Comment contrer et prévenir les attaques de botnet sur votre site Web et votre serveur

Botnet DDoS

Parmi les nombreuses menaces de cybercriminalité qui pèsent sur l’Internet, les attaques DDoS figurent parmi les plus dévastatrices et les plus difficiles à juguler. Le nombre d’attaques DDoS ne cesse d’augmenter de par le monde et, à cet égard, 2020 a été une année noire en raison de la mutation massive vers davantage d’activités en ligne.

Les attaques DDoS s’appuient généralement sur des botnets, c’est-à-dire des ordinateurs ou d’autres dispositifs qui ont été infectés par des logiciels malveillants et se trouvent désormais sous le contrôle du cyberpirate. Ces botnets sont également susceptibles d’attenter à la cybersécurité par divers autres moyens : vol de données, prise de contrôle de comptes, scraping de contenus Web, etc.

Dans ce guide, nous allons voir comment contrer et prévenir les attaques des botnets sur votre site Web et votre serveur. Nous décrirons les différents types d’attaques de botnet et les manières de prévenir et atténuer efficacement les attaques entrantes perpétrées par ce biais.

Mais commençons par définir le concept même de botnet et les attaques qui en résultent.

Qu’est-ce qu’un botnet ?

Un bot, ou robot logiciel, est un programme automatisé conçu pour accomplir une tâche particulière sur Internet. Un bot de scraping de contenu, par exemple, a pour rôle exclusif de sauvegarder le contenu d’une grande quantité de pages Web différentes.

Un botnet est un réseau ou « cluster » composé de ce type de bots, qui exploite généralement un groupe d’ordinateurs ou d’autres dispositifs infectés par un logiciel malveillant, lesquels se trouvent désormais sous le contrôle du propriétaire de ce programme. Les botnets sont employés dans le but d’attaquer, et souvent d’infecter, d’autres ordinateurs et périphériques.

La plupart du temps, les pirates s’efforcent de dissimuler l’infection par tous les moyens aux yeux de leurs victimes, de manière à exploiter le botnet le plus longtemps possible.

Comment les botnets sont-ils créés ?

Pour mettre au point un botnet, les pirates commencent par développer un logiciel malveillant (ou par retravailler un programme déjà tout fait), qui vise à prendre le contrôle à distance d’un ordinateur hôte ou d’un autre dispositif infecté.

Un botnet se caractérise par le fait qu’après avoir piraté un ordinateur, il est susceptible d’infecter d’autres périphériques avec lesquels celui-ci interagit, par exemple en envoyant automatiquement des courriers électroniques non sollicités. Grâce à cette méthode, les pirates peuvent se retrouver à la tête de plusieurs centaines, milliers, voire millions d’ordinateurs.

Les logiciels malveillants concernés sont fréquemment des virus de type Trojan grimés sous forme de fichiers apparemment inoffensifs, qui incitent les utilisateurs à cliquer sur un fichier exécutable. Exemples :

Pièce jointe anodine en apparence, telle qu’une image attrayante, un document prétendument important (facture, offre spéciale), etc. Le fait de cliquer sur la pièce jointe pour la télécharger déclenche l’installation du logiciel malveillant.
Logiciel (ou fichier .exe) téléchargé à partir d’une source non fiable, qui peut être un botnet malveillant.
Fenêtre de publicité ou de notification en incrustation qui déclenche le téléchargement d’un fichier exécutable lorsque l’utilisateur clique dessus.

Il est également important de noter que les logiciels malveillants à base de botnets infectent non seulement les ordinateurs personnels ou portables, mais aussi les smartphones et même certains appareils connectés tels que les caméras de surveillance, consoles de jeu, etc.

Les botnets peuvent se « propager », c’est-à-dire infecter d’autres appareils, que ce soit de manière active ou passive :

Mode actif : le botnet peut se propager de façon autonome, sans nécessiter l’intervention d’un utilisateur. En général, un botnet actif est doté d’un mécanisme conçu pour rechercher d’autres hôtes potentiels sur Internet, en l’occurrence des ordinateurs présentant des vulnérabilités connues, et les infecter lorsque cela est possible.
Mode passif : le botnet ne peut infecter d’autres appareils qu’avec le concours d’une intervention humaine. Une attaque par hameçonnage ou ingénierie sociale peut par exemple être lancée afin d’infecter d’autres appareils.

En quoi consiste une attaque de botnet ?

En termes simples, une attaque de botnet désigne toute activité malveillante perpétrée par un pirate ou un cybercriminel par le biais de ce type de programme.

