Qu'est-ce que les botnets et comment votre ordinateur peut-il devenir une arme de hacker ?

Un jour, votre ordinateur commence à se comporter de manière étrange. Il est plus lent que d'habitude, les ventilateurs se mettent soudainement à tourner à fond, et bien que vous ne fassiez rien de lourd, il semble que quelque chose en arrière-plan consomme les ressources système. Malheureusement, vous êtes probablement devenu involontairement une partie d'un botnet – l'une des armes les plus dangereuses dans l'arsenal des cybercriminels.

Qu'est-ce qu'un botnet ?

Un botnet est un réseau d'ordinateurs et de dispositifs infectés qui sont secrètement contrôlés par un attaquant (souvent appelé « botmaster »). Le nom est dérivé de la combinaison des mots « robot » et « network » (réseau), ce qui décrit avec précision sa nature – une armée de « robots » informatiques prêts à exécuter les ordres de leur maître.

Chaque ordinateur infecté dans ce réseau est appelé « bot » ou « zombie ». Ce qui rend les botnets si dangereux, c'est leur puissance collective. Alors qu'un seul ordinateur infecté a un potentiel limité, des milliers voire des millions d'appareils connectés forment une puissance de calcul impressionnante, pouvant être exploitée pour différentes activités malveillantes.

Comment votre ordinateur devient-il une partie d'un botnet ?

Le processus par lequel votre ordinateur se transforme en un « bot » obéissant commence par une infection par un logiciel malveillant.

Il existe plusieurs façons courantes pour que cela se produise :

• Emails de phishing – Vous recevez un e-mail apparemment légitime avec un lien ou une pièce jointe contenant un code malveillant.
• Téléchargements à la volée – Vous visitez un site web compromis qui télécharge et installe automatiquement des logiciels malveillants sans votre connaissance.
• Logiciels vulnérables – Les attaquants exploitent des failles de sécurité dans les applications ou systèmes d'exploitation non mises à jour.
• Ingénierie sociale – Vous êtes convaincu d'installer un programme qui est en réalité un cheval de Troie contenant une porte dérobée pour les attaquants.

Après une infection réussie, le logiciel malveillant reste généralement discret. Il est conçu pour se cacher des programmes antivirus et des utilisateurs. Ensuite, il se connecte à un serveur de commandement et de contrôle (C&C) – un nœud central à partir duquel le botmaster gère tout le réseau.

Comment les attaquants utilisent-ils les ordinateurs infectés ?

Une fois un botnet formé, il peut être utilisé pour différentes activités malveillantes. Les plus connues sont examinées ci-dessous.

Attaques DDoS (Distributed Denial of Service)

L'utilisation la plus connue des botnets est pour les attaques DDoS. L'attaquant ordonne à tous les bots du réseau d'envoyer simultanément des requêtes à un service web ou serveur spécifique. Le trafic massif sature le serveur cible qui devient alors incapable de traiter les requêtes légitimes.

Un exemple peut être le botnet Mirai, qui en 2016 a causé l'une des plus grandes attaques DDoS de l'histoire, mettant temporairement hors service d'importants services internet, y compris Twitter, Netflix et Reddit.

Envoi de spam et propagation de logiciels malveillants

Votre ordinateur peut être utilisé pour envoyer des e-mails non sollicités ou propager d'autres logiciels malveillants. Ainsi, les attaquants peuvent distribuer des spams sans révéler leur véritable identité, car les e-mails proviennent d'ordinateurs légitimes mais compromises.

Vol de données sensibles

Un botnet peut être équipé de fonctions pour enregistrer les frappes au clavier, capturer des captures d'écran ou parcourir des fichiers. Cela permet aux attaquants de voler vos mots de passe, numéros de cartes de crédit, informations personnelles ou secrets commerciaux.

Minage de cryptomonnaies

Ces dernières années, l'utilisation de la puissance de calcul des botnets pour le minage de cryptomonnaies (appelé cryptojacking) est devenue populaire. Votre ordinateur peut miner en arrière-plan du Bitcoin, Monero ou d'autres cryptomonnaies, tandis que tous les gains vont dans les poches de l'attaquant. Pendant ce temps, vous payez la consommation électrique accrue et souffrez de la baisse de performance de votre appareil.

