et 
!
Ces réseaux d’ordinateurs pilotés à distance contrôlent des dizaines de milliers de terminaux dans le monde depuis des années, sans que les experts en sécurité ne trouvent de parade.
Depuis plus de quinze ans, les experts en sécurité informatique se battent sans relâche contre les botnets, les outils de base de toutes les grandes attaques informatiques. Or, de leur propre aveu, ils ne sont pas en train de gagner la bataille.
Un botnet est un réseau clandestin d’ordinateurs dont un pirate a pris le contrôle à distance, grâce à un logiciel malveillant (un « malware »). Une fois infecté, l’ordinateur devient un « zombie », un maillon docile dans une vaste chaîne. Depuis son centre de commande, le « botmaster », le pirate qui le contrôle, peut l’utiliser, à l’insu de son propriétaire, pour mener toutes sortes d’actions : bloquer des serveurs, envoyer du spam, propager des virus spécialisés, voler des masses de données personnelles, gonfler artificiellement le trafic d’un site pour en fausser les statistiques, ou même combiner la puissance de calcul d’un grand nombre de zombies pour effectuer des calculs complexes – par exemple craquer un mot de passe.
Puissance de feu quasi-invincible
Une attaque de botnet semble venir de partout à la fois, ce qui rend très difficile la localisation du centre de commande. De nos jours, un grand botnet peut compter plus de dix millions d’ordinateurs, ce qui donne au pirate une puissance de feu quasi-invincible. Les petits botnets, comptant quelques milliers de zombies, sont devenus monnaie courante.
Grâce à des analyses longues et minutieuses, les experts en sécurité parviennent de temps à autre à localiser un centre de commande, qui pourra ensuite être neutralisé – à condition que la police du pays d’accueil s’intéresse à l’affaire. En décembre 2015, Microsoft a annoncé le démantèlement de Dorkbot, un botnet rassemblant plus d’un million de machines, spécialisé dans le vol d’identifiants de services en ligne comme Netflix ou eBay. Dorkbot, qui s’attaquait aux ordinateurs équipés d’anciennes versions de Windows, déposait son malware de multiples façons : par e-mail, via Facebook, des messageries instantanées ou des sites Web piégés, et même hors-ligne, dans des clés USB.
Sa neutralisation fut une opération lourde : Microsoft affirme avoir travaillé avec la société de sécurité ESET, le FBI, Interpol, Europol, des agences polonaises et canadiennes… En revanche, Microsoft refuse d’expliquer la méthode utilisée, pour ne pas divulguer d’informations sensibles. Cela dit, un clone de Dorkbot pourrait sans doute être réactivé par une nouvelle équipe, car son malware est toujours en circulation.
Des réseaux vieux de dix ans
Ces victoires, même provisoires, sont assez rares. Lors de la conférence BotConf 2015, qui a réuni 265 experts de 34 pays à Paris début décembre, l’ambiance était combative, mais pas très optimiste : les intervenants ont surtout insisté sur les progrès constants réalisés par les botmasters. Un ingénieur sécurité français employé par une société américaine résume la situation : « L’innovation est menée par les attaquants, pas par les défenseurs. Quand un expert annonce qu’il a fait une découverte, ça signifie généralement qu’il a trouvé un fichier sur Internet, et repéré une erreur commise par un botmaster. Chaque année, nous organisons des conférences pour nous esbaudir sur les progrès incroyables réalisés par les attaquants au cours de l’année passée. »
Ainsi, certains botnets fonctionnent sans interruption depuis plus de dix ans, car les pirates les améliorent constamment pour déjouer la surveillance : chiffrement du trafic, reroutage via des réseaux d’anonymisation comme Tor et IP2, intégration des données volées dans des images anodines qui seront postées sur des réseaux sociaux puis récupérées par le botmaster… Les plus sophistiqués possèdent des systèmes d’alarme qui préviennent le botmaster quand une société de sécurité tente d’analyser le fonctionnement d’un échantillon de leur malware. Les « défenseurs » doivent alors créer des outils leur permettant d’observer les botnets sans être eux-mêmes repérés et attaqués…
