Sorry, you need to enable JavaScript to visit this website.

Image CAPTCHA
Saisir les caractères affichés dans l'image.

Les réseaux de zombies : de l'infection à l'assaut final

Les réseaux de zombies : de l'infection à l'assaut final
2009-11-262013-02-11sécurité du poste de travailfr
Les zombies c'est un sujet d'actualité. Pour ceux qui pensaient le sujet éculé, détrompez-vous ! C'est à l'affiche au cinéma d'en bas de chez vous. Dans la vraie vie les zombies qui vous courent après pour vous "bouffer tout cru" ça n'existe pas. :-) Dans le monde informatique, les...
Publié le 26 Novembre 2009 par Jean-François Audenard dans sécurité du poste de travail
Les zombies c'est un sujet d'actualité. Seules les personnes vivant en ermite sur une île déserte ne savent pas ce que c'est.

Pour ceux qui pensaient le sujet éculé, détrompez-vous ! C'est à l'affiche au cinéma d'en bas de chez vous: cf le film "Bienvenue à Zombieland" sorti en salle ce 25 Novembre ; on trouve même de la littérature sur le sujet dans les bonnes librairies "Guide de survie en territoire zombie : (Ce livre peut vous sauver la vie), Max Brooks". Les fans de DVD sur le sujet trouveront leur bonheur et les adaptes des jeux vidéos sanguinolents connaissent le sujet de fond en comble tant c'est un classique de classique.

Un point commun à tous ces films, livres et jeux vidéos : On reste dans l'imaginaire ou dans le fantasmagorique. Dans la vraie vie les zombies qui vous courent après pour vous "bouffer tout cru" ça n'existe pas. :-)

Dans le monde informatique, les zombies, et bien ça existe. Quel scoop me direz-vous ! Et bien détrompez-vous : Beaucoup de personnes (tant dans mon cercle professionnel que personnel) sont un peu dubitatives quand on leur explique à quelles fins les réseaux de zombies sont utilisés, comment ils sont contrôlés et créés.



Création de l'agent infectieux
Tout commence par la création du logiciel qui sera implanté sur les victimes innocentes. Nul besoin d'obscures techniques Vaudou ou de souche virale extraterrestres véhiculée via un météorite : Il existe un grand nombre de "bots" différents (c'est le nom générique de ce type de logiciel) : Ce sont des logiciels créés spécialement à cet effet.

Pour ceux en manque d'inspiration, il est possible de trouver des codes sources en téléchargement libre sur Internet : Vous mettez la main sur une "souche" que vous modifiez à loisir pour la rendre moins facilement détectable par les antivirus ou pour lui ajouter de nouvelles fonctionnalités.

Bien sûr, il reste la possibilité de "l'œuvre originale d'auteur" qui développera son bot tout seul dans son coin. Le marché noir sur Internet propose aussi des "kits" pour quelques centaines de dollars : C'est du "bot clefs en main" avec SAV s'il vous plait !

Ensuite, vient la phase d'infection
Ici, pas d'horrible monstre sanguignolent qui se jette sur une victime faible et innocente pour lui mordre la joue ou se tailler un steak dans la cuisse. Ca crie, la victime est bien consciente du drame (!) dont elle est l'objet, elle se défends, coupe des mains et des bras, bref elle ne se laisse pas faire.

Dans le monde informatique, le processus d'infection est indolore et totalement transparent pour la victime : Il suffit d'aller se frotter sur un site web avec son navigateur non patché, d'exécuter un fichier reçu par mail de quelqu'un d'inconnu ou encore d'installer le codec video manquant pour regarder la video humoristique/cochonne reçue par mail...(la liste est longue, je suis loin d'être exhaustif).

L'agent infectieux est en place : le zombie vient à la vie
Dans les films, un bon zombie a une sale tête, la peau légèrement grise, il lui manque la moitié du visage et a des vêtements sales. Du premier coup d'oeil vous n'avez pas envie de lui claquer la bise ou de lui serrer la paluche.

Dans monde informatique, c'est très différent : Le bot ; ce fameux logiciel malicieux qui a été implanté à votre insu sur votre machine ; reste caché : il ne se montre pas.

Son objectif est simple : Utiliser à votre insu les ressources de votre machine ou de votre accès Internet, et ce le plus longtemps possible. Rien de présent dans la liste des programmes en cours d'exécution, aucun fichier corrompu ni de dysfonctionnement. RAS : Tout est normal, tout roule. Vous utilisez votre machine comme à l'habitude. Sauf que celle-ci ne vous appartient plus vraiment totalement : elle prends ses ordres d'une personne et les exécute sans votre consentement.

Obéissance aveugle du zombie
Dans les films, les zombies obéissent à d'obscures forces : Ils sont nombreux et ne se posent pas de questions : Dès qu'il y a de la chair fraîche ils foncent, mordent et de redoutent pas d'être décapités à couche de machette ou de tronçonneuses fumantes.

Avec les bots/zombies informatiques c'est la même chose : Une fois installés bien cachés sur la machine, ils se connectent vers leur "mothership" (le vaisseau mère) pour déclarer leur présence au maitre suprême (le botherder) et prendre leurs ordres : Ils y obéissent de façon aveugle.

