Close

Les botnets, de la cybercriminalité à la défense cyber

En juillet 2019, la Gendarmerie nationale neutralisait Retadup, un botnet à l’origine de la compromission d’au moins 1,3 millions d’ordinateurs, ce qui en fait l’un des plus importants au monde identifiés à ce jour. Cette opération, une première en France et, à bien des égards, au niveau mondial, a suscité un regain d’attention pour cette forme de cybermenace.

Un botnet désigne un réseau de machines compromises par un malware (les bots[1]) et contrôlées à distance par un individu malveillant (le botmaster). Pouvant les actionner à sa guise par l’intermédiaire d’un serveur de Command and Control (C&C, CC ou C2), le botmaster transmet des ordres – à l’insu des véritables propriétaires des machines – à une partie ou à la totalité des bots.

Si l’actualité a surtout mis en lumière l’utilisation des botnets à des fins de cybercriminalité, ils peuvent aussi trouver une place en soutien aux opérations militaires. Leur capacité à accroître les effets d’une opération de cyberdéfense permettent en effet aux botnets de trouver une application dans la poursuite des trois objectifs opérationnels décrits par la doctrine de lutte informatique offensive[2] :  recueil ou extraction d’informations, réduction ou neutralisation des capacités adverses, ainsi que modification des perceptions ou de la capacité d’analyse de l’adversaire.

ARCHITECTURES D’UN BOTNET

Les botnets ont, au fil du temps, évolué pour adopter différents types d’architectures, de façon à trouver le meilleur équilibre entre contrôle des bots, conservation de l’anonymat des botmasters, et résilience du réseau. Ainsi, les botnets peuvent s’appuyer sur une architecture centralisée (figure 1), par procuration (figure 2) ou Peer-to-peer (figure 3).

Source : Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)

L’architecture centralisée ou « en étoile » est la plus simple à mettre en place : toutes les machines et composantes du réseau sont reliés à un système central chargé d’assurer la communication entre eux. Contreparties de sa simplicité : il suffit de couper le serveur C&C central pour que l’intégralité de ce système tombe et il est plus facile et plus rapide de remonter jusqu’au botmaster.

Source : Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)

L’architecture par procuration (ou « par proxy ») est en de très nombreux points similaire au modèle précédent, à la différence toutefois que les nœuds du réseaux ne communiquent pas directement avec le serveur central mais transitent par des nœuds intermédiaires, qui peuvent être des serveurs opérés par le botmaster ou des machines elles mêmes infectées. L’interruption d’un nœud interméditaire entraine la perte d’une partie du réseau seulement, sans mettre en danger l’ensemble : elle est donc plus résiliente. Avec cette architecture il est également plus long de remonter jusqu’au botmaster.

Source : Agence européenne chargée de la sécurité des réseaux et de l’information (ENISA)

L’architecture peer-to-peer est la plus décentralisée : dans cette configuration, chaque client est également serveur, ce qui rend le système plus résilient et allonge le délai pour remonter de nœud en nœud jusqu’au botmaster, bien plus conséquent que dans les deux modèles précédents. En s’abritant derrière une multitude de nœuds et donc d’adresses IP, le botmaster conserve également un haut niveau d’anonymat, ce qui en fait le modèle le plus couramment utilisé dans les architectures de botnet.

LES BOTNETS, AMPLIFICATEURS DE CYBER-ATTAQUES

Un botnet peut contrôler des milliers voire des millions de machines – Retadup en contrôle au moins 1,3 million[3] – ce qui permet au botmaster d’intensifier l’impact et l’envergure de ses cyber-opérations de façon significative, en multipliant leurs effet par le nombre de bots qu’il a sous son contrôle.

Outre des campagnes massives de spams ou de vols de données, ce mécanisme d’amplification[4] est le plus souvent utilisé à des fins d’attaques par déni de service distribué (DDoS). La cyberattaque lancée par des hackers russes sur l’Estonie en avril et mai 2007 est certainement l’exemple le plus probant du potentiel amplificateur et de  l’impact que peut avoir un botnet sur la sécurité d’un État. Une campagne d’attaque DDoS lancée en réponse à une décision politique jugée contraire aux intérêt russes par le gouvernement estonien (en l’occurrence, le déplacement d’un mémorial soviétique) a obligé certaines administrations estoniennes (dont la Défense) à couper l’accès de leur site Internet aux adresses IP étrangères pendant plusieurs jours.

