background image

numĂ©ro 61

Octobre 2007

Quel est donc ce nouveau fléau dont il est tant question dans les salons
spĂ©cialisĂ©s ? Des ectoplasmes, venus tout droit des Carpates, chasse-
raient sur le net les PC mal administrés. Des piÚces jointes explosives, au
« pair Ă  pair Â» manipulĂ©, en passant par des liens piĂ©gĂ©s, tout ne serait
qu’astuces pour attirer les badauds « au club des zombies Â». Une fois
mordue par « la bĂȘte Â», une machine se transformerait en esclave du
« botherder Â». Pis, elle rentrerait elle-mĂȘme dans « la bĂȘte Â»â€Š Elle devien-
drait « la bĂȘte Â», cherchant Ă  mordre Ă  son tour tout PC Ă  sa portĂ©e ! Un
tiers des ordinateurs familiaux connectĂ©s Ă  l’ADSL seraient frappĂ©s, lit-on
dans la presse.

Cette histoire, racontée ainsi, est évidemment romancée, mais elle est
vraie dans le fond sinon dans sa forme. Cette nouvelle malveillance,
apparue en 2002 avec Agobot, se nomme botnet. Elle marque une Ă©vo-
lution majeure de la délinquance informatique. Hier, les virus, les vers, les
chevaux de Troie Ă©taient plutĂŽt
 bĂȘtement dĂ©monstratifs (tous ceux qui
en ont Ă©tĂ© victimes en tĂ©moigneront). Aujourd’hui, au contraire, les bot-
nets sont discrets et mĂȘme sournois ; ils enrĂŽlent les machines furtive-
ment pour lancer des « spams Â», pour capter des mots de passe frappĂ©s
au clavier, pour lancer des attaques en « dĂ©ni de service distribuĂ© Â», pour
constituer des grilles de calcul en vue du cassage de messages chiffrés,
et mĂȘme pour louer sur Internet leurs services de « tueur de serveurs Ă 
gages Â».

Quelle est l’importance de cette malveillance dans le secteur d’activitĂ©
« enseignement/recherche Â» ? François Ducrot, Michelle Danho et Xavier
Marronnier du Cert-Renater, de par leur fonction, sont les mieux placĂ©s
pour rĂ©pondre Ă  cette question. C’est ce qu’ils font dans ce numĂ©ro,
aprĂšs avoir expliquĂ© le fonctionnement et l’exploitation des botnets et
donnĂ© quelques bons conseils pour s’en protĂ©ger. Laurent Butti, expert
senior en sécurité des réseaux à France Télécom R&D, complÚte la pré-
sentation par un article donnant une vision stratĂ©gique de l’évolution de
ce type de menace.

Que nous disent-ils en essence ? Que ce phĂ©nomĂšne n’en est qu’à ses
dĂ©buts et que le pire est peut-ĂȘtre devant nous


Robert Longeon

ChargĂ© de mission Ă  la sĂ©curitĂ© 

des systùmes d’information du CNRS

S Ă‰ C U R I T Ă‰ I N F O R M AT I Q U E

S Ă‰ C U R I T

É

D E S

S Y S T Ăˆ M E

S

D

’

I N F O R M A

T I O N

Ă© d i t o r i a l

« Ils ne mouraient pas tous, mais

tous Ă©taient frappĂ©s
 Â»

Les botnets

François Ducrot, Michelle Danho,
Xavier Marronnier

Cert-Renater

Le terme de botnet est revenu souvent dans l’actua-
lité de la sécurité informatique depuis quelques
annĂ©es. Dans cet article, nous allons exposer ce qu’il
recouvre. Nous commencerons par raconter l’origine
et le développement des botnets puis, en passant du
point de vue de l’administrateur d’un rĂ©seau, nous
expliquerons ce que signifie hĂ©berger une partie d’un
botnet.

L’origine des botnets

Le terme botnet est la contraction de l’expression « roBOT

NETwork Â», soit littĂ©ralement rĂ©seau de robots. Un robot Ă©tant un

programme localisé sur une machine distante effectuant des

actions automatiques sur un serveur.

