Qu'est-ce qu'un botnet DDoS ?

Les attaques botnet sont responsables des plus grandes attaques DDoS jamais enregistrées. Découvrez comment les périphériques sont infectés par des malwares botnet, comment les bots sont contrôlés à distance et comment protéger un réseau d’une invasion de botnets.

Share facebook icon linkedin icon twitter icon email icon

Botnet

Objectifs d’apprentissage

Après avoir lu cet article, vous pourrez :

  • Définir un botnet DDoS
  • Expliquer pourquoi les botnets sont créés
  • Comprendre comment les botnets sont contrôlés à distance par les pirates
  • Raisonner sur les stratégies de désactivation d'un botnet et de prévention des infections

Qu’est-ce qu’un botnet ?

Un botnet fait référence à un groupe d'ordinateurs infectés par des malware et placés sous le contrôle d'un acteur malveillant. Le terme botnet est un mot valise composé des mots « robot » et « network » (réseau) et chaque appareil infecté est appelé bot. Les botnets peuvent être conçus pour accomplir des tâches illégales ou malveillantes, notamment l'envoi de spams, le vol de données, des logiciels rançonneurs(ou ransonware), des clics frauduleux sur les publicités ou des attaques par déni de service distribué (DDoS).


Bien que certains logiciels malveillants, tels que les logiciels rançonneurs, aient un impact direct sur le propriétaire de l'appareil, les malwares botnet DDoS peuvent avoir différents niveaux de visibilité. Certains logiciels malveillants sont conçus pour prendre totalement contrôle d'un appareil, tandis que d'autres fonctionnent discrètement en arrière-plan en attendant les instructions du pirate appelé parfois « bot herder ».


Les botnets à propagation automatique recrutent des bots supplémentaires à travers une variété de canaux différents. Les voies d'infection comprennent l'exploitation des vulnérabilités de sites web, l'utilisation de chevaux de Troie et le craquage de l'authentification faible pour permettre un accès à distance. Une fois l'accès obtenu, toutes ces méthodes d'infection entraînent l'installation de logiciels malveillants sur l'appareil cible et permettant le contrôle à distance par l'opérateur du botnet. Une fois qu'un appareil est infecté, il peut tenter de propager lui-même le logiciel malveillant du botnet en recrutant d'autres appareils matériels dans le réseau environnant.


S'il est impossible de déterminer avec précision le nombre exact de bots dans un botnet particulier, les estimations du nombre total de bots dans un botnet sophistiqué vont de quelques milliers à plus d'un million.

DDoS Botnet attack animation

Pourquoi les botnets sont-ils créés ?

Les raisons d'utiliser un botnet vont de l'activisme aux perturbations parrainées par un État, de nombreuses attaques étant menées uniquement dans un but lucratif. L'embauche de services de botnet en ligne est relativement peu coûteuse au regard notamment des importants qu'ils peuvent causer. Les barrières empêchant la création de botnets sont également suffisamment faibles pour que l'activité soit lucrative pour certains développeurs de logiciels, en particulier dans les zones géographiques où la réglementation et l'application des lois sont limitées. Cette combinaison a conduit à une prolifération de services en ligne proposant des attaques à la location.

Comment le botnet est-il contrôlé ?

Un botnet est essentiellement caractérisé par la capacité de recevoir des instructions mises à jour du « bot herder ». La possibilité de communiquer avec chaque bot du réseau permet à l'attaquant d'alterner les vecteurs d'attaque, de modifier l'adresse IP ciblée, de mettre fin à une attaque et d'autres actions personnalisées. Les conceptions des botnets varient, mais les structures de contrôle peuvent être divisées en deux catégories principales :

Le modèle botnet client/serveur

Le modèle client/serveur imite le flux de travail traditionnel du poste de travail distant où chaque machine individuelle se connecte à un serveur centralisé (ou à un petit nombre de serveurs centralisés) afin d'accéder aux informations. Dans ce modèle, chaque bot se connectera à une ressource d'un centre de commande et de contrôle (CnC) comme un domaine web ou un canal IRC afin de recevoir des instructions. En utilisant ces référentiels centralisés pour servir de nouvelles commandes pour le botnet, un attaquant a simplement besoin de modifier le matériel source que chaque botnet consomme à partir d'un centre de commande afin de mettre à jour les instructions aux machines infectées. Le serveur centralisé contrôlant le botnet peut être un appareil détenu et exploité par l'attaquant, ou il peut s'agir d'un appareil infecté.


