Un botnet est un réseau de robots composé d'ordinateurs et autres appareils infectés par un malware, permettant à un cybercriminel d'en prendre le contrôle. Le hacker peut ensuite utiliser cette armée de machines pour lancer différentes attaques telles qu'une DDoS ou une campagne de phishing. Découvrez tout ce que vous devez savoir sur cette grave menace de cybersécurité.
Afin de lancer des cyberattaques massives, les hackers ont besoin d'une forte puissance de frappe. Certaines opérations requièrent une véritable armée d'ordinateurs.
Pour lancer de telles offensives, les cybercriminels n'attendent pas les soldes pour acheter des centaines d'appareils. À la place, ils piratent votre propre ordinateur pour l'enrôler dans un botnet.
Qu'est-ce qu'un botnet ?
Le mot botnet est composé des termes « robot » et « network » (réseau). Un botnet est un réseau d'ordinateurs privés infectés par un malware. Grâce à ce logiciel malveillant, un hacker peut contrôler les ordinateurs à distance à l'insu de leurs propriétaires.
Par la suite, le cybercriminel peut utiliser le réseau d'ordinateurs infectés pour surcharger des serveurs de trafic afin de neutraliser des sites web. Le botnet peut également être exploité pour miner des cryptomonnaies, inonder le web de spams, envoyer des emails de phishing en masse ou même faire gagner de l'argent à des sites web grâce au trafic généré.
Le « bot herder » (berger de robots) est la personne exploitant le botnet et les ordinateurs compromis pour lancer des attaques. Chaque appareil constituant le botnet est désigné comme un bot : une application logicielle exécutant des scripts automatisés sur le réseau.
Les attaques de botnet peuvent être très néfastes pour les performances d'un ordinateur. Heureusement, il est possible de se protéger contre ce fléau en adoptant les bonnes pratiques de cybersécurité.
À quoi servent les botnets ? Les différents types d'attaques
Un botnet peut être utilisé par un hacker de différentes façons. L'un des principaux cas d'usage est une attaque par déni de service ou attaque DDoS visant à surcharger un site web de trafic pour le faire planter.
Lors d'une telle attaque, le botnet envoie un nombre massif de requêtes vers un serveur ou une application pour provoquer le crash. Les DDoS sur la couche réseau reposent sur différentes techniques comme les floods SYN et UDP ou l'amplification DNS pour consommer la bande-passante de la cible et empêcher les requêtes légitimes d'être traitées.
De leur côté, les DDoS sur la couche application utilisent le flood HTTP, les attaques Slowloris ou RUDY et d'autres méthodes pour cibler les vulnérabilités d'un système d'exploitation, d'une application ou d'un protocole dans le but de faire planter une application spécifique.
L'un des botnets les plus connus est Mirai : un réseau composé de centaines de milliers d'appareils IoT compromis. En 2016, ce botnet avait mené des attaques DDoS contre OVH, DYN et Krebs on Security.
Le réseau peut également être utilisé pour envoyer des emails de spam ou de phishing à des millions d'internautes simultanément. Il est très difficile de déjouer une telle campagne d’hameçonnage, car le réseau est automatisé et composé de nombreux robots.
En outre, un botnet peut être utilisé en guise de spambot pour collecter des adresses email sur les sites web, forums et autres plateformes en ligne. Ces adresses sont ensuite utilisées pour créer des comptes et envoyer des messages de spam. Plus de 80% des spams seraient envoyés par des botnets.
Un botnet peut aussi servir à générer du trafic sur le site web du hacker pour lui apporter des revenus, ou même remplacer les bannières de publicités de votre navigateur web pour promouvoir ses propres produits.
Comment fonctionne un botnet ?
La création d'un botnet repose sur trois étapes principales : exposer, infecter, activer. Au cours de la première étape, le hacker trouve une vulnérabilité sur un site web, une application, ou même dans le comportement des internautes afin de les exposer au malware.
Le but du bot herder est que les utilisateurs n'aient pas conscience de leur exposition et de l'éventuelle infection au malware. Il peut notamment exploiter les failles de sécurité d'un logiciel ou d'un site web pour délivrer son malware par le biais d'emails, de téléchargements ou d'un Cheval de Troie.
