retour au glossaire

Qu'est-ce que

botnet

?

Comment sont créés les botnets ?

Pour qu'un ordinateur devienne un robot dans un réseau de robots, le logiciel du bot doit être installé. De toute évidence, personne n'installerait sciemment ce logiciel sur son ordinateur. Les attaquants ont donc recours à l'ingénierie sociale, à des stratagèmes de phishing et à d'autres techniques pour inciter les gens à installer le logiciel.

Une technique courante consiste à utiliser un système de phishing. Cela implique d'envoyer à quelqu'un un e-mail avec une pièce jointe qui s'installe elle-même sur le système de l'utilisateur. Une fois la pièce jointe installée, elle infecte le système.

Parfois, un bot se fait passer pour un logiciel légitime et peut même fonctionner, mais en arrière-plan, il ne s'agit que d'un robot parmi d'autres dans un botnet.

Types de botnets

Les robots d'un botnet ont besoin de recevoir des commandes pour exécuter des actions malveillantes. La source de ces commandes est le serveur de commande et de contrôle ou le serveur C&C. À partir de ce serveur, le bot wrangler envoie des commandes aux robots du réseau. Il existe deux principaux types d'architectures pour un botnet.

Botnets centralisés

Les botnets centralisés utilisent un serveur pour envoyer des commandes à tous les robots du botnet. Il s'agit d'un ancien modèle pour les botnets qui n'est plus utilisé aussi souvent car il possède un point de défaillance unique.

Les botnets IRC sont l'un des premiers types de botnets centralisés. Le bot herder envoie des commandes via un canal IRC et les robots du réseau se connectent au canal et attendent les commandes.

Les botnets HTTP utilisent un serveur HTTP pour envoyer des commandes. Les robots de ces botnets se connectent régulièrement au serveur pour vérifier la présence de commandes. Ces robots peuvent masquer leur activité comme du trafic Internet normal.

Botnets décentralisés

Les botnets décentralisés utilisent un modèle peer-to-peer. Il n'existe toujours qu'un seul serveur de commande et de contrôle dans ce type de botnet, mais le serveur ne doit se connecter qu'à un seul bot du botnet pour envoyer une commande à chacun d'entre eux. Chaque bot agit à la fois en tant que client et propage toutes les commandes envoyées par le serveur de commandes à tous les appareils du botnet.

À quoi servent les botnets ?

La création d'un botnet prend du temps, mais il peut contenir beaucoup de puissance de traitement. Les hébergeurs de robots utilisent la puissance de traitement et l'anonymat que leur confère un réseau de robots pour commettre des actes malveillants qui ne peuvent être réalisés à partir d'un seul appareil. Parfois, ils vendent ou louent leur réseau à d'autres personnes sur le marché noir qui n'ont pas les compétences techniques nécessaires pour créer leur propre réseau.

Attaques DDoS

Déni de service distribué, ou DDoS, les attaques constituent l'une des utilisations les plus courantes d'un botnet. Les attaques DDoS tirent parti de l'ampleur d'un botnet pour surcharger un réseau ou un serveur avec un flot de requêtes. Cela peut faire planter les serveurs et bloquer le trafic légitime. Les attaques DDoS sont généralement motivées par des raisons personnelles, politiques et financières lorsqu'elles sont accompagnées d'une rançon.

Spam par e-mail

De nos jours, il est difficile d'être un spammeur d'e-mails. Mais c'est plus facile si vous disposez de centaines ou de milliers d'adresses IP qu'un botnet fournit pour envoyer des e-mails. Il y a beaucoup moins de chances d'être mis sur liste noire pour envoyer du spam.

Infractions financières

Les botnets ont également volé des fonds et des informations de cartes de crédit. En infectant un réseau d'ordinateurs avec un logiciel destiné à voler des informations, un bot herder peut récolter les informations financières de milliers de personnes peu méfiantes en quelques minutes.

Minage de cryptomonnaies

Le processus de « minage » qui génère des cryptomonnaies comme le Bitcoin nécessite beaucoup de puissance de traitement. Parfois, le minage coûte plus cher en électricité que la valeur de la crypto-monnaie qui en résulte. Un bot herder peut utiliser un botnet pour extraire des cryptomonnaies gratuitement.

Comment protéger les réseaux et les appareils contre les botnets

La protection d'un système ou d'un réseau contre les botnets comporte deux aspects. D'une part, vous voulez empêcher les appareils de votre réseau de devenir des robots dans un botnet. D'autre part, vous ne voulez pas non plus être la cible d'un botnet. Voici quelques moyens de protéger vos systèmes :

  • Les appareils qui se connectent à votre réseau doivent disposer d'un logiciel antivirus et antimalware. Il est fort probable qu'un logiciel antivirus à jour puisse détecter et supprimer une menace provenant d'un appareil infecté avant qu'il n'infecte d'autres appareils du réseau.
  • Les serveurs et les systèmes d'exploitation doivent être tenus à jour. Un moyen courant pour un attaquant de prendre le contrôle d'un appareil consiste à exploiter les failles connues des systèmes d'exploitation. L'application régulière de correctifs aux systèmes permettra de supprimer ces failles de sécurité.
  • Informez les utilisateurs afin qu'ils sachent qu'ils ne doivent pas télécharger de fichiers provenant de sites non fiables ou cliquer sur des liens contenus dans des e-mails auxquels ils ne s'attendent pas. Les systèmes de phishing sont l'un des vecteurs d'attaque les plus courants pour les botnets.
  • Utilisez un pare-feu. Un pare-feu peut aider à prévenir à la fois les infections par botnets et les attaques DDoS s'il est configuré correctement. Un pare-feu peut empêcher la navigation sur les sites malveillants et détecter quand les pics de trafic correspondent à un scénario d'attaque de botnet et limiter les appels réseau.
  • La microsegmentation peut être un moyen très efficace de prévenir les infections et les attaques de botnets. La microsegmentation permet de séparer chaque partie de votre réseau en fonction du niveau de charge de travail, empêchant ainsi le mouvement latéral des malwares et le mouvement du trafic non autorisé.
  • La protection DDoS basée sur le cloud appliquée à la périphérie du réseau peut empêcher les attaques avant même qu'elles n'aient le moindre impact sur votre réseau.

Conclusion

Les botnets constituent l'une des menaces les plus graves auxquelles les entreprises sont confrontées aujourd'hui. Un botnet est un réseau d'ordinateurs infectés par des logiciels malveillants qui peut être contrôlé depuis un emplacement central par un hébergeur de robots et dirigé vers une cible spécifique pour des raisons malveillantes. La puissance de traitement et l'anonymat des botnets les rendent dangereux.

Vous pouvez protéger vos réseaux et vos appareils contre les botnets grâce à un logiciel antivirus, à des mises à jour régulières, à des formations en matière de sécurité, à des pare-feux, à la microsegmentation et à une protection DDoS basée sur le cloud.

En savoir plus

Découvrez comment Plateforme de segmentation Illumio Zero Trust empêche la propagation des malwares.

retour au glossaire

Supposez Breach.
Minimisez l'impact.
Augmentez la résilience.

Vous souhaitez en savoir plus sur la segmentation Zero Trust ?

En savoir plus