Qu’est-ce qu’une attaque par botnet et comment fonctionne-t-elle ?

Qu’est-ce qu’une attaque par botnet ?

Une attaque par botnet est une attaque qui s’appuie sur un botnet, un réseau de bots et d’appareils liés ensemble pour effectuer une même tâche. Les attaques par botnet sont utilisées par les cybercriminels pour scraper d’importants volumes de données, mener des attaques DDoS et d’autres cybercrimes à grande échelle. Il est vital de protéger votre entreprise contre ces menaces : beaucoup d’organisations ont déjà subi les conséquences d’un botnet à louer.

Dissiper le malentendu : Bot vs. Botnet

Parfois, les termes “bot” et “botnet” sont utilisés de manière interchangeable. Pourtant, bien que les bots et les botnets soient liés, ces deux termes ne désignent pas le même concept. Un bot est un programme logiciel tandis qu’un botnet est un groupe d’appareils.

Qu’est-ce qu’un bot ?

Un bot est un programme informatique conçu pour effectuer des tâches automatisées sur Internet. Ces tâches sont généralement relativement simples et répétitives, et un bot peut les exécuter beaucoup plus rapidement et avec plus de précision qu’un utilisateur humain. Googlebot, par exemple, est un bot appartenant à Google qui est utilisé pour explorer et indexer des sites Web, y compris ce site. Il effectue techniquement un travail qui peut être fait par n’importe quel humain : copier et coller des données, mais il peut le faire à un rythme beaucoup plus rapide et avec une plus grande précision.

Qu’est-ce qu’un botnet ?

Le terme botnet est en fait l’abréviation de “robot network”, qui fait référence à un groupe d’appareils (ordinateurs, téléphones mobiles, appareils IoT) qui sont sous le contrôle d’une de l’attaquant. 

Les appareils sous le contrôle d’un “bot herder” (littérement, berger de bot en français) sont désignés par le terme d’appareils “zombie”, bien qu’ils soient parfois simplement appelés “bots” — d’où la confusion mentionnée ci-dessus.

Comment fonctionne une attaque par botnet ?

Une fois qu’un cybercriminel (ou bot herder) a le contrôle d’un groupe d’appareils infectés (constituant un botnet), il peut commander à distance chaque appareil pour effectuer simultanément des activités coordonnées, y compris des activités malveillantes et criminelles telles que :

• Des attaques par DDoS : les attaques par déni de service distribué exploitent le nombre d’appareils dans le botnet pour envoyer une énorme quantité de requêtes afin de surcharger un serveur ou un site Web, ce qui le rend le service inaccessible aux utilisateurs légitimes. Même de grandes entreprises comme Sony et Electronic Arts ont été victimes d’attaques DDoS à grande échelle causées par des botnets qui auraient pu être stoppées par de meilleurs services de protection contre les DDoS.

• Des attaques de spam : la majorité des attaques de spam en ligne (spam par email, spam dans les sections de commentaires, spam de formulaires, etc.) sont réalisées par des botnets. Leur finalité est souvent de diffuser des logiciels malveillants et de réaliser des tentatives de phishing. Il existe des botnets capables de lancer des dizaines de milliards de messages de spam par jour.

• Des violation de données : certains botnets sont spécialement conçus pour voler des informations confidentielles et précieuses telles que les détails bancaires, les numéros de carte de crédit, etc. Par exemple, le botnet ZeuS vole des informations de compte sur divers sites e-commerce, bancaires et sur les réseaux sociaux. Les botnets peuvent cibler des services à haute valeur ajoutée très spécifiques et des actifs numériques issus de violations et de fuites de données. 
• De la surveillance : les appareils zombies peuvent surveiller les activités d’un l’utilisateur et scanner les mots de passe et ainsi que ses informations financières pour les rapporter au cybercriminel.
  
• Propagation du Botnet : Un botnet recherchera des vulnérabilités dans d’autres appareils, sites Web et réseaux pour propager son logiciel malveillant à d’autres machines et agrandir le botnet, accentuant ainsi l’ampleur et la gravité de l’attaque par botnet.

Comment est créé un botnet ?

Les botnets sont toujours constitués d’un serveur de commande et de contrôle (C&C ou C2) et d’un groupe d’appareils zombies.

1. Serveur C&C

Le bot herder gère un appareil (ou un groupe d’appareils) qui agit comme un serveur C&C, envoyant des commandes de programmation aux appareils zombies pour diriger leurs activités. Il peut également louer le serveur C&C (ou les commandes) à d’autres parties. Par exemple, une entreprise peut louer un serveur C&C et commander à un botnet de lancer une attaque DDoS contre ses concurrents.

Il existe deux types de serveurs C&C :

• Centralisé : un serveur C&C centralisé suit un modèle de gestion de bot client-serveur, dans lequel un seul serveur C&C commande tous les appareils zombies dans un réseau centralisé. Dans certains cas, des serveurs C&C supplémentaires peuvent être chargés comme sub-herders entre le serveur C&C principal et les appareils zombies, créant une hiérarchie basée sur des proxy, mais toutes les commandes viennent du serveur C&C principal. Le modèle centralisé permet de découvrir assez facilement qui le bot herder, il est donc considéré comme obsolète.