Lors de la deuxième étape, les appareils des victimes sont infectés par un malware pouvant prendre le contrôle de leurs appareils. Cette infection initiale permet aux hackers de créer des appareils dits « zombis » en utilisant des techniques comme les kits d'exploitation, les téléchargements web, les pop-ups publicitaires ou les pièces jointes d'emails.
Si le botnet est centralisé, le herder pourra diriger l'appareil infecté vers un serveur C&C. Dans le cas d'un botnet P2P, la propagation de pair-à-pair commence et les appareils zombis cherchent à se connecter à d'autres appareils infectés.
Enfin, la troisième étape commence lorsque le bot herder a infecté suffisamment de robots. Il peut alors commencer à déployer ses attaques. Les appareils zombis téléchargent la dernière mise à jour du canal C&C afin de recevoir ses ordres.
Le botnet exécute les ordres, et s'engage dans les activités malveillantes. Le bot herder peut continuer à gérer à distance et à étendre le réseau pour mener diverses activités. Son but est d'infecter autant d'appareils que possible pour lancer des attaques massives.
Quels appareils peuvent être enrôlés par un botnet ?
N'importe quel type d'appareil connecté à internet peut être recruté par un botnet. Outre les ordinateurs et PC portables traditionnels sous Windows ou macOS, les appareils mobiles tels que les smartphones et tablettes peuvent aussi être pris pour cible.
Ceci concerne aussi le hardware d'infrastructure permettant la connexion à internet, y compris les routeurs et les serveurs web. De même, les objets connectés et autres appareils IoT peuvent être enrôlés.
Cette catégorie d'appareils regroupe les produits de la maison connectée, les systèmes d'infotainment dans les véhicules, ou même les accessoires portables tels que les montres et bracelets connectés.
Tous ces différents appareils peuvent être corrompus et combinés pour créer de gigantesques botnets. Avec la saturation du marché technologique par des appareils à bas coût mal sécurisés, les consommateurs sont devenus particulièrement vulnérables à cette menace.
Comment un ordinateur est-il infecté par une attaque botnet ?
Afin d'infecter un ordinateur pour l'enrôler dans un botnet, les hackers utilisent différentes stratégies. Bien souvent, les emails de phishing ou hameçonnage représentent un composant clé.
Le cybercriminel peut envoyer un email légitime en apparence, dont l'expéditeur semble être une marque ou une institution connue ou même un proche de la cible. Le message peut contenir une pièce jointe, ou même un lien vers un site web.
En réalité, dès que l'utilisateur ouvre la pièce jointe ou clique sur le lien, le téléchargement du malware s'enclenche. La machine est contaminée, et le hacker est en mesure de l'enrôler dans son réseau botnet. La victime ne s'en rend pas forcément compte.
Comment les botnets sont-ils contrôlés ?
Il existe deux façons permettant au hacker de contrôler un botnet : un modèle centralisé avec communication directe entre le bot herder et chaque ordinateur, ou un modèle décentralisé avec de multiples liens entre tous les appareils du réseau.
La première génération de botnets reposait sur une architecture client-serveur, au sein de laquelle un serveur C&C (commande et contrôle) gère le botnet entier. Ce modèle est très simple, mais constitue un point individuel de défaillance.
Les principaux canaux de communication C&C sont IRC et HTTP. Les botnets IRC sont l'un des types les plus anciens, et sont contrôlés à distance avec un canal et un serveur IRC pré-configuré. Les robots se connectent au serveur et attendent les ordres du bot herder.
De son côté, un botnet HTTP est basé sur le web. Le bot herder utilise le protocole HTTP pour envoyer des commandes, ce qui lui permet de déguiser ses activités en trafic web ordinaire. Les robots visitent le serveur de temps à autre pour recevoir des mises à jour et de nouvelles commandes.
Dans le cas d'un modèle décentralisé de pair-à-pair, les robots partagent les commandes et les informations entre eux et ne sont pas en contact direct avec le serveur C&C. Les botnets P2P sont plus difficiles à implémenter que les botnets IRC ou HTTP, mais sont aussi plus résilients puisqu'ils ne reposent pas sur un unique serveur centralisé.
À la place, chaque robot fonctionne indépendamment et à la fois comme client et serveur. Chacun partage et met à jour les informations de façon coordonnée entre les appareils du réseau.
Comment savoir si un ordinateur est enrôlé dans un botnet ?
