Littéralement, le terme botnet est composé de deux mots : robot et network (réseau). En bref, un botnet est un groupe ou un réseau d’ordinateurs ou d’autres équipements connectés à Internet. À l’aide d’un malware, un hacker infecte ces équipements et les transforme en une armée de minions, qui exécutent alors ses ordres sans réfléchir.
Les attaques par botnet sont de plus en plus courantes et complexes. Mais de quoi s’agit-il exactement ? Comment fonctionnent-elles, que peuvent-elles faire et surtout comment les empêcher ? Cet article répond à ces questions et aux autres questions que vous pourriez avoir sur les attaques par botnet.
Les attaques par botnet utilisent un modèle de commande et de contrôle pour permettre à un ou plusieurs hackers de guider les actions de ces appareils (souvent appelés « bots zombie ») à distance. Plus il y a d’appareils infectés par le malware de l’attaquant, plus l’attaque sera forte.
N’importe quel appareil pouvant accéder à Internet pourrait être utilisé comme bot zombie dans une attaque par botnet mettant les entreprises en danger. Cela est particulièrement vrai si l’appareil ne reçoit pas régulièrement des mises à jour pour les logiciels d’antivirus.
Les cinq catégories d’applications d’Internet des Objets (IdO) peuvent présenter des risques de sécurité, notamment au niveau des consommateurs, des domaines commerciaux, industriels, d’infrastructure des villes intelligentes ou militaires. Dans chacun de ces champs, le marché est submergé d’apparels d’IdO, plusieurs d’entre eux n’ayant pas une sécurité au niveau adapté.
Les appareils vulnérables peuvent inclure des :
Ordinateurs
Téléphones portables
Tablettes
Routeurs de réseau
Serveurs web
Appareils pouvant être portés, comme des smartwatchs et des bracelets de fitness
Appareils domestiques intelligents fonctionnant avec le web
Caméras de sécurité
Interphones vidéo
Télévisions
Thermostats
Haut-parleurs
Les cyberdélinquants peuvent causer d’importants dommages tous seuls ou aidés d’une petite équipe. Toutefois, nombreux sont ceux qui ne veulent consacrer qu’un peu de temps et d’argent pour développer une attaque par botnet qui récompensera leurs efforts de façon fulgurante.
Les attaques par botnet sont bien plus dangereuses que les attaques par malware simple car, plutôt que d’infecter un seul appareil, les botnets infectent des centaines, des milliers ou même des millions d’appareils connectés en même temps. Cela pose une menace supplémentaire qu’il est bien plus difficile d’arrêter.
Ce qui les rend encore plus évasifs est le fait que l’attaquant puisse utiliser les mises à jour logicielles provenant d’appareils infectés pour rediriger ou renforcer leur attaque au passage. Cela aide les attaquants à avoir une longueur d’avance sur les contremesures employées par leurs victimes.
Armé d’une grande force de bots zombie, un seul attaquant peut faire plus que compromettre des réseaux entiers. Il peut rapidement reproduire et distribuer ses malwares, intercepter de plus en plus d’appareils et de recrues non désirées.
Les attaques par botnet peuvent être réalisées par une seule personne ou par une équipe. Dans les deux cas, une force de bots zombie est contrôlée par l’éleveur de bots, qui est l’individu ou le groupe menant l’attaque. L’éleveur de bot peut concevoir entièrement son propre botnet ou le louer auprès d’autres acteurs malveillants (ce qu’on appelle parfois « MaaS », « malware-as-a-service »).
Une fois infectés, les bots zombie sont contrôlés anonymement avec un modèle de serveur client centralisé ou un modèle peer-to-peer (P2P) décentralisé.
Une attaque par botnet centralisée est exécutée par un serveur unique fonctionnant comme éleveur de bot. Il peut y avoir une hiérarchie de serveurs proxy ou sous-éleveurs paramétrée de manière sous-jacente, mais les commandes proviennent du serveur de l’éleveur de bot.
L’approche centralisée est un peu dépassée. Comme vous pouvez l’imaginer, identifier et abattre un serveur centralisé est plus facile que de localiser et d’arrêter une attaque quand les commandes sont déployées par de multiples bots zombie.
Dans une attaque par botnet décentralisée, la responsabilité de donner des instructions est intégrée dans tous les bots du botnet. Si l’attaquant peut communiquer avec n’importe lequel d’entre eux, le malware peut toujours être propagé à travers les autres appareils ayant été piratés.
Comme vous pouvez l’imaginer, le cadre P2P complique l’identification de la personne ou des personnes aux commandes. C’est pour cette raison que le modèle décentralisé est plus largement utilisé.
Il existe trois étapes de base pour mener une attaque par botnet.
Trouver une vulnérabilité
Infecter les appareils d’un utilisateur
Mobiliser l’attaque
N’importe quelle vulnérabilité sur un site web ou une application peut fournir une ouverture pour les attaquants par botnet. Parfois, par inadvertance, le comportement d’un utilisateur peut créer une vulnérabilité. Quelle que soit la source de cette vulnérabilité, l’objectif de l’attaquant est de trouver un moyen de l’exploiter.
C’est là que les utilisateurs non vigilants sont piratés pour devenir des bots zombie en déposant un malware. Parmi les méthodes de dépôt figurent les spams et l’ingénierie sociale, lorsque les attaquants envoient des mails ou d’autres messages pour piéger les utilisateurs et les conduire à télécharger des malwares comme des virus Trojan.
Il existe plusieurs méthodes de livraison qui seraient considérées comme plus audacieuses, mais quelle que soit celle retenue, l’objectif de l’attaquant est de créer une faille dans la sécurité d’une poignée d’utilisateurs.
