L’interconnexion des ordinateurs à Internet a accru, de toute évidence, leur vulnérabilité. Il faudrait toutefois différencier le monde de l’entreprise et les particuliers. En entreprise, nous mettons en place des routeurs pour filtrer le trafic entrant et sortant et aussi des proxy associés à des antivirus afin de minimiser le risque. Mais l’ouverture des ports “standards” sans qu’aucun outil de contrôle du flux sortant peut réserver bien des surprises aux responsables de la sécurité informatique des entreprises.
Qu’est qu’un botnet ?
Un botnet est un réseau de machines réparties dans le monde entier ayant fait l’objet d’une attaque par un ver ou par un virus. L’objectif est le plus souvent de transformer ces machines en serveurs de mail ou de fichiers. Les ordinateurs passés sous contrôle de “hackers” ou de malfaisants de tout poil sont dénommées machines zombies. Si le ver ou le virus s’est chargé de poser un rootkit, l’activité sous contrôle peut alors devenir difficilement détectable en dehors d’un ralentissement ou bien d’une activité réseau permanente alors que l’utilisateur du poste n’effectue aucune activité Internet. La seule parade est la mise en place d’un IDS/IPS tel que Snort. Compte tenu des débits de certaines entreprises, l’analyse de paquets IP ne peut se faire que par sondage. Sommes-nous en train de perdre la guerre alors que nous touchons à nos limites ?
Selon la société américaine Damballa, la part des ressources informatique des entreprises mondiales utilisées dans le cadre de ces BotNets est estimée entre 3 et 5%. Cette “information” est très difficilement vérifiable. La BBC a loué récemment les services d’un botnet de 22000 machines. L’objectif était de montrer l’étendue et la banalisation du phénomène.
Tous les systèmes sont touchés !
Face aux botnets, il n’y a pas de solutions miracles. Tous les systèmes d’exploitation sont touchés. L’idée selon laquelle être sous Linux ou sous MacOs, lui-même à base de BSD, est un leurre.
Récemment, la société DroneBL a mis en évidence un ver récent du nom du Psyb0t qui a touché 100000 routeurs DSL disposant de puces mips et fonctionnant sous environnement Linux. Pour s’en débarrasser, les fabricants des routeurs préconisent la réinitialisation des paramètres “usine” et la mise en place d’un mot de passe fort.
Les MacOs viennent eux aussi de faire l’objet d’une attaque massive de ce type alors que la majorité des possesseurs de Mac ne disposent, en général d’aucune protection particulière du fait de leur croyance dans la vertu “repoussoir” de la simple possession d’un Mac. On peut aussi croire au Père Noël ou utiliser des amulettes pour chasser le mauvais sort !
Le monde Windows n’est pas en reste. La société Damballa - toujours elle - a découvert, avec Kraken, un réseau de près de 500 000 machines zombies. La mise sous contrôle de l’ordinateur s’effectuerait grâce à Msn. Cette attaque est imputée à la mafia russe.
Autres éclairages
- iBotnet: Researchers find signs of zombie Macs
- Kraken est la plus grande armée de machines zombies
- Les routeurs Linux cibles d’un nouveau ver
- La BBC s’offre un botnet de 22.000 machines à ses ordres
- Première : un réseau composé uniquement de Mac zombies
- Un ver à zombies enrôle de petits routeurs Linux
- PC et serveurs zombies : quels risques pour l’entreprise ?
Jeu de briques
Snake
Pacman
Bubble