La communication entre les bots et le mothership peut utiliser différents protocoles : Le plus classique c'est l'IRC (Internet Relay Chat) mais comme ce protocole est très souvent filtré, le HTTP et l'HTTPS sont très fréquemment utilisés. Cette communication entre le bot et le mothership s'appelle un canal de commande et de contrôle (C&C: Command & Control channel).

Pour ceux qui se posent des questions du genre "c'est quoi un motheship" : Tout simplement un serveur IRC ou un serveur web... des systèmes de type Twitter ou des flux RSS ont même été utilisés comme moyens de traverser les lignes de défenses. Il est important de noter qu'il s'agit de flux initiés depuis le réseau interne vers l'extérieur : Dans 99% des cas les flux passeront sans problème les défenses mises en place.

Supériorité numérique et facultés de régénération
Dans les films, une armée de zombies se compte minimum en centaines d'individus : Dans le cas contraire le film ne respecte pas les "critères" du genre. Quand les zombies attaquent, ils débordent de partout : Par les portes, les fenêtres, le grenier, les trappes, etc....Même si quelques-uns ne résistent pas à une balle de Magnum leur pulvérisant la cervelle ou à une décapitation en bonne est due forme, vu leur supériorité numérique, ils vont finir par submerger leur cible.

Pour les zombies informatiques c'est la même chose : Une armée de zombies/bots regroupe typiquement plusieurs dizaines de milliers de machines, voir quelques centaines de milliers... Toutes sont prêtes à obéir aveuglément aux ordres du botherder, leur maître.

Si quelques-unes des machines sont déconnectés (la machine est éteinte en fin de journée ou elle est désinfectée), cela ne posera pas de problème au botherder : le processus d'infection "ré-génère" l'armée et de toute façon vu le nombre de machine ce n'est pas une dizaine ou une centaine de machines en moins qui vont faire la différence.

Attaques téléguidées
Cette étape n'existe pas dans les films : Hormis infecter le plus de victimes innocentes en infériorité numérique, les zombies n'ont pas d'autre but...

Dans le monde informatique, le botherder ; leur maître absolu ; va les utiliser à des fins clairement illégales : Envoi de messages non sollicités (spam), lancement d'attaques en déni de service (DDoS), collecte d'informations personnelles (mots de passe, adresses emails, numéros de série du système d'exploitation ou des applications, etc..).

Comment lutter ?
A contrario des films de zombies, on peut "tuer un réseau de zombies" en "tuant" le botherder ou en déconnectant tous les canaux de commande et de contrôle (C&C). Cela est assez rare mais reste possible (cf "Ecrans.fr, Le spam mondial décapité par un journaliste, 13 Novembre 2008"). Bien sur, il faut rester à l'écart des sources d'infection et conserver sa machine à jour des correctifs de sécurité.

4 Commentaires

  • 3 Décembre 2009
    2009-12-03
    par
    Effectivement très intéressant. Merci !
    Je viens de trouver de la lecture pour mon trajet en métro. (Petit aparté : Cet après-midi, j'assiste à une conférence sur le marché du Cloud Computing / SaaS : Ce n'est pas orienté sécurité mais connaitre le domaine dans lequel on souhaite évoluer est essentiel... Sinon, on survole et on ne fait que du vent.. mais bon, chacun sa façon de travailler hein ?).
  • 3 Décembre 2009
    2009-12-03
    par
    Exact. Les "traficants d'armes numériques" sont bien une réalité, au moins dans une certaine mesure. Et j'aurai tendance à tire qu'au vu des doctrines militaires, ce type d'arme fait aussi (ou va faire) partie des capacités offensives d'un nombre croissant d'états.
    Les marchands d'arme vont voir leur clientèle se développer et se diversifier... Peut-être verrons-nous dans le futur un état en attaquer un autre via un botnet loué à un cybercriminel ?... Bien sûr, l'honneur sera sauf tant le nombre d'intermédiaires sera important. :-)
  • 3 Décembre 2009
    2009-12-03
    par
  • 3 Décembre 2009
    2009-12-03
    par
    Merci pour cet article teinté d'humour :-)

    Pour en revenir aux botnets, il est important je pense de signaler également qu'ils ne sont plus à l'usage exclusif de cybercriminels "professionnels" et très techniques : tout un chacun peut louer un botnet à des tarifs très raisonnables... Notamment pour lancer des attaques de type DDoS. De mémoire, il est possible d'acheter une attaque DDoS menée par un botnet de 80 000 machines, pendant 24h, pour seulement... 200 Euros environ. Les dix premières minutes "de test" sont même offertes...

Ajouter un commentaire

comments

  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Tags HTML autorisés : <a> <em> <strong> <cite> <blockquote> <code> <ul> <ol> <li> <dl> <dt> <dd> <br>

Plain text

  • Aucune balise HTML autorisée.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
  • Les lignes et les paragraphes vont à la ligne automatiquement.

Email HTML

  • Les lignes et les paragraphes vont à la ligne automatiquement.
  • Les adresses de pages web et de courriels sont transformées en liens automatiquement.
Image CAPTCHA
Saisir les caractères affichés dans l'image.
Changer d'affichage