La forme la plus courante d’attaque via un botnet est celle dite par déni de service, ou DDoS (Distributed Denial of Service). Dans ce cas, le pirate envoie, via le botnet, une quantité massive de requêtes et/ou de trafic en direction d’un site ou d’un serveur Web, afin de le submerger et l’empêcher de servir les requêtes de ses utilisateurs légitimes (d’où le terme de « déni de service »).

En outre, d’autres formes d’attaques malveillantes peuvent être menées au moyen de botnets :

Attaques de spam : lorsqu’un serveur Web configuré avec le protocole SMTP ou POP3 est partiellement transformé en botnet, il peut être détourné dans le but d’envoyer des spams et autres e-mails frauduleux visant à escroquer le destinataire, pour infecter le périphérique ciblé avec des logiciels malveillants, ainsi que pour diverses autres fins.
Minage de crypto-monnaies : un type courant de menace pour la cybersécurité apparu ces dernières années consiste à détourner le botnet dans le but de miner des crypto-monnaies et octroyer à l’assaillant un gain financier.
Trafic frauduleux : fraude au clic générée par du trafic Web fictif ou des publicités, avec pour objectif de générer des revenus.
Demande de rançon : infection d’appareils au moyen d’un rançongiciel (ransomware), avec sollicitation financière pour « libérer » l’appareil ou obligation de verser une rançon pour extraire l’appareil du botnet.
Logiciel espion : le botnet espionne les activités des utilisateurs, recueille leurs mots de passe et les informations relatives à leurs cartes de crédit, ou d’autres données sensibles, puis les fait remonter au propriétaire du botnet. Le cyberattaquant peut alors revendre ces données sensibles sur le marché illégal,

et le botnet lui-même peut être cédé ou sous-loué à d’autres pirates.

Les différents types de botnet

Les différents types de botnets se distinguent selon le mode de contrôle utilisé par l’attaquant. Il existe en réalité plusieurs méthodes plus ou moins sophistiquées pour commander et contrôler le botnet.

En général, dans un botnet de grande envergure, un « éleveur » ou propriétaire principal dirige l’ensemble du botnet à partir d’un serveur central, tandis que d’autres éleveurs de rang inférieur en contrôlent une sous-partie.

Il existe une grande variété de botnets, mais les plus courants sont les suivants :

Commande et contrôle (C&C) : dans ce type de dispositif, tous les périphériques membres du botnet communiquent avec un « herder » ou un serveur central.
IRC : « Internet Relay Chat ». Ce type de botnet exploite une bande passante réduite et des communications simplifiées (telles que mIRC) pour masquer son identité et contourner la détection.
Telnet : dans ce type de réseau de bots, tous les appareils sont connectés au serveur de commande principal. Il s’agit donc d’une sous-catégorie du type C&C. La principale différence réside dans le fait que les nouveaux ordinateurs sont ajoutés au botnet par l’intermédiaire d’un script d’analyse exécuté sur un serveur externe. Une fois la connexion identifiée par le programme de scannage, elle est infectée par un logiciel malveillant via le protocole SSH.
Domaines : un appareil infecté accède à des pages Web ou à des domaines qui distribuent des commandes. Le propriétaire du botnet peut mettre le code à jour occasionnellement.
P2P : dans ce type de réseau, les botnets sont connectés non pas à un serveur central, mais via des liaisons entre homologues (« peer-to-peer »). Chaque appareil infecté dans le botnet agit à la fois en tant que serveur et client.

Défis liés à l’interception et à la prévention des attaques de botnet

Compte tenu du nombre de botnets actuellement en circulation sur Internet, la protection est assurément indispensable, mais elle n’est guère aisée à mettre en œuvre. Pour tirer parti des vulnérabilités et des failles de sécurité, les botnets sont en perpétuelle mutation. Chaque botnet peut donc présenter des dissemblances marquées par rapport à ses congénères.

Les opérateurs de botnet savent pertinemment que plus ils emploieront d’adresses IP et de dispositifs dans leurs attaques, plus les technologies de défense anti-bots peineront d’une part à filtrer de façon fiable les requêtes d’accès aux sites Web et aux API illicites, d’autre part à autoriser en toute confiance l’accès aux requêtes des clients ou partenaires légitimes.