Une fois que quelques appareils ont été infectés, l’attaquant par botnet peut les mettre en réseau pour les contrôler à distance. Leur but ultime est de pirater autant d’appareils que possible pour faire un maximum de dégâts.
Examinons le type de dommages que les attaques par botnet peuvent entraîner.
Les cyberdélinquants ont recours aux attaques par botnet pour diverses raisons, l’argent et le pouvoir étant souvent à la base de leur stratégie. Une fois qu’ils ont pris le contrôle d’appareils zombie, ils peuvent accéder à des opérations normalement réservées aux utilisateurs ayant le niveau d’administrateur, comme par exemple :
Surveiller l’activité de l’utilisateur
Collecter les données de l’utilisateur
Installer et faire fonctionner les applications
Transférer des données ou des fichiers sensibles
Identifier des vulnérabilités sur d’autres appareils du réseau
Lire et écrire des données dans le système
Une fois que ces fonctionnalités sont sous contrôle, un attaquant pourrait les utiliser pour des délits ad hoc, notamment :
Voler de l’argent
Extorquer des paiements
Miner pour les cryptomonnaies
Voler les données de comptes confidentiels
Vendre leurs accès volés à d’autres
Les attaques par botnet sont souvent utilisées pour activer un plan secondaire. Une fois qu’ils ont pris le contrôle, quelques attaquants aux tactiques standard peuvent le faire, cela dépend de leur objectif final.
Les spams et les arnaques au phishing par email vont de pair. Ces tactiques d’ingénierie sociale sont des méthodes extrêmement courantes pour attirer puis piéger les utilisateurs afin qu’ils donnent leurs identifiants de connexion ou d’autres informations sensibles. Si le phishing réussit, il peut donner accès à l’appareil de la victime, et l’ajouter au botnet.
Le DDoS est l’un des types d’attaques par botnet les plus fréquents. Avec le DDoS, un attaquant inonde un réseau avec un trafic important dans l’objectif de perturber le service.
Un exemple célèbre est l’attaque par botnet du Mirai en 2016, qui a permis d’ébranler un important fournisseur de noms de domaines. Mirai a entraîné d’importantes perturbations et des interruptions complètes de services pour Netflix, Twitter, CNN et d’autres encore. Cette attaque a aussi affecté un pays entier (le Liberia) et plusieurs grandes banques russes.
La force brute est utilisée quand l’attaquant n’a pas accès aux mots de passe de connexion de leur cible. Au lieu de cela, ils essayent de les obtenir par la force. Le credential stuffing et les attaques par dictionnaire peuvent être utilisés pour profiter des mots de passe faibles des utilisateurs et accéder aux données qui y sont associées.
Avant de parler de prévention, regardez les statistiques suivantes :
D’ici 2023, on estime que 43 milliards d’appareils connectés à Internet seront utilisés (McKinsey).
Imaginez le coût d’une faille de données multiplié par le nombre impressionnant d’appareils potentiellement vulnérables, et l’urgence de protéger votre organisation devient limpide. Donc, lorsqu’il s’agit d’éviter les attaques par botnet en particulier, par où commencer ?
Il ne s’agit pas d’une liste exhaustive, mais elle inclut quelques bonnes pratiques à envisager.
Assurez-vous que tous vos systèmes soient à jour et qu’ils le restent. Les botnets sont conçus pour exploiter les vulnérabilités de votre réseau, ce qui inclut les risques de sécurité non corrigés qui concernent les appareils connectés. Renforcez la sécurité de ces appareils en installant les mises à jour et les correctifs des antivirus et autres logiciels dès qu’ils sont disponibles. Mêmes s’ils ne sont pas activement utilisés, tous les appareils et périphériques devraient être à jour.
Sensibilisez les utilisateurs avec des formations. Assurez-vous que les employés et les autres utilisateurs de votre réseau sachent identifier les spams, le phishing et les liens non sécurisés, et évitent d’en être victimes. Il suffit d’un mauvais clic pour mettre votre réseau en danger.
FIDO2 - Les utilisateurs choisissent une clé de sécurité FIDO ou une méthode d’authentification biométrique (comme une identification par empreinte digitale ou une reconnaissance faciale) pour s’authentifier.
Universal Authentication Framework (UAF) – Les utilisateurs choisissent une méthode d’authentification biométrique pour leur appareil et l’utilisent pour s’authentifier.
Surveillez le trafic du réseau. Suivre de près le flux et le volume du trafic peut vous aider à identifier de potentielles fuites de données et attaques par DDoS avant qu’elles n’aillent trop loin. PingOne Risk et PingIntelligence for APIs peuvent vous aider.
Adoptez un environment passwordless. Les architectes de la sécurité doivent envisager la dose de frictions (mots de passe ou autres facteurs d’authentification) pour une expérience donnée. Supprimer les mots de passe peut vous permettre de créer la meilleure expérience utilisateur possible sans renoncer à la sécurité.
Déployez le modèle Zero Trust. C’est actuellement l’approche la plus avancée en matière de cybersécurité. Au lieu d’avoir le précédent standard d’un réseau axé sur le périmètre (« faire confiance mais vérifier »), un modèle zero trust s’appuie sur le fait que des menaces de sécurité existent déjà au sein de votre entreprise et nécessitent d’évaluer en permanence la confiance sur chaque appareil, chaque application et chaque utilisateur (« ne jamais faire confiance, toujours vérifier »).
Ping Identity peut vous aider à sécuriser vos collaborateurs tout en protégeant votre entreprise avec un accès sans friction. Cliquez sur ce lien pour obtenir le guide complet.
Lancez-vous dès Aujourd'hui
Contactez-Nous
Découvrez comment Ping peut vous aider à protéger vos employés et améliorer l'expérience de vos clients dans un monde digital en constante évolution.
Démonstration Gratuite