• Décentralisé : dans cette approche plus moderne, tous les appareils zombies peuvent envoyer et rediriger des commandes les uns aux autres. Le serveur C&C principal n’a besoin de contacter qu’un des appareils zombies pour s’assurer que la commande est relayée aux autres zombies, c’est pourquoi ce modèle est également appelé modèle “peer-to-peer”. Le modèle décentralisé protège l’identité du bot herder en rendant le serveur C&C plus difficile à tracer.

2. Appareils Zombies

Comme évoqué, les appareils zombies — souvent appelés bots — sont des appareils qui ont été pris en charge par le bot herder dans le cadre du botnet, principalement en raison d’une infection par un logiciel malveillant. Ces appareils, une fois compromis, suivront aveuglément la commande du serveur C&C.

Bien que différents bot herder puissent utiliser diverses techniques pour « recruter » de nouveaux appareils dans le botnet, le recrutement implique généralement trois phases principales :

Phase 1 : Recherche et Exploitation de Vulnérabilités

La première étape, et sans doute la plus cruciale, implique que l’attaquant recherche et trouve des vulnérabilités dans le comportement d’un utilisateur humain — une application/logiciel, un site Web, ou tout autre point d’entrée potentiel à un appareil. L’objectif de l’attaquant dans la phase 1 est de trouver des moyens de prendre le contrôle d’un appareil, comme toute vulnérabilité qui peut être exposée à une infection par un logiciel malveillant.

Par exemple, l’attaquant peut trouver des vulnérabilités dans le comportement d’un utilisateur d’appareil indiquant que le malware pourrait être distribué avec succès à l’utilisateur via un e-mail de spam/phishing. L’attaquant pourrait aussi remarquer une vulnérabilité non corrigée dans une application ou un OS à exploiter.

Phase 2 : Infection Réelle par Malware

Dans cette phase, l’appareil est infecté par un malware et est désormais sous le contrôle du bot herder.

L’infection peut se produire de deux manières différentes :

• Passive : l’infection se produit sans aucune aide des utilisateurs humains. C’est notamment le cas lorsque l’infection se produit en raison d’une vulnérabilité logicielle exploitée.
• Active : l’infection se produit après qu’un utilisateur humain ait effectué une action, comme le téléchargement d’une pièce jointe d’e-mail ou un clic sur un lien d’un site Web déjà infecté.

Une fois infecté, quel que soit la méthode utilisée, l’appareil tombe sous le contrôle de l’attaquant.

Phase 3 : Prise de Contrôle de l’Appareil Compromis

La troisième et dernière phase implique que le bot herder organise les appareils infectés en un réseau, le botnet, et effectue les configurations nécessaires pour s’assurer que chacun des appareils infectés puisse être géré à distance via le serveur C&C.

Le bot herder répétera ces trois phases avec de nombreux appareils pour augmenter la taille du botnet. Dans certains cas, les botnets sont capables de croître pour inclure des millions d’ordinateurs, de smartphones et d’appareils IoT.

3 Attaques de Botnet les Plus Préoccupantes

Bien que l’utilisation d’un botnet pour propager des infections par malware soit par définition une attaque par botnet, les botnets sont plus souvent utilisés pour exécuter des attaques cybercriminelles à très grande échelle en raison de la taille des réseaux zombies.

Il existe principalement trois types essentiels contre lesquels il faut protéger votre système/site Web :

1. Phishing

La plupart des botnets comptent sur des tactiques de spam et de phishing pour infecter plus d’appareils et accroître la taille du botnet.

Dans le phishing et d’autres formes d’attaques d’ingénierie sociale, le botnet enverra des e-mails, publiera des commentaires et créera des messages sur les plateformes de médias sociaux en imitant des personnes et/ou des organisations connues et de confiance de la victime ciblée.

En tant qu’attaque de botnet, le phishing peut être particulièrement difficile à défendre car, quelle que soit l’avancée de votre infrastructure de sécurité, elle peut s’effondrer complètement lorsqu’un seul employé ou utilisateur de votre réseau est victime d’une attaque de phishing. C’est pourquoi l’erreur humaine reste la principale cause des attaques réussies de violation de données et des cyberattaques.

2. Déni de Service Distribué (DDoS)

L’idée derrière l’utilisation de botnets pour des attaques DDoS est de submerger un serveur cible avec un nombre massif de requêtes (provenant des appareils zombies) pour faire rendre inaccessible ou ralentir considérablement le serveur.

Le DDoS est l’une des méthodes les plus courantes d’utilisation des botnets dans les attaques criminelles, et souvent la plus dangereuse. Les dommages résultant des attaques DDoS peuvent être sévères et durables, non seulement en termes de dommages financiers, mais aussi de conséquences sur la réputation et l’image de marque.

Il est très important pour toute entreprise de service en ligne d’adopter des mesures anti-DDoS et de préparer un plan de réponse anti-DDoS. Lorsqu’une attaque DDoS se produit, il est déjà trop tard pour planifier votre réponse : celui-ci doit donc être prévu à l’avance. C’est pourquoi de nombreuses entreprises utilisent un logiciel de protection DDoS.

