Plus d’un million de PC piratés dans le monde
Le projet Honeynet a étudié l’une des plus inquiétantes menaces en ligne : les réseaux de PC esclaves.
Plus d’un million de PC zombies ou bots. Autrement dit, 1 million d’ordinateurs à la solde de pirates qui les exploitent à des fins peu scrupuleuses et, généralement, à l’insu de leurs propriétaires. C’est ce qui ressort du rapport que le Honeynet Projet a mis à jour le 13 mars dernier. Organisation non commerciale née en 1999 et composée d’experts en sécurité qui interviennent bénévolement, le projet Honeynet vise à mieux connaître les méthodes et agissements des pirates informatiques (la blackhat community). Notamment en les attirants avec des PC leurres mal sécurisés où leur faits et gestes sont disséqués (voir édition du 16 juillet 2001).
Pour effectuer l’étude, les chercheurs de Honeynet ont réussi à suivre jusqu’à 100 botnets, ou réseaux de PC zombies, au cours des quatre derniers mois. Réseaux qui peuvent être constitués de quelques centaines de PC piratés à plusieurs dizaines de milliers. Le plus important botnet repéré par Honeynet comprenait 50 000 PC zombies. Au cours de leur étude, les membres du projet ont comptabilisé plus de 226 500 adresses IP (la référence Internet qui permet d’identifier un ordinateur) en liaison avec un des canaux leurres sous surveillance.
Même si nous sommes très optimistes…
« Même si nous sommes très optimistes et estimons que nous surveillons un pourcentage significatif des botnets […] cela signifie que plus d’un million de machines sont compromises et peuvent être contrôlées par des attaquants malveillants », écrivent les auteurs du rapport qui pensent cependant que leurs estimations sont en deçà de la réalité. « Nous savons qu’il y a plus de clients botnets depuis que les pirates utilisent parfois des serveurs IRC modifiés lesquels ne nous fournissent pas d’informations sur la façon de joindre les utilisateurs. »
De par leur fonction de communication instantanée d’une machine vers une autre ou vers plusieurs, les serveurs IRC constituent pour les pirates des centres de contrôles des PC infectées. Lesquels hébergent donc un discret client IRC. Les machines les plus prisées des pirates sont évidemment celles qui bénéficient d’une connexion haut débit et connectées en permanence. Un millier de PC zombies qui disposent, en moyenne, de 128 Kbit/s de bande passante en émission peuvent ainsi offrir une puissance de plus de 100 Mbit/s. « C’est probablement plus élevé que la connexion Internet de la plupart des systèmes collectifs », souligne le rapport.
Plus de 500 variantes d’Agobot
Inquiétant. Car les botnets ne se limitent pas à envoyer du spam. Ils servent aussi à lancer des attaques par déni de service (envoi massif et répéter de requêtes vers un serveur pour le faire « tomber » et tenter d’en prendre le contrôle), à espionner le trafic, à voler des données personnelles (mots de passe en premier lieu), diffuser des programmes malveillants et autres adwares, influencer les sondages en ligne, lancer des campagnes de phishing, étendre le réseau de PC zombies, voire s’emparer ou attaquer un botnet concurrent. Sans parler des menaces que ce type d’organisation fait peser sur les institutions gouvernementales et militaires.
Honeynet recense une petite dizaine des principaux programmes malveillants, ou bots, qui permettent de commander les machines à distance. Le plus connu, Agobot, a donné naissance à plus de 500 variantes, selon l’éditeur Sophos. Windows constitue, pour l’heure, l’unique environnement de botnets. A commencer par Windows XP Service Pack 1, suivi de Windows 2000, Windows Server 2003 et Windows 9x. Le rapport précise cependant que les machines leurres sous Windows XP et 2000 n’étaient pas à jour en matière de correctif de sécurité émis par Microsoft. La mise à jour des patchs se révèle désormais aussi indispensable que la présence des firewall et antivirus.