Plusieurs symptômes peuvent suggérer une infection botnet. Toutefois, ils peuvent aussi résulter d'un autre type de malware, d'un problème matériel ou d'un bug logiciel.
Un ordinateur est potentiellement enrôlé par un botnet s'il présente une activité excessive sans explication au niveau de son processeur, de son disque dur ou même de ses ventilateurs.
De même, les botnets consomment beaucoup de mémoire. Vous pouvez vérifier l'usage de la RAM pour détecter une éventuelle anomalie.
Un logiciel malveillant peut aussi ralentir l'extinction ou le redémarrage de l'ordinateur. Les programmes et applications peuvent également sembler défaillants.
De même, si internet semble plus lent que d'habitude et que le routeur fonctionne à plein régime, alors que vous ne téléchargez aucun fichier, la cause peut être une infection botnet.
Si vos contacts se plaignent de recevoir des spams ou des emails malveillants de votre part, votre machine est probablement enrôlée par un botnet.
Comment se protéger contre les botnets ?
La plupart des victimes d'un botnet n'ont même pas conscience que leurs ordinateurs sont compromis par des hackers. C'est ce qui rend cette cybermenace particulièrement sournoise.
Heureusement, il existe des précautions très simples permettant d'empêcher les criminels d'enrôler vos appareils dans un réseau de robots.
Veillez à installer un logiciel antivirus capable de détecter les malwares, de les supprimer de votre machine et d'empêcher les futures attaques. En outre, installez toujours les mises à jour du système d'exploitation de l'ordinateur. De préférence, configurez vos appareils pour installer les mises à jour automatiquement.
Les hackers exploitent souvent des failles connues pour installer les botnets. Dès qu'une vulnérabilité est découverte et annoncée par les éditeurs de logiciels, les criminels se précipitent pour créer des programmes afin de les exploiter.
L'authentification à double facteur permet d'empêcher les malwares de botnet d'accéder aux comptes et appareils si un mot de passe est compromis. Un système de détection d'intrusion peut également être déployé sur le réseau.
Par ailleurs, ne téléchargez jamais de pièces jointes et ne cliquez jamais sur les liens dans les emails d'expéditeurs inconnus. C'est l'une des façons les plus courantes d'envoyer des malwares.
Lorsque vous naviguez sur internet, utilisez un firewall et ne visitez pas de sites web connus pour distribuer des malwares. De manière générale, gardez en tête que les hackers s'en prennent aux proies les plus faibles. En renforçant vos défenses, vous les dissuaderez de s'en prendre à vous.
La meilleure façon de protéger votre entreprise contre les botnets est d'apprendre aux employés à identifier les tentatives de phishing et les cyberattaques, par le biais d'une formation de cybersécurité.
Comment suivre une formation de cybersécurité ?
Afin de former vos employés aux bonnes pratiques de cybersécurité, vous pouvez choisir la Cyber University. Nous vous proposons un cursus sur-mesure, dont le volume horaire et le contenu correspondent à vos besoins et à votre effectif.
Que l'objectif soit l'upskilling ou le reskilling, nos experts en cybersécurité sont capables de former vos employés et de répondre à toutes leurs questions. Grâce à notre simulateur de cyberattaque, tous les participants seront préparés à réagir efficacement en situation réelle.
Si vous souhaitez commencer une carrière ou vous reconvertir dans la cybersécurité, nous proposons une formation d'analyse SOC 2 d'une durée de 365 heures. Ce parcours peut être complété en BootCamp ou en Formation Continue, et permet d'obtenir la certification GIAC Certified Forensic Analyst (GCFA).
Au fil du cursus, vous découvrirez les fondamentaux de la cybersécurité, les stratégies d'attaques et de défense, les composants de la cyberdéfense, le cadre juridique et normatif, ou encore la gestion de crise cyber.
À l'issue du programme, vous aurez toutes les compétences requises pour exercer le métier d'analyste en cybersécurité au sein d'un SOC (Security Operations Center). L'opportunité de commencer une carrière tournée vers l'avenir dans un domaine en plein essor !
Notre organisme est reconnu par l'État, et éligible au Compte Personnel de Formation pour le financement. N'attendez plus et découvrez la Cyber University !
Vous savez tout sur les botnets. Pour plus d'informations sur le même sujet, découvrez notre dossier complet sur les malwares et notre dossier sur les ransomwares.