Location de botnets

De nombreux attaquants louent même leurs botnets à d'autres cybercriminels – il s'agit d'un modèle connu sous le nom de « Botnet-as-a-Service » (BaaS). Moyennant des frais, pratiquement n'importe qui peut louer un botnet pour ses propres objectifs malveillants, sans avoir les connaissances techniques nécessaires pour le créer.

Botnets connus et leurs impacts

L'histoire des botnets est pleine d'exemples de réseaux dévastateurs qui ont causé des dégâts considérables.

Conficker

Conficker, découvert à la fin de 2008, est rapidement devenu l'un des botnets les plus connus de l'histoire de la cybercriminalité. Au summum de son activité en 2009, il a infecté plus de 10 millions d'ordinateurs Windows dans le monde entier, faisant de lui l'un des plus grands réseaux de botnets de tous les temps.

Ce qui rendait Conficker particulièrement dangereux, c'était sa capacité à se mettre à jour constamment et à se défendre contre la détection. Le logiciel malveillant était capable de bloquer l'accès aux sites de sécurité, empêchant le téléchargement de mises à jour et disposant de fonctionnalités avancées pour effacer les traces.

Bien qu'une task force spéciale ait été créée contre lui (Conficker Working Group), comprenant d'importantes sociétés de sécurité, Conficker reste aujourd'hui partiellement actif, bien qu'à une échelle beaucoup plus réduite.

Gameover Zeus

Gameover Zeus est apparu vers 2011 et est rapidement devenu l'un des logiciels malveillants financiers les plus redoutés. Il était spécialisé dans le vol de données bancaires et de mots de passe, et on estime qu'il a causé des dégâts financiers dépassant les 100 millions de dollars.

Contrairement à ses prédécesseurs, il utilisait un réseau de communication peer-to-peer chiffré au lieu de serveurs C&C traditionnels, ce qui rendait sa détection et son élimination beaucoup plus difficiles. Ce botnet était souvent associé au ransomware CryptoLocker, qui chiffré les fichiers des victimes et exigeait une rançon.

En 2014, une opération internationale majeure nommée « Operation Tovar » a permis aux autorités judiciaires de plusieurs pays de perturber temporairement l'infrastructure du botnet. Son créateur, le Russe Evgenij Bogačev, a été accusé et figure encore sur la liste du FBI, avec une récompense de 3 millions de dollars pour des informations menant à son arrestation.

Mirai

Apparu en 2016, Mirai a apporté un changement radical dans la conception des botnets en ciblant principalement les appareils IoT tels que les caméras, les routeurs et les moniteurs pour bébés. Le botnet utilisait une stratégie simple mais efficace – il parcourait systématiquement l'internet et tentait de se connecter aux appareils en utilisant une base de données d'identifiants de connexion par défaut.

Étant donné que de nombreux utilisateurs ne modifient jamais les paramètres d'usine, cette approche s'est révélée étonnamment réussie. Mirai a attiré l'attention mondiale en 21 octobre 2016 lorsqu'il a mené une attaque DDoS massive contre la société Dyn, fournisseur de services DNS.

L'attaque a temporairement mis hors service des services internet majeurs, y compris Twitter, Netflix, Reddit, et bien d'autres. Ce qui est le plus préoccupant avec Mirai, c'est que son code source a été rendu public en ligne, ce qui a conduit à la création de nombreuses variantes et imitateurs.

Mirai a pratiquement inauguré une nouvelle ère de botnets IoT, qui continuent de représenter une menace significative compte tenu du nombre croissant d'appareils IoT souvent insuffisamment sécurisés.

Emotet

Emotet est apparu pour la première fois en 2014 sous forme d'un chevalet bancaire relativement simple, mais il a évolué en une infrastructure modulaire sophistiquée pour la distribution de logiciels malveillants. Il était considéré comme « le malware le plus dangereux au monde » jusqu'à son démantèlement par une opération policière internationale en janvier 2021.

Sa principale force résidait dans sa capacité à se propager via des emails compromis, contenant souvent des documents malveillants et utilisant l'ingénierie sociale pour persuader les victimes de permettre les macros.

Emotet fonctionnait comme un « malware-as-a-service » et était loué à d'autres cybercriminels pour la distribution d'autres logiciels malveillants, y compris des ransomware comme Ryuk ou des chevalets bancaires comme TrickBot. Sa modularité permettait aux opérateurs d'adapter l'attaque à des cibles spécifiques et de modifier constamment les tactiques pour échapper à la détection.