Un certain nombre de topologies populaires de botnets centralisés ont été observées, notamment :

Topologie de réseau en étoile

Star network topology animation

Topologie de réseau multi-serveurs

Multi server network topology animation

Topologie de réseau hiérarchique

Hierarchical network topology animation

Dans chacun de ces modèles client/serveur, chaque bot se connecte à une ressource centrale de commande comme un domaine web ou un canal IRC pour recevoir des instructions. En utilisant ces référentiels centralisés pour servir de nouvelles commandes pour le botnet, un attaquant a simplement besoin de modifier le matériel source que chaque botnet consomme à partir d'un centre de commande afin de mettre à jour les instructions destinées aux machines infectées.


La vulnérabilité de ces machines va de pair avec la simplicité de la mise à jour des instructions destinées au botnet à partir d'un nombre limité de sources centralisées. Afin de supprimer un botnet avec un serveur centralisé, il suffit uniquement de perturber le serveur. En raison de cette vulnérabilité, les créateurs de logiciels malveillants de botnets ont évolué et se sont tournés vers un nouveau modèle moins susceptible d'être perturbé par un ou plusieurs points de défaillance.

Le modèle de botnet P2P (pair-à-pair)

Pour contourner les vulnérabilités du modèle client/serveur, les botnets ont plus récemment été conçus à l'aide de composants de partage décentralisé de fichiers peer-to-peer. L'intégration de la structure de contrôle à l'intérieur du botnet élimine le point de défaillance unique présent dans un botnet avec un serveur centralisé, ce qui rend les efforts d'atténuation plus difficiles. Les bots P2P peuvent être à la fois des clients et des centres de commande, travaillant main dans la main avec leurs nœuds voisins pour propager les données.


Les botnets peer-to-peer conservent une liste d'ordinateurs de confiance avec lesquels ils peuvent donner et recevoir des communications et mettre à jour leur logiciel malveillant. En limitant le nombre des autres machines auxquelles le bot se connecte, chaque bot n'est exposé qu'à des appareils adjacents, ce qui le rend plus difficile à suivre et plus difficile à atténuer. L'absence d'un serveur de commande centralisé rend un botnet peer-to-peer plus vulnérable au contrôle par une personne autre que le créateur du botnet. Pour se protéger contre la perte de contrôle, les réseaux de botnets décentralisés sont généralement chiffrés de manière à en limiter l'accès.

Peer-to-peer network topology animation

Comment un appareil IdO devient-il un botnet ?

Personne ne fait ses opérations bancaires par Internet en utilisant la caméra de vidéosurveillance sans fil installée dans la cour pour surveiller la mangeoire à oiseaux, mais cela ne signifie pas que cette caméra soit incapable de faire les demandes réseau nécessaires. La puissance des appareils IoT couplée à une sécurité faible ou mal configurée crée une opportunité pour les logiciels malveillants de botnet pour recruter de nouveaux bots dans le parc d'appareils IoT. L'augmentation de tels appareils a entraîné un nouveau paysage pour les attaques DDoS, car nombre d'entre eux sont mal configurés et vulnérables.


Si la vulnérabilité d'un appareil IoT est codée en dur dans le firmware, les mises à jour sont plus difficiles. Pour atténuer les risques, les appareils IoT dont le firmware est obsolète doivent être mis à jour, car les informations d'identification par défaut restent généralement inchangées depuis l'installation initiale de l'appareil. De nombreux fabricants de matériel à bas prix ne sont pas incités à rendre leurs appareils plus sûrs, de ce fait la vulnérabilité posée par les logiciels malveillants de botnet aux appareils IoT reste un risque de sécurité non résolu.

Comment désactiver un botnet existant ?

