Kaspersky Lab, éditeur reconnu de solutions de sécurité informatique contre toutes les formes de menaces cybercriminelles (botnets, escroqueries, phishing, spams, etc.), publie un article de Yury Namestnikov, analyste antivirus chez Kaspersky Lab. Intitulé « Economie des réseaux de PC zombies », cet article détaille les différentes applications des réseaux zombies et explique comment les cybercriminels en font de véritables mines d’or.

Un réseau de PC zombies, ou botnet, est un réseau d'ordinateurs infectés par un programme malveillant, qui permet à des individus mal intentionnés d'administrer ces ordinateurs à l'insu de leur propriétaire. Le contrôle des ordinateurs infectés s'opère grâce à un centre de commande qui communique avec le réseau de zombies via un canal IRC, une connexion Internet, etc.Il suffit de réunir quelques dizaines de machines pour que ce réseau de zombies commence à engendrer un revenu pour son propriétaire. Ce revenu est directement proportionnel à la fiabilité du réseau de zombies et à son rythme de croissance.

Les botnets assurent des gains à ceux qui les commandent, notamment grâce aux attaques par déni de service distribué, à la collecte d'informations confidentielles, à la diffusion de courrier indésirable, au hameçonnage, au courrier indésirable de recherche, à l’augmentation frauduleuse du nombre de clics ou au téléchargement de logiciels publicitaires et d'applications malveillantes. Toutes ces méthodes sont rentables et, qui plus est, le réseau de zombies est capable d'exécuter toutes ces actions simultanément.

Le réseau de zombies est l’outil idéal pour mener à bien des attaques par déni de service distribué. De telles attaques peuvent être utilisées par des entreprises pour déstabiliser des concurrents, ou par des cyber-terroristes pour déclencher de véritables cyber-guerres. Des publicités pour la réalisation d'attaques par déni de service distribué s'affichent ouvertement sur de nombreux forums. Près de 190 000 attaques par déni de service distribué ont été organisées en 2008, ce qui aurait rapporté aux cybercriminels près de 20 millions de dollars.

Les données confidentielles stockées sur les ordinateurs personnels peuvent aussi être convoitées par les individus qui contrôlent les botnets. Les données les plus prisées sont les numéros de cartes de crédit, les informations financières et les mots de passé à des services variés : courrier électronique, FTP ou messagerie instantanée. Les cybercriminels recherchent également les données d'accès à divers services payants et magasins en ligne. Les données confidentielles qui n'ont aucun rapport direct avec l'argent des victimes intéressent les criminels qui se consacrent à la création de faux document, à l'ouverture de faux comptes en banque, à des affaires illégales, etc.

Le coût des données personnelles dérobées dépend directement du pays où vit le détenteur légitime de ces données. Par exemple, les données complètes de résidents des Etats-Unis valent entre 5 et 8 dollars. Sur le marché noir, les données d'habitants de l'Union européenne sont particulièrement recherchées : elles coûtent deux à trois fois plus cher que les données de résidents des Etats-Unis et du Canada.

Les cybercriminels créent sans cesse de nouveaux sites de phishing, qu’ils protègent de toute fermeture par des botnets. En effet, les réseaux de zombies facilitent l’utilisation de la technologie Fast-flux. Elle permet de modifier à intervalle de quelques minutes l'adresse IP des sites tout en conservant le nom de domaine, ce qui prolonge la durée de vie de ces réseaux et complique leur découverte et leur mise hors-service. Sur ce modèle, des ordinateurs de particuliers, intégrés à des réseaux de PC zombies, sont utilisés comme serveurs Web, avec du contenu de sites de phishing. Les revenus générés par le phishing sont comparables à ceux du vol de données confidentielles par des programmes malicieux, soit des millions de dollars chaque année.

Selon les données de Kaspersky Lab, près de 80 % du spam mondial est envoyé par l’intermédiaire de réseaux de PC zombies. En 2008, les spammeurs ont empoché environ 780 millions de dollars.

Il existe une autre application des réseaux de zombies, à savoir l'optimisation des recherches. Avec ce procédé, les responsables de sites tentent d'améliorer leur position dans les résultats de recherches. Plus un site se positionne en haut du classement, plus il recevra de visiteurs via les moteurs de recherche.

L'installation de logiciels publicitaires et d'applications malveillantes est également une activité à laquelle se dédient les réseaux de zombies. Les nombreux éditeurs qui proposent des services de publicité en ligne sont payés pour chaque installation de leur application. Les cybercriminels qui diffusent des applications malveillantes suivent souvent le même modèle en se faisant payer pour chaque installation de leur logiciel. Il s’agit d’un véritable "partenariat" entre les cybercriminels.

Les agences de publicité en ligne qui ont recourt au modèle PPC (Pay-per-Click) versent de l'argent pour chaque clic unique sur les annonces. Les propriétaires de botnets perçoivent beaucoup d’argent en trompant ces agences. En 2008, Environ 17 % des clics sur les liens publicitaires étaient contrefaits, dont un tiers était généré par les botnets.

Yury Namestnikov souligne que le maintien du réseau de zombies, la recherche de nouveaux zombies, la protection contre la détection des bots par les logiciels antivirus et la mise en place de centres de contrôle et de commande nécessitent des investissements aussi bien en temps qu'en argent de la part du pirate. C'est la raison pour laquelle les réseaux de zombies existant sont souvent loués ou vendus.

A l'heure actuelle, la méthode la plus efficace pour lutter contre les réseaux de PC zombies consiste à établir une collaboration étroite entre les spécialistes de la lutte contre les virus, les fournisseurs d'accès Internet et les autorités judiciaires. Cette coopération a déjà entraîné la fermeture de trois sociétés : EstDomains, Atrivo et McColo, dont les serveurs hébergeaient les centres de commande et de contrôle de plusieurs réseaux de zombies majeurs. Il est intéressant de constater que la fermeture de la société McColo a entraîné une réduction de 50% du volume de courrier indésirable sur Internet.

Les spécialistes étudient des milliers de réseaux de zombies, les logiciels antivirus détectent et neutralisent les bots dans le monde entier mais seules les autorités judiciaires peuvent interrompre l'activité des centres de commandes et capturer les cybercriminels, ce qui « désactiverait » les réseaux de zombies à long terme.

La lutte ne peut être efficace si elle ne compte pas l'appui des utilisateurs. Ce sont en effet les ordinateurs des particuliers que l'on retrouve majoritairement dans les réseaux de zombies. Les utilisateurs doivent respecter des mesures de sécurité élémentaires telles que l'utilisation d'un logiciel antivirus, l'utilisation de mots de passe robustes pour les comptes et la désactivation du lancement automatique des fichiers depuis les périphériques amovibles.

L’article est disponible dans son intégralité sur www.viruslist.com/fr.

Kaspersky Lab autorise la réimpression de cet article pour autant que l'ensemble des données relatives à l'auteur (identité, société, source) soit mentionné. Toute publication d'un texte retravaillé devra faire l'objet de l'accord préalable du service d'informations de Kaspersky Lab.

Confidentialité |Contactez-nous