La prolifération des appareils IoT pilotables par protocole IP permet aux botnets d’étendre plus facilement que jamais leurs ramifications. Les appareils connectés à l’Internet des objets sont généralement plus vulnérables que les ordinateurs personnels dans la mesure où ils font l’objet d’une protection moins stricte. Les appareils IoT infectés permettent aux attaquants de perpétrer des attaques faibles et lentes au cours desquelles de vastes pools d’adresses IP n’émettent qu’une poignée de requêtes. Ce type d’attaque par botnet est particulièrement difficile à détecter et à protéger en termes de gestion du protocole IP et de comportement du réseau.

Concrètement, pour stopper et prévenir les attaques de botnet, il faut pouvoir compter sur des capacités de détection sophistiquées.

Comment contrer et prévenir les attaques de botnet

1. Maintenez vos logiciels à jour

De nouveaux virus et logiciels malveillants naissent quotidiennement, aussi est-il crucial de veiller à maintenir l’ensemble de votre système à jour afin de prévenir les attaques de botnet.

De nombreuses attaques de botnet sont conçues pour exploiter les failles des applications ou des logiciels. Ces vulnérabilités sont, en majeure partie, combattues grâce à la diffusion de mises à jour et de correctifs de sécurité. Vous devez donc prendre l’habitude d’actualiser régulièrement vos logiciels et votre système d’exploitation. Il faut à tout prix éviter de vous retrouver infecté par des logiciels malveillants ou d’autres types de menaces pour la cybersécurité au motif que vous auriez omis de mettre vos logiciels à jour.

2. Surveillez étroitement votre réseau

Soumettez votre réseau à une vigilance de chaque instant afin de détecter les activités qui sortent de l’ordinaire. Cette surveillance sera d’autant plus efficace lorsque vous aurez appris à mieux connaître votre trafic nominal et la manière dont tous les composants se comportent en temps normal.

La mise en place d’une surveillance du réseau 24 heures sur 24 doit, si possible, être la règle. Elle devra reposer sur des solutions d’analyse et de collecte de données capables de détecter automatiquement les situations anormales, telles que les attaques de botnet.

3. Surveillez les tentatives de connexion ayant échoué

L’une des menaces les plus sérieuses qui pèsent sur les entreprises en ligne est la prise de contrôle de compte, ou ATO (« account takeover »). Les botnets sont souvent employés pour tester d’immenses quantités de combinaisons de nom d’utilisateur et de mot de passe dérobées, dans le but d’obtenir l’accès à des comptes d’utilisateurs protégés.

Le suivi de votre taux habituel d’échecs de connexion peut vous aider à établir une base de référence. Vous pourrez ainsi mettre en place des alertes vous informant de tout pic au niveau des échecs de connexion, ce qui peut être le signe d’une attaque par un botnet. Il faut cependant noter que dans certains cas, les attaques « faibles et lentes » émanant d’un grand nombre d’adresses IP différentes ne déclenchent pas ces alertes liées aux attaques de botnet.

4. Mise en œuvre d’une solution avancée de détection des botnets

La meilleure démarche pour protéger votre site et votre serveur Web contre les attaques de botnet consiste à investir dans un service d’interception évolué tel que DataDome, qui est capable de détecter les botnets en temps réel.

Alors que les opérateurs de botnets emploient désormais des moyens très sophistiqués pour masquer l’identité de leurs programmes, la solution de DataDome assistée par intelligence artificielle effectue une analyse comportementale en temps réel, détecte le trafic des botnets et bloque toutes les activités de ces derniers avant même qu’ils n’atteignent votre serveur Web.

DataDome met en commun les données issues de milliers de sites, analyse plusieurs milliards de requêtes par jour et s’appuie sur un apprentissage automatique avancé pour réactualiser son algorithme en permanence. Dès lors, la solution de prévention des botnets peut détecter simultanément les programmes connus et les nouvelles menaces en temps réel.

Mieux encore, DataDome ne nécessite aucune atténuation active des botnets ni aucune autre intervention quotidienne de votre part. Il vous suffit de configurer une liste autorisée des robots partenaires de confiance pour que DataDome prenne en charge l’ensemble du trafic indésirable et vous permette de vous concentrer sur des projets de plus grande valeur.

Conclusion

Les attaques de botnet peuvent être extrêmement dangereuses. En appliquant les méthodes ci-dessus, vous pourrez mettre en place une défense efficace contre les attaques des botnets et autres logiciels malveillants. En règle générale, la meilleure approche pour protéger votre site contre les attaques de botnets et les logiciels malveillants consiste à investir dans un logiciel de détection des botnets en temps réel tel que DataDome.