Il est intéressant de noter que l’accès à cette capacité offensive que constituent les botnets s’est largement démocratisée et peut aujourd’hui être utilisée dans le cadre d’une « location » sur des plateformes en ligne où le prix d’une attaque DDoS varie selon son intensité. Recourir à un botnet pour une utilisation poncutelle ne nécessite ainsi plus d’expertise technique spécifique et constitue pour le botmaster une activité lucrative[5]. Coordonnée notamment par Europol, l’opération Power OFF a démantelé en avril 2018 les activités du site« webstresser.org », à l’origine de plus de 4 millions d’attaques DDoS. Ce dernier louait des attaques DDoS à partir de 15 euros et comptait 151 000 utilisateurs[6].

Parfois qualifié de « bombe atomique » ou de « porte-avions »[7] du cyberespace, le potentiel de cette véritable « force de frappe » ne se limite pas à ses capacités de destruction, et ce alors qu’elle serait en mesure neutraliser les infrastructures critiques d’un Etat, comme le suggèrent les « avertissements » lancés par la Russie en Estonie en 2007, ou à la Géorgie en 2008. Dans le cadre d’une cyberopération, le botnet permet surtout à son utilisateur de densifier ses moyens d’action aux niveaux stratégique et tactique[8].

LES BOTNETS AU SERVICE DE CYBER-OPÉRATIONS OFFENSIVES

Les botnets sont  régulièrement utilisés dans le cadre de cyber-opérations menées par des Etats ou servant des intérêts étatiques. Les opérations d’APT28[9], un groupe russe de pirates informatiques connu pour aligner ses campagnes et ses cibles sur les intérêts du Kremlin, ont été largement étudiées ces derniers mois.[10]

Dans ces derniers cas, les botnets ont pu être utilisés dans divers contextes :

  • Recueil ou extraction d’informations

Les botnets dotés d’un logiciel espion (« spyware »),tels que des enregistreurs de frappe (keylogger), ou chevaux de Troie, peuvent être utilisés à des fins de renseignement, pour recueillir des informations sur un adversaire (adresses courriels, opérations en cours ou futures) et ainsi mieux évaluer ses capacités. Une multitude d’autres outils permettent également au botmaster d’extraire ponctuellement des données à partir de ses bots, qui peuvent être utilisés comme des « cellules dormantes » : capture d’écran, caméra, logiciels publicitaires (adware), et les cookies pour les données personnelles[11].

On attribue par exemple à APT28[12] la cyberattaque par spear-phising contre[13] le collectif féministe Pussy Riot, opposé à la politique de Vladimir Poutine, ou la supposée interception du trafic email du ministère kirghize des Affaires étrangères en 2015, dans le cadre d’opérations visant à recueillir du renseignement.. Membres de l’équipe de campagne de l’américaine Hillary Clinton, son directeur John Podesta et William Rinehart auraient également été ciblés par le groupe à l’occasion des élections présidentielles de 2016.

Plus récemment, dans une opération de 2017 ciblant le secteur de l’hôtellerie en Europe et au Moyen-Orient, le groupe APT28 se serait introduit dans le réseau de l’enseigne ciblée, via un document malicieux envoyé par e-mail, et se serait propagé dans ses réseaux pour compromettre les ordinateurs de ses clients et exfiltrer des ordinateurs des données telles que noms, identifiants et mots de passe.

  • Réduction ou neutralisation des capacités adverses

Technique de sabotage informatique[14], une attaque DDoS peut aussi permettre de paralyser les activités essentielles d’un État (blocage des services publics en ligne, télécommunications, activités bancaires, médias, etc.) et fragiliser ses infrastructures critiques. Par l’intermédiaire du botnet Mirai#14, un hacker britannique a ainsi conduit en 2015 plusieurs attaques DDoS sur Lonestar, principal opérateur du Libéria, qui ont fini par priver le pays d’accès à Internet pendant une journée et affecter le fonctionnement du réseau pendant plusieurs semaines.[15].

Si l’utilisateur malveillant peut s’appuyer sur un réseau de botnets assez vaste qui lui confère une force de frappe suffisante, il peut opter pour une approche type « démonstration de force[16] , une opération consistant en une série attaques qui vont crescendo et s’intensifient dans l’espoir de faire céder un adversaire, par exemple le faire accéder à des revendications politiques. Une campagne de neutralisation des infrastructures critiques via un botnet ainsi peut ainsi trouver sa place dans l’arsenal de mesures de cyberdéfense à la dispositions des Etats et des armées et être combinées à d’autres outils, plus traditionnels, dans le cadre d’opérations militaires.

Les attaques DDoS sont très souvent utilisées couplées à un réseau de botnets, d’abord car elles en sont d’abord plus efficaces car amplifiées, ensuite parce que ce dispositif contribuer à protéger l’anonymat de l’utilisateur et rend plus difficile l’attribution de l’attaque.