Les premiers robots ont vu le jour dans le monde des opérateurs

IRC. Ils servaient Ă  assurer la permanence de la gestion d’un canal

lorsque l’administrateur devait s’absenter. La dĂ©rive fut d’utiliser ces

outils d’administration afin de prendre l’avantage lors d’affronte-

ments pour le contrĂŽle d’un canal IRC. Le plus connu de ces outils

est Eggdrop, apparu en 1993 et retrouvĂ© dans de nombreuses

compromissions de systÚmes Linux autour des années 2000.

En 1999, le premier ver utilisant IRC comme moyen de contrĂŽle fit

son apparition. Il s’agissait de W32, PrettyPark. Ce ver ne dĂ©clen-

cha pas d’effet de mode immĂ©diat. Ă€ la fin de l’annĂ©e 2000, le

« bot Â» GTBot, un dĂ©tournement du client IRC Windows mIRC, fit

son apparition. Ces robots de premiĂšre gĂ©nĂ©ration n’apparurent

pas comme une menace majeure et sont aujourd’hui pratique-

ment oubliĂ©s. Ce fut Ă  partir de 2002 que la menace commença

Ă  prendre sa forme actuelle. Les programmes Agobot, SDBot

puis, l’annĂ©e suivante, SpyBot sont les briques de base sur les-

quelles se sont appuyĂ©s par la suite les crĂ©ateurs de botnets. Ces

programmes sont construits de façon Ă  faciliter l’émergence de

nouvelles variantes en multipliant les moyens d’intrusion, les fonc-

tionnalités offensives et les moyens de protection.

Architecture d’un botnet

Un botnet est donc un ensemble de machines esclaves, organi-

sées en réseau et contrÎlées à distance par une ou plusieurs

personnes,

a priori malveillantes.

Du point de vue de l’organisation, un botnet a pour objectif de

permettre Ă  un individu, le « botherder Â», le

‱

Éditorial par 

R. Longeon

‱

Les botnets 
par

F. Ducrot, M. Danho, 

X. Marronnier

‱

Évolution de la propagation
des malwares
par 

L. Butti

SOMMAIRE

suite page 2

background image

crĂ©ateur du botnet, de contrĂŽler simultanĂ©-

ment l’ensemble des machines esclaves

(ou zombies) faisant partie de son réseau.

Le botnet est un réseau fortement hiérar-

chisé comprenant un opérateur et des utili-

sateurs, des serveurs maĂźtres et des

machines esclaves. L’opĂ©rateur est la per-

sonne qui a créé le botnet et qui en

contrĂŽle l’emploi. Les utilisateurs sont les

personnes ayant payĂ© l’opĂ©rateur pour uti-

liser les ressources du botnet.

L’architecture traditionnelle

Dans ce modĂšle, un ou plusieurs serveurs

IRC sont utilisés comme canal de com-

mande et contrĂŽle (C&C). AprĂšs infection,

les machines clientes du botnet, les bots ou

zombies, se connectent au serveur maĂźtre

sur un canal IRC privé afin de signaler leur

existence, d’obtenir des mises Ă  jour ou des

instructions. Le « botherder Â» pourra les

contrĂŽler en se connectant sur un des ser-

veurs maĂźtres pour envoyer ses ordres. Le

point faible de ce modùle d’organisation

est sa sensibilitĂ© Ă  la dĂ©tection. En effet, une

fois les maĂźtres identifiĂ©s, il suffit de surveiller

et de filtrer ceux-ci pour démanteler le bot-

net ou le rendre inopérant sur un segment

de réseau.

Le modĂšle « Peer-to-Peer Â»

Ici, le rĂ©seau est fortement dĂ©centralisĂ© de

façon à éviter sa destruction par un simple

filtrage. Il n’y a plus de serveur C&C central.