Désactiver les centres de contrôle d’un botnet :

Les botnets conçus à l'aide d'un schéma de commande et de contrôle peuvent être plus facilement désactivés une fois que les centres de contrôle peuvent être identifiés. Il suffit souvent de couper la tête aux points de défaillance pour mettre le botnet hors ligne. Par conséquent, les administrateurs du système et les organismes chargés de faire respecter la loi se concentrent sur la fermeture des centres de contrôle de ces botnets. Ce processus est plus difficile si le centre de contrôle opère dans un pays où les forces de l'ordre disposent de peu de moyens ou sont moins disposées à intervenir.

Éliminer l'infection sur les appareils individuels :

Pour les ordinateurs individuels, les stratégies permettant de reprendre le contrôle de la machine incluent l'exécution d'un logiciel antivirus, la réinstallation du logiciel à partir d'une sauvegarde sûre ou le redémarrage à partir d'une machine propre après avoir reformaté le système. Pour les appareils IoT, les stratégies peuvent inclure le flashage du firmware, la réinitialisation aux paramètres d'usine ou le formatage de l'appareil. Si ces options sont impossibles, d'autres stratégies peuvent être disponibles auprès du fabricant de l'appareil ou d'un administrateur système.

Comment empêcher les appareils de faire partie d'un botnet ?

Créer des mots de passe sécurisés :

Pour de nombreux appareils vulnérables, réduire l'exposition à la vulnérabilité du botnet peut être aussi simple que changer les identifiants administratifs, c'est-à-dire le nom d'utilisateur et le mot de passe par défaut. La création d'un mot de passe sécurisé rend le craquage par force brute difficile. Quant à la création d'un mot de passe très sécurisé, il rend le craquage par force brute pratiquement impossible. Par exemple, un appareil infecté par le logiciel malveillant Mirai analysera les adresses IP à la recherche d'appareils qui répondent. Une fois qu'un appareil répond à une requête ping, le bot tentera de se connecter à cet appareil trouvé avec une liste prédéfinie d'informations d'identification par défaut. Si le mot de passe par défaut a été modifié et qu'un mot de passe sécurisé a été mis en place, le bot abandonnera et passera à la recherche d'appareils plus vulnérables.

Autoriser uniquement l'exécution sécurisée de code tiers :

Si vous adoptez le modèle de téléphonie mobile d'exécution de logiciels, seules les applications figurant sur la liste blanche peuvent être exécutées, en accordant plus de contrôle pour tuer les logiciels considérés comme malveillants, y compris les botnets. Seule une exploitation du logiciel de supervision (c'est-à-dire du noyau) peut entraîner l'exploitation de l'appareil. Cela dépend avant tout de la présence d'un noyau sécurisé, que la plupart des appareils IoT n'ont pas, et s'applique plus aux machines qui exécutent des logiciels tiers.

Effacer/restaurer régulièrement le système :

La restauration à un bon état connu après un temps défini supprimera toutes les « souillures » qu'un système a collectées, logiciels de botnet inclus. Cette stratégie, lorsqu'elle est utilisée à titre préventif, garantit que même les logiciels malveillants qui s'exécutent en silence sont éliminés.

Mettre en place de bonnes pratiques de filtrage du trafic entrant et sortant :

D'autres stratégies plus avancées incluent des pratiques de filtrage sur les routeurs réseau et les pare-feu. L'un des principes de la conception d'un réseau sécurisé est la superposition de couches : il existe alors moins de restrictions possible sur les ressources accessibles au public, et la sécurité est renforcée pour les éléments jugés sensibles. En outre, tout ce qui franchit ces frontières doit être examiné de près : trafic réseau, lecteurs usb, etc. Les pratiques de filtrage de qualité augmentent la probabilité que les logiciels malveillants DDoS et leurs méthodes de propagation et de communication soient détectés avant d'entrer dans le réseau ou de le quitter.


Si vous êtes actuellement victime d'une attaque, il existe des mesures que vous pouvez prendre pour réduire la pression de l'attaque. Si vous êtes déjà sur Cloudflare, vous pouvez suivre ces étapes pour atténuer votre attaque. La protection DDoS que nous mettons en œuvre chez Cloudflare comporte de multiples facettes afin d'atténuer les nombreux vecteurs d'attaque possibles. En savoir plus sur la protection DDoS de Cloudflare et son fonctionnement.