet avec un serveur centralisé, seul le serveur doit être interrompu. En raison de cette vulnérabilité, les créateurs de malwares botnet ont évolué et sont passés à un nouveau modèle moins exposé aux perturbations via un ou plusieurs points d'échec.

Le modèle de botnet P2P (pair-à-pair)

Pour contourner les vulnérabilités du modèle client/serveur, des botnets ont récemment été conçus à l'aide de composants de partage de fichiers décentralisé en P2P. L'intégration de la structure de contrôle à l'intérieur du botnet élimine le seul point de défaillance présent dans un botnet avec un serveur centralisé, ce qui rend les efforts d’atténuation plus difficiles. Les bots P2P peuvent être à la fois des clients et des centres de commande et travaillent en collaboration avec leurs nœuds voisins pour propager les données.


Les bots P2P conservent une liste d'ordinateurs fiables avec lesquels ils peuvent donner et recevoir des communications et mettre à jour leurs malwares. En limitant le nombre d'autres machines auxquelles le bot se connecte, chaque bot n'est exposé qu'aux périphériques adjacents. Il est donc difficile à traquer et à atténuer. L’absence d’un serveur de commandes centralisé rend un botnet P2P plus vulnérable au contrôle de quelqu'un d'autre que le créateur du botnet. Pour se protéger contre la perte de contrôle, les botnets décentralisés sont généralement chiffrés et leur accès limité.

Animation de la topologie de réseau P2P

Comment un appareil IdO devient-il un botnet ?

Personne ne fait ses transactions bancaires par Internet avec la caméra de vidéosurveillance sans fil qu’il a installée dans sa cour pour observer la mangeoire à oiseaux, mais cela ne signifie pas pour autant que l’appareil n’est pas en mesure d’effectuer les requêtes réseau nécessaires. La puissance des périphériques IdO associée à une sécurité faible ou mal configurée crée une possibilité pour les malwares botnet de recruter de nouveaux bots dans le collectif. La montée des périphériques IdO a créé un nouvel environnement pour les attaques DDoS, car de nombreux appareils sont mal configurés et vulnérables.


Si la vulnérabilité d’un périphérique IdO est codée en dur dans le micrologiciel, les mises à jour sont plus difficiles. Pour limiter les risques, les appareils IdO dotés d'un micrologiciel obsolète doivent être mis à jour, car les identifiants par défaut restent généralement les mêmes depuis l'installation initiale de l'appareil. De nombreux fabricants de matériel discount ne sont pas encouragés à renforcer la sécurité de leurs appareils. Par conséquent, la vulnérabilité des appareils IdO aux malwares botnet reste un risque de sécurité non résolu.

Comment désactiver un botnet existant ?

Désactiver les centres de contrôle d’un botnet :

Les botnets conçus selon un schéma de commande et contrôle peuvent être plus facilement désactivés une fois les centres de contrôle identifiés. Couper la tête aux points d'échec peut mettre tout le botnet hors ligne. En conséquence, les administrateurs système et les forces de l’ordre s'attachent à fermer les centres de contrôle de ces botnets. Ce processus est plus difficile si le centre de commande opère dans un pays où les forces de l'ordre sont moins capables ou désireuses d'intervenir.

Éliminer l'infection sur les appareils individuels :

Pour les ordinateurs individuels, les stratégies pour reprendre le contrôle de la machine incluent l’exécution d’un logiciel antivirus, la réinstallation du logiciel à partir d’une sauvegarde sécurisée ou le redémarrage à partir d’une machine vierge après reformatage du système. Pour les périphériques IdO, les stratégies peuvent inclure le flashage du micrologiciel, l'exécution d'une réinitialisation d'usine ou le formatage de l’appareil. Si ces options sont irréalisables, d’autres stratégies peuvent être proposées par le fabricant de l’appareil ou un administrateur système.

Comment empêcher les appareils de faire partie d'un botnet ?

Créer des mots de passe sécurisés :

Pour de nombreux périphériques vulnérables, réduire l'exposition à la vulnérabilité au botnet peut être aussi simple que de remplacer les identifiants administratifs par autre chose que le nom d'utilisateur et le mot de passe par défaut. La création d'un mot de passe sécurisé rend l’attaque par force brute difficile ; la création d'un mot de passe très sécurisé rend l’attaque par force brute pratiquement impossible. Par exemple, un appareil infecté par le malware Mirai analysera les adresses IP à la recherche d'appareils répondant. Lorsqu'un périphérique répond à une requête ping, le bot tente de se connecter au périphérique trouvé avec une liste prédéfinie d'identifiants par défaut. Si le mot de passe par défaut a été modifié et qu'un mot de passe sécurisé a été mis en place, le bot va abandonner et passer à la recherche de périphériques plus vulnérables.

Autoriser uniquement l'exécution sécurisée de code tiers :

Si vous adoptez le modèle d’exécution logicielle pour téléphone mobile, seules les applications inscrites sur la liste blanche peuvent s’exécuter, ce qui offre plus de contrôle pour éliminer les logiciels considérés comme malveillants, y compris les botnets. Seule une exploitation du logiciel de supervision (c’est-à-dire du noyau) peut entraîner une exploitation du périphérique. Cela dépend en premier lieu d'un noyau sécurisé, que la plupart des périphériques IdO ne possèdent pas, et qui s'applique davantage aux machines qui exécutent des logiciels tiers.

Effacer/restaurer régulièrement le système :

Restaurer vers un bon état connu après une heure définie éliminera toute la crasse collectée par le système, logiciels botnet compris. Cette stratégie, lorsqu'elle est utilisée à titre préventif, garantit même l’élimination des malwares exécutés en mode silencieux.

Mettre en place de bonnes pratiques de filtrage du trafic entrant et sortant :

D'autres stratégies plus avancées incluent les pratiques de filtrage au niveau des routeurs et pare-feux réseau . L'un des principes de la conception d’un réseau sécurisé est la superposition : vous avez un minimum de restriction sur les ressources accessibles au public, et vous renforcez en permanence la sécurité des éléments que vous jugez sensibles. Par ailleurs, tout ce qui dépasse ces limites doit être scruté : trafic réseau, lecteurs USB, etc. Les pratiques de filtrage qualité augmentent la probabilité que les malwares DDoS et leurs méthodes de propagation et de communication soient interceptés avant d’entrer ou de sortir du réseau.


Si vous êtes attaqué, vous pouvez prendre des mesures afin de sortir de cette impasse. Si vous êtes déjà client Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque. La protection DDoS mise en œuvre par Cloudflare dispose de facettes multiples pour atténuer le plus de vecteurs d'attaque possibles. En savoir plus sur la protection DDoS de Cloudflare.