Chaque machine infectĂ©e dispose d’une

liste initiale d’adresses IP de points d’entrĂ©e

dans le botnet. Une fois le « bot Â» intĂ©grĂ© au

rĂ©seau, cette liste est mise Ă  jour de façon

dynamique. On se sert des zombies pour

relayer les ordres à travers l’ensemble du

rĂ©seau. Les ordres mettent plus de temps Ă 

se propager dans ce contexte, mais le

rĂ©seau est plus robuste : la perte d’un

nƓud ne met pas à mal l’existence du

réseau tout entier.

Variation sur ces modĂšles

De nouvelles méthodes de communication

apparaissent. Il s’agit de conserver les

concepts essentiels de ces deux modĂšles,

mais en changeant le canal C&C.

On peut, par exemple, utiliser un serveur

web en lieu et place du serveur IRC

comme maĂźtre. L’avantage pour le pirate

provient du fait que le trafic web sortant

d’un site n’est pratiquement jamais interdit,

car trop abondant pour pouvoir ĂȘtre sur-

veillé sans informations complémentaires.

On peut trouver Ă©galement l’emploi des

messageries instantanées qui offrent les

mĂȘmes avantages que le web pour Ă©viter

les filtrages et le chiffrement des communi-

cations pour aveugler les sondes de détec-

tion d’intrusion positionnĂ©es par les gestion-

naires de réseaux pour détecter les

problĂšmes.

Taille

La taille des botnets est trĂšs variable, de

quelques centaines de machines zombies

Ă  plusieurs dizaines de milliers. La moyenne

est de l’ordre du millier d’élĂ©ments.

Un communiqué de presse du FBI en date

du 13 juin 2007 peut illustrer les aspects Ă©co-

nomiques de ces outils 

[9]

. Si l’une des per-

sonnes arrĂȘtĂ©es est le crĂ©ateur du botnet,

les autres en sont les utilisateurs. Le nombre

de machines faisant partie du botnet est

de l’ordre du million. Le premier des utilisa-

teurs a utilisé le botnet pour lancer des

attaques de dĂ©ni de service distribuĂ©. Le

deuxiÚme a envoyé un nombre considé-

rable de messages publicitaires pour les

services offerts sur son site web depuis les

machines du botnet.

Selon une dĂ©claration de Vinton Cerf, un

des fondateurs de l’Internet, Ă  Davos, en

janvier 2007, pratiquement une machine

connectée à Internet sur quatre ferait par-

tie d’un botnet 

[10]

.

Cycle de vie d’un botnet

Pour constituer un botnet, un pirate doit

répandre ses outils sur un grand nombre de

machines, tout en Ă©vitant d’attirer l’atten-

tion des utilisateurs. Pour plus d’efficacitĂ©, il

va faire en sorte d’infecter des machines

qui vont ensuite ĂȘtre chargĂ©es de recruter

d’autres victimes, accroissant ainsi considĂ©-

rablement la vitesse de constitution de son

rĂ©seau. Il peut employer les mĂ©thodes

généralement utilisées par les créateurs de

virus pour diffuser Ă  grande Ă©chelle leurs

codes malveillants et les faire installer Ă 

l’insu des utilisateurs :

‱

Code malveillant envoyé en piÚce jointe

dans un courrier Ă©lectronique. Lorsque l’uti-

lisateur tĂ©lĂ©charge et exĂ©cute le fichier, il se

retrouve contaminĂ©. Cette mĂ©thode est

indĂ©pendante des logiciels de l’utilisateur

(hormis le systĂšme d’exploitation, bien sĂ»r)

et permet de contourner les précautions

prises au niveau des serveurs de message-

rie.

‱

Fichier d’apparence anodine contenant

un cheval de Troie (jeux, faux correctifs,

Ă©conomiseurs d’écran, etc.).

‱

L’exploitation d’une faille d’un naviga-

teur web : il est possible d’utiliser des sites

web piĂ©gĂ©s afin d’infecter les utilisateurs

consultant ces sites. Typiquement, il s’agit

de sites de téléchargement de fichiers pro-

tĂ©gĂ©s par le droit d’auteur (warez) ou de

sites de « charme Â». L’autre cas est celui de

sites web lĂ©gitimes piratĂ©s afin d’exĂ©cuter

un programme Ă  distance sur la machine

d’une victime visitant le site web.

