Les botnets qui ne mourront pas

La semaine dernière, le FBI a démantelé le botnet Coreflood, un important réseau d'ordinateurs zombies qui avait été utilisé pour voler des informations personnelles valant des centaines de milliers de dollars. Mais l'effondrement s'est appuyé sur une faiblesse importante des botnets conventionnels, à savoir qu'ils sont contrôlés par quelques ordinateurs centraux. Arrêtez ces machines centrales et vous désactiverez l'ensemble du réseau de centaines de milliers de PC compromis. Les chercheurs avertissent que cette faiblesse n'existe pas dans les botnets qui utilisent des protocoles de communication peer-to-peer, dans lesquels les messages sont transmis de machine à machine au lieu de provenir d'une commande centrale.





Les botnets peer-to-peer pourraient devenir plus courants si les attaques coordonnées contre les botnets conventionnels se poursuivent. Lorsqu'ils estiment que les botnets centralisés ont plus tendance à être fermés par les autorités, ils se tournent alors vers les botnets peer-to-peer, dit Falaise Zou , chercheur en sécurité des réseaux à l'Université de Floride centrale.

Un botnet est un réseau d'ordinateurs qui, à l'insu de leurs propriétaires, ont été compromis par des virus ou des vers et peuvent être contrôlés à distance. Les spammeurs et les organisations criminelles les utilisent pour rechercher des informations de carte de crédit et de compte bancaire.

Certains botnets déjà mis en œuvre ont utilisé des communications peer-to-peer. Les ordinateurs d'un tel réseau conservent une liste de pairs (autres ordinateurs du réseau) et leur transmettent des informations. Lorsque le contrôleur veut émettre une commande au botnet, il l'insère dans un ou plusieurs des pairs, et elle se propage progressivement dans tout le réseau.

Mais cette conception est compliquée à mettre en œuvre, et les autorités ont pu infiltrer ces réseaux et diffuser de fausses commandes, fichiers et informations sur les pairs, interceptant et perturbant les communications.

Stéphane Eidenbenz du Laboratoire national de Los Alamos et ses collègues ont conçu et simulé un botnet qui pourrait s'avérer beaucoup plus résistant. Ils le décrivent dans un article à venir dans Réseaux informatiques .

Leur hypothétique botnet se configurerait au hasard dans une hiérarchie, les pairs n'acceptant les commandes que des ordinateurs plus haut dans la hiérarchie. Tout ordinateur repris par un étranger serait ainsi moins susceptible de perturber le réseau. Le botnet reconfigurerait sa hiérarchie chaque jour, de sorte que les étrangers auraient peu de temps pour traquer les ordinateurs de plus haut niveau qui pourraient faire le plus de dégâts.

La technique, associée à un cryptage puissant, rendrait ces botnets difficiles à analyser et à attaquer. Nous pensons que cela pourrait être assez efficace, prévient Eidenbenz.

Zou s'attend à ce que des botnets peer-to-peer plus puissants ne soient qu'une question de temps. Une fois que quelqu'un écrit des moyens de renforcer la sécurité d'un botnet dans un code facile à mettre en œuvre, dit-il, ce type de botnet se répandra rapidement.

Mais Brett Stone-Gross , chercheur en sécurité informatique à l'UC Santa Barbara, pense que même avec des améliorations, les botnets peer-to-peer resteront trop compliqués et vulnérables à la prise de contrôle. En outre, dit-il, les botnets conventionnels restent très difficiles à combattre. Les botnets [conventionnels] sont toujours les plus efficaces, dit-il. Ils sont faciles à mettre en place. Cela se résume vraiment à la simplicité par rapport à la complexité. Même si vous supprimez un serveur Web, il réapparaîtra ailleurs. Vous le verrez avec Coreflood. Il sera de nouveau en ligne dans quelques semaines.

cacher