Botnet - Définition

Introduction

Un botnet est un ensemble de bots informatiques qui sont reliés entre eux. Historiquement, ce terme s'est d'abord confondu avec des robots IRC (bien que le terme ne se limitait pas à cet usage spécifique), qui était un type de botnet particulier servant sur les canaux IRC.

Usage légitime

Sur IRC, leur usage est de gérer des canaux de discussions, ou de proposer aux utilisateurs des services variés, tels que des jeux, des statistiques sur le canal, etc. Être connectés en réseau leur permet de se donner mutuellement le statut d'opérateur de canal de manière sécurisée, de contrôler de manière efficace les attaques par flood ou autres. Le partage des listes d'utilisateurs, de bans, ainsi que de toute sorte d'informations, rend leur utilisation plus efficace.

Il existe d'autres usages légitimes de botnets, comme l'indexation web : le volume des données à explorer et le nécessaire usage de parallélisation impose l'usage de réseaux de bots.

Usages principaux des botnets malveillants

La caractéristique principale des botnets est la mise en commun de plusieurs machines distinctes, parfois très nombreuses, ce qui rend l'activité souhaitée plus efficace (puisqu'on a la possibilité d'utiliser beaucoup de ressources) mais également plus difficile à stopper.

Usages des botnets

Les botnets malveillants servent principalement à :

• Relayer du spam pour du commerce illégal ou pour de la manipulation d'information (par exemple des cours de bourse) ;
• Réaliser des opérations de phishing ;
• Identifier et infecter d’autres machines par diffusion de virus et de programmes malveillants (malwares) ;
• Participer à des attaques groupées (DDoS) ;
• Générer de façon abusive des clics sur un lien publicitaire au sein d’une page web (fraude au clic) ;
• Capturer de l’information sur les machines compromises (vol puis revente d'information) ;
• Exploiter la puissance de calcul des machines ou effectuer des opérations de calcul distribué notamment pour cassage de mots de passe ;
• Servir à mener des opérations de commerce illicite en gérant l'accès à des sites de ventes de produits interdits ou de contrefaçons via des techniques de fast-flux, single ou double-flux ou RockPhish.

Motivation des pirates

Motivation économique

L'aspect économique est primordial : la taille du botnet ainsi que la capacité d'être facilement contrôlé sont des éléments qui concourent à attirer l'activité criminelle, à la fois pour le propriétaire de botnet (parfois appelé « botherder » ou « botmaster ») que pour les utilisateurs, qui la plupart du temps louent les services d'un botnet pour l'accomplissement d'une tâche déterminée (envoi de pourriel, attaque informatique, déni de service, vol d'information, etc). En avril 2009, un botnet de 1 900 000 machines mis au jour par la société Finjian engendrait un revenu estimé à 190 000 dollars par jour à ses « botmasters ».

Motivation idéologique

En dehors de l'aspect économique, les attaques informatiques peuvent devenir une arme de propagande ou de rétorsion, notamment lors de conflits armés ou lors d'événements symboliques. Par exemple, lors du conflit entre la Russie et la Géorgie en 2008, le réseau géorgien a été attaqué sous de multiples formes (pour le rendre indisponible ou pour opérer à des défacements des sites officiels). En 2007, une attaque d'importance contre l'Estonie a également eu lieu : la motivation des pirates serait le déplacement d’un monument en hommage aux soldats russes du centre de la capitale estonienne. Début 2010, le Vietnam serait à l'origine d'un botnet visant à réduire au silence la dissidence politique.

Motivation personnelle

La vengeance ou le chantage peuvent également faire partie des motivations des attaquants, sans forcément que l'aspect financier soit primordial : un employé mal payé ou des joueurs en ligne défaits peuvent chercher à se venger de l'employeur ou du vainqueur du jeu.