État de la menace liée aux botnets

Les botnets, réseaux de machines infectées et contrôlées à l’insu de leurs propriétaires légitimes, peuvent être utilisés comme outil afin de mener différents types attaques informatiques. Il apparait cependant que la finalité lucrative est la principale motivation au déploiement de botnets. Les attaques par déni de service distribuées (DDoS) correspondent à une utilisation caractéristique des botnets, mais ceux-ci sont également utilisés à des fins d’anonymisation, de distribution de pourriels, de diffusion de codes malveillants, de fraude, de découverte d’identifiants ou pour miner des cryptomonnaies. Pour mener les attaques, les botnets tirent notamment profit des nombreux points d’accès au réseau et/ou exploitent la puissance de calcul usurpée aux machines infectées.

Les codes malveillants à l’origine des infections des machines rattachées à un botnet sont très nombreux. Ceux-ci n’ont cependant pas nécessairement été développés par les mêmes acteurs que les opérateurs des botnets qui les utilisent. Ces codes font régulièrement l’objet de modifications ou de mises à jour, dans une logique de concurrence entre des acteurs qui en sont à l’origine. En effet, le caractère lucratif de l’utilisation de botnet pourrait expliquer l’environnement hautement concurrentiel dans lequel évoluent leurs opérateurs. Une surface toujours croissante d’appareils connectés est ainsi ciblée.

Une caractéristique fondamentale des botnets est la capacité pour leurs opérateurs de faire exécuter des instructions par les machines infectées. Le maintien des communications avec les machines compromises semble ainsi être la priorité de nombreux botnets. Des mécanismes de redondance de plus en plus complexes ont ainsi été observés comme l’utilisation d’algorithmes de génération de noms de domaines, des architectures en pair-à-pair ou l’utilisation du réseau d’anonymisation TOR. Cette complexification des méthodes de communication nuit ainsi grandement aux efforts de démantèlement. Ainsi des coopérations internationales entre acteurs institutionnels et privés sont généralement nécessaires pour permettre de démanteler les botnets les plus sophistiqués.

Vous pouvez télécharger le rapport complet ICI

Source :  CERT FR