Sécurité : et 1 et 2 et 3 botnets…

Arnaud Dimberton,

Le réseau Storm Trojan fait parler de lui ces derniers temps. Pourtant il n’est pas l’unique réseau botnet du 3W…

Pourquoi de nouveaux réseaux de PC zombies vont naître ? Les spécialistes de la sécurité estiment pour la majorité qu’il est encore trop tôt pour en parler cependant le danger est bien réel.

Il faut bien reconnaître, qu’il est difficile de concevoir plus néfaste que Storm. Qui est l’outil idéal du cybercriminel, car il permet aussi bien de mener des attaques DDOS que de manipuler une armée de PC pour spammer un maximum d’internautes.

Car Storm est un incroyable outil de diffusion des attaques, mais c’est également un spécialiste du camouflage. Il peut se dissimuler dans le système hôte, se mettre à jour, modifier les paramètres des logiciels de sécurité… Pour toutes ces raisons, Storm est un peu un supercalculateur pour cybercriminels. Il a totalement transformé l’univers « underground » des utilisateurs de botnets.

Les 3 plus importants réseaux

Le réseau « Tempête » serait constitué de 230.000 membres actifs ! L’on estime qu’il s’agit du plus important. Il fonctionne 24h sur 24h, le code malveillant utilisé est un cheval de Troie.

Sa puissance vient de sa capacité à se dissimuler en faisant fluctuer sa taille. Car si dans certains cas un gros réseau représente un avantage (en terme de puissance notamment dans le cadre d’une attaque DDOS), cela peut aussi s’avérer périlleux pour les malfaiteurs. Ils sont en effet plus détectables.

Selon le groupa Damballa, qui s’est spécialisé dans l’étude des réseaux botnets, Storm est à la première place du podium. À la deuxième, l’on trouve un réseau basé sur le vénérable et performant IRC (Internet Relay Chat) nommé Rbot. Il compterait 40.000 membres actifs.

Il s’agit d’une menace assez ancienne, principalement utilisée pour du spam. Il se propage automatiquement d’une machine à une autre, car il est capable de chercher des vulnérabilités. Il serait surtout utilisé par des mafias de l’Europe de l’Est.

Enfin, la médaille de bronze revient à Bobax. Un botnet HTTP géré par près de 24.000 membres. Comme Rbot, ce botnet commence à dater. Les cybercriminels ont recours à ces services pour spammer.

Storm est des plus résistants. Il utilise un système P2P décentralisé et crypté. Pour lutter contre ce fléau, les éditeurs de sécurité spécialisés et certains « White Hat » doivent donc cracker les données interceptées. Mais les recherches avancent, et désormais les chercheurs sont capables de distinguer le trafic généré par Storm des eDonkey, Soulseek et autres réseaux P2P. Qui plus est, le système de cryptage des données de Storm est assez simple et il a été cracké.

Seulement les spammeurs, hameçonneurs et autres, sont des amoureux de l’ombre. Et ils commencent donc à se tourner vers d’autres outils. Ils cherchent dans le même temps à modifier Storm. Par exemple en l’utilisant à des fins plus destructrices. Le pire reste à venir…