Lors de l’opération Fancy Bear, en 2015, APT28 a distribué une application Android compromise sur des forums militaires ukrainiens[17]. L’application, avant d’avoir été comprise, avait été conçue pour aider au guidage des obusiers D-30 datant de l’époque soviétique et toujours utilisés par les Forces armées Ukrainiennes. Près de 9 000 militaires ont téléchargé l’application compromise, causant ainsi la mise hors-service d’un nombre considérable de canons – (jusqu’à 80 selon certaines estimations, démenties par Kiev)[18].

  • Modification des perceptions ou de la capacité d’analyse de l’adversaire

L’utilisation massive d’Internet comme source d’information au détriment des médias classiques (papier et télévision) crédibilise l’utilisation d’un botnet à des fins de manipulation de l’information, de propagande ou de désinformation. Par l’intermédiaire des bots, les machines infectées peuvent être paramétrées de sorte  à télécharger du contenu faisant la promotion de certaines idées ou opinions, et le diffuser aux adresses courriels récupérées sur l’ordinateur compromis, relayer massivement des spams à un nombre important d’utilisateurs…

En 2016, suite à l’exclusion des athlètes russes des Jeux olympiques de Rio, APT28 aurait infiltré les réseaux de l’Agence Mondiale Antidopage (AMA) et exfiltré puis publié en ligne des documents médicaux de sportifs américains, une façon de souligner et de rendre visible la différence de traitement accordé aux États-Unis et à la Russie.

 

On constate doncs ces dernières années une évolution dans l’utilisation des botnets : leurs usages sont plus variés et comprennent non seulement la destruction (DDoS) mais également les fuites de données et le espionnage. Leurs victimes sont également plus diversifiées. Au côté des ordinateurs s’ajoutent désormais les smartphones et l’IoT, comme l’a démontré l’opération Fancy Bear. Par conséquent, le nombre de vecteurs d’attaque (phishing, malware, etc.) a fortement augmenté.

Outil moderne au service d’opérations de renseignement, les botnets sont activement utilisés pour mener des attaques sophistiquées, comme l’illustrent les activités bien documentées d’APT28. L’un de leurs principaux intérêts est la difficulté à remonter jusqu’aux serveurs C&C et aux botmasters, ce qui demeure impossible dans de nombreux cas.

 

 

[1] Les bots informatiques sont des agents logiciels automatiques ou semi-automatiques qui interagissent avec des serveurs informatiques de la même façon que le feraient des programmes clients utilisé par des humains.

[2] Ministère des Armées, Éléments publics de doctrine militaire de lutte informatique, DiCoD, p. 6.

[3] « Botnet neutralisé: comment la gendarmerie française a opéré », Le Point, 25 septembre 2019.

[4] J.-B. Jeangène Vilmer, A. Escorcia, M. Guillaume, J. Herrera, Les Manipulations de l’information : un défi pour nos démocraties, rapport du CAPS (MEAE) et de l’IRSEM (MINARM), Paris, août 2018, p. 85.

[5] Brian Prince, « Botnets for Sale Business Going Strong, Security Researchers Say », eWeek, 25 octobre 2010.

[6] « Authorities across the world going after users of biggest DDoS-for-hire website », Europol, 28 janvier 2019.

[7] Cybercriminalité : les gendarmes neutralisent le botnet géant “Retadup”, France 24 (Youtube), 28 août 2019.

[8] Eric Koziel, David Robinson, « Botnets as an Instrument of Warfare », 5th International Conference Critical Infrastructure Protection (ICCIP), Mars 2011, États-Unis, p. 20.

[9] Aussi connu sous les noms de Fancy Bear, Swallowtail, Pawn Storm, Sofacy Group, Sednit, Strontium et Tsar Team.

[10] Il est important toutefois de noter qu’APT28 n’a pas l’exclusivité de ce type d’opérations et que d’autres groupes utilisent les botnets ou poursuivent le même genre d’objectifs.

[11] Zsolt Bederna, Tamas Szadeczky, « Cyber espionage through Botnets », Security Journal, Palgrave Macmillan, 2019.

[12] « APT28 : au cœur de la polémique », FireEye, 2017.

[13] Campagne de phishing ciblée

[14] Secrétariat général de la défense et la sécurité nationale, Revue stratégique de cyberdéfense, 12 février 2018, p. 15.

[15] « Hack attacks cut internet access in Liberia », BBC News, 4 novembre 2016.

[16] Op. cit. Koziel, Robinson, p. 24.

[17] Adam Meyers, « Danger Close: Fancy Bear Tracking of Ukrainian Field Artillery Units », Crowdstrike, 22 décembre 2016.

[18] « Defense ministry denies reports of alleged artillery losses because of Russian hackers’ break into software », Interfax-Ukraine, 06 janvier 2017.