3. Attaque d’Account Takeover

Les bot herders peuvent utiliser des botnets pour réaliser diverses formes d’attaques d’Account Takeover (ATO), notamment par force brute (credentials cracking) et des attaques de credentials stuffing.

Dans une attaque par force brute, les appareils zombies sont essaient chaque combinaison possible pour tenter “craquer” un mot de passe utilisateur. Par exemple, si c’est un code PIN à 4 chiffres, le premier appareil zombie essaiera « 0000 », le second zombie essaiera « 0001 », et ainsi de suite jusqu’à « 9999 » ou jusqu’à ce que le bon PIN soit deviné.

Se défendre contre les attaques ATO de botnets est un défi, car certains utilisateurs choisissent des mots de passe faciles à forcer. L’utilisation d’un logiciel de prévention d’account takeover minimise ce risque.

Comment se protéger et protéger votre entreprise contre les botnets

Les menaces importantes présentées par les botnets et diverses formes d’attaques par botnets rendent essentiel de protéger votre entreprise, vos clients et vos systèmes contre les attaques de botnets. Voici quelques meilleures pratiques importantes à considérer pour se défendre contre les attaques de botnets :

1. Effectuez des mises à jour régulières

Vos collaborateurs doivent régulièrement mettre à jour leur OS, applications et solutions logicielles — idéalement dès que les mises à jour sont disponibles. Les correctifs de sécurité existent pour une raison, et la plupart des fournisseurs de logiciels publieront les vulnérabilités connues dès qu’elles seront corrigées. Si vous n’avez pas mis à jour votre OS lorsque les vulnérabilités sont rendues publiques, cela constitue une faille potentielle pour que les bot herders infectent votre système et recrutent vos appareils dans un botnet.

Si vous ne pouvez pas automatiser les mises à jour sur tous vos systèmes et appareils pour une raison quelconque, planifiez des mises à jour manuelles régulières au moins une fois par semaine.

2. Choisissez la bonne solution de détection de botnet

Pour protéger efficacement tout votre SI contre les attaques de botnets, vous avez besoin d’une solution professionnelle de logiciel de détection de botnet conçue pour détecter en temps réel l’activité malveillante des botnets en temps réel.

Alors que les botnets deviennent de plus en plus sophistiqués pour masquer leurs identités, la détection classique basée sur les signatures (empreintes digitales) et la réputation IP ne sont plus suffisantes. Optez plutôt pour une solution qui s’appuie sur l’IA et le machine learning pour mener des analyses basées sur le comportement et et capable d’examiner 5 trillions de signaux par jour pour une a détection de botnet extrêmement précise.

3. Formez vos utilisateurs et employés pour éviter les attaques de phishing

Assurez-vous de dispenser à vos collaborateurs une formation sur les bonnes pratiques pour éviter les attaques de phishing : les employés sont les plus susceptibles d’être ciblés en raison de leur rôle dans l’organisation. Cette formation doit notamment mentionner :

• d’éviter de télécharger des pièces jointes par e-mail à moins d’être sûr à 100 % de l’identité de l’expéditeur. Enquêtez soigneusement et vérifiez l’adresse e-mail de l’expéditeur avant de cliquer sur une pièce jointe ou un lien inattendu.
• d’installer un logiciel antivirus/anti-malware pour analyser automatiquement et avec précision les pièces jointes pour détecter les logiciels malveillants.
• d’éviter de cliquer sur des liens dans des messages (e-mails, messages textes, messages directs sur les réseaux sociaux, etc.) à moins d’être sûr à 100 % de l’expéditeur. Lorsque vous devez visiter le lien, il est préférable d’entrer manuellement l’URL dans la barre d’adresse de votre navigateur pour éviter le DNS cache poisoning, plutôt que de cliquer directement dessus.

4. Utilisez des mots de passe forts et uniques

Utilisez toujours des mots de passe forts/complexes pour tous vos comptes, notamment pour les comptes administrateurs. Assurez-vous également que chaque mot de passe soit unique pour chaque compte. Le fait d’utiliser plusieurs fois le même mot de passe multiplie les risques.

5. Optez pour un logiciel Anti-Malware

Puisque la plupart des infections d’un appareil par un botnet se produisent via des malwares, il est crucial d’investir dans un logiciel antivirus/anti-malware suffisamment puissant pour protéger votre appareil et votre système contre les malwares distribués par les botnets. Assurez-vous également de mettre à jour votre solution antivirus régulièrement.

Conclusion

Les botnets sont l’une cybermenaces parmi les plus sophistiquées et dangereuses, ce qui en fait une préoccupation sérieuse pour les entreprises, les individus et même les gouvernements.

Bien qu’il soit difficile de se défendre contre les botnets et les attaques de botnets, ce n’est pas impossible. En suivant les conseils partagés ci-dessus et en choisissant une solution complète spécialisée dans la protection contre les bots, vous pourrez protéger efficacement vos équipements d’une transformation en appareils zombies et atténuer le risque que votre système/réseau soit affecté par diverses formes d’attaques de botnets.