Bien qu'il ait été neutralisé en janvier 2021 par une action coordonnée des forces de police de huit pays (y compris les Pays-Bas, l'Allemagne et les États-Unis), il existe des craintes qu'il puisse réapparaître à l'avenir, comme cela est arrivé avec de nombreux autres botnets.

Comment savoir si mon ordinateur fait partie d'un botnet ?

La détection d'un botnet peut être difficile, car les logiciels malveillants modernes sont conçus pour rester cachés et discrets. Vous devriez être attentif si votre ordinateur ralentit sans raison apparente, que le ventilateur se déclenche souvent à plein régime même lors de tâches ordinaires, ou si vous remarquez une activité réseau inhabituelle lorsque vous n'utilisez pas activement votre ordinateur.

Les autres signaux d'alerte peuvent être un comportement étrange des navigateurs web, comme des redirections inattendues ou l'ouverture automatique de nouveaux onglets. Toute modification inexpliquée des paramètres du système, des événements système inhabituels ou des messages d'erreur apparaissant fréquemment sont également suspects.

Un signe très préoccupant est lorsque vos contacts sur les réseaux sociaux commencent à recevoir des messages que vous n'avez pas consciemment envoyés – cela peut indiquer que des attaquants ont accès à vos comptes ou que votre ordinateur propage activement des logiciels malveillants.

Comment protéger votre appareil contre les botnets ?

Prévenir est toujours mieux que guérir, surtout quand on parle de botnets. Voici quelques conseils pour protéger vos appareils.

Maintenez votre logiciel à jour

Les mises à jour régulières du système d'exploitation et des applications sont essentielles. Les éditeurs de logiciels publient régulièrement des correctifs de sécurité qui corrigent les vulnérabilités susceptibles d'être exploitées pour infecter votre dispositif.

Utilisez des mots de passe forts et l'authentification à deux facteurs

Des mots de passe forts et uniques pour chaque compte et l'authentification à deux facteurs réduisent considérablement le risque d'accès non autorisé. Pensez à utiliser un gestionnaire de mots de passe pour garder une trace de vos identifiants de connexion. Vous pouvez également utiliser des applications d'authentification.

Soyez prudent lors de l'ouverture de courriels et du téléchargement de fichiers

N'ouvrez pas les pièces jointes ou les liens dans les courriels provenant d'expéditeurs inconnus. Même si le courriel semble provenir d'une personne que vous connaissez, s'il est inattendu ou semble suspect, vérifiez son authenticité par un autre canal de communication. Par exemple, appelez cette personne ou contactez-la via ses réseaux sociaux.

Installez des logiciels uniquement à partir de sources fiables

Téléchargez et installez des applications uniquement à partir de boutiques officielles ou directement depuis les sites web des éditeurs. Évitez les logiciels piratés, qui contiennent souvent des malwares.

Utilisez un logiciel de sécurité de qualité

Investissez dans une solution de sécurité qui offre une protection en temps réel contre divers types de menaces. Effectuez également des analyses complètes du système régulièrement.

Sécurisez votre réseau domestique

Changez les identifiants par défaut de votre routeur, utilisez le cryptage WPA3 lorsqu'il est disponible, et mettez régulièrement à jour le firmware du routeur.

Que faire si mon ordinateur est infecté ?

Si vous suspectez que votre ordinateur fait partie d'un botnet, les étapes suivantes peuvent vous aider :

1. Déconnectez l'appareil d'Internet pour empêcher toute communication avec le serveur C&C ou l'exécution d'activités malveillantes.
2. Changez tous les mots de passe depuis un autre appareil non infecté.
3. Lancez une analyse complète avec un programme antivirus en mode sans échec pour limiter la capacité du malware à se défendre activement.
4. Utilisez des outils spécialisés pour éliminer les botnets proposés par des sociétés de sécurité fiables.
5. Envisagez de réinstaller le système d'exploitation en cas d'infection grave. C'est le moyen le plus fiable pour se débarrasser des malwares tenaces, bien que cela prenne du temps.

Rappelez-vous qu'en lutte contre les botnets, nous sommes tous concernés. Chaque ordinateur non sécurisé peut devenir une arme entre les mains des cybercriminels. Vous pouvez cependant vous défendre, par une navigation prudente sur Internet et l'installation de bons programmes antivirus.