‱

L’exploitation d’une faille d’un logiciel

trÚs utilisé.

‱

Le « Peer-to-Peer Â» : le code malveillant se

fait passer pour un fichier « allĂ©chant Â» que

l’utilisateur est invitĂ© Ă  tĂ©lĂ©charger et Ă  exĂ©-

cuter. L’exĂ©cution semblera Ă©chouer Ă 

cause d’une erreur dans le fichier alors que,

en rĂ©alitĂ©, un nouveau zombie est nĂ©, etc.

Pour inciter l’utilisateur Ă  exĂ©cuter l’action

qui va dĂ©clencher la procĂ©dure d’infection

de son poste, les pirates utilisent des tech-

niques d’ingĂ©nierie sociale plus ou moins

subtiles. Qu’ils jouent sur la peur, la curiositĂ©

ou la sĂ©duction, force est de constater que

leurs techniques sont trĂšs efficaces.

L’internaute, mal sensibilisĂ© aux problĂšmes

de sécurité contribue trÚs largement au

succÚs de ces réseaux.

Les machines ainsi infectées peuvent

ensuite mettre en Ɠuvre d’autres tech-

niques plus agressives pour faire croĂźtre le

réseau.

‱

Campagnes d’envois de messages

contenant un programme malicieux en

piĂšce jointe ou encore des messages

contenant des liens vers des pages web

contenant du code malveillant.

‱

« Scans Â» rĂ©seau permettant de dĂ©tecter

et d’attaquer :

– des machines prĂ©sentant des failles de

sécurité sur des services accessibles par le

rĂ©seau ;

– des portes dĂ©robĂ©es (backdoors) dĂ©jĂ 

mises en place par d’autres codes mal-

veillants ;

– des machines prĂ©sentant des services

protĂ©gĂ©s par des mots de passe faibles. La

propagation par les partages réseau per-

met de se rĂ©pandre Ă  l’intĂ©rieur d’un sous-

réseau de façon particuliÚrement efficace.

Une fois la machine infectĂ©e, le nouveau

« bot Â» va se connecter au botnet et signa-

ler sa prĂ©sence. Ensuite, depuis la gĂ©nĂ©rali-

sation de la conception modulaire du

mĂ©canisme d’infection, la nouvelle recrue

va tĂ©lĂ©charger et exĂ©cuter d’autres

modules (mises Ă  jour, nouvelles fonctionna-

litĂ©s). Pour assurer sa sĂ©cu-

sécurité informatique

octobre 2007 - n° 61

suite de la page 1

2

suite page 3

background image

ritĂ©, le « bot Â» va alors effectuer quelques

tĂąches dans le but de neutraliser les logi-

ciels  constituant la protection du poste

infectĂ© (antivirus, pare-feu personnels
).

Quelques-uns de ces codes malveillants ins-

tallent aussi des « rootkits Â» et autres pro-

grammes chargés de les rendre invisibles

aux yeux des utilisateurs des systĂšmes ou

des personnes chargées de les administrer.

Il peut aussi appliquer des correctifs et net-

toyer la machine afin d’éviter qu’un autre

pirate n’y accùde.

On voit bien ici l’intĂ©rĂȘt de la construction

modulaire des « bots Â». Ă€ la diffĂ©rence d’un

ver classique, dont l’efficacitĂ© diminue

avec le comblement de la faille exploitée,

un « bot Â» du type Agobot peut ĂȘtre modifiĂ©

pour exploiter une nouvelle faille de sécu-

ritĂ© afin de  se propager encore plus long-

temps sur davantage de systĂšmes. De plus,

la modularitĂ© des vers engendre une altĂ©-

ration de la signature virale lors des modifi-

cations du code qui, combinĂ©e avec l’utili-

sation de techniques de camouflage du

code source rend les antivirus aveugles


Une fois bien installĂ© sur la machine, le

« bot Â» se met en attente des commandes

de son maĂźtre.

Mais Ă  quoi servent-ils ?

Au vu de l’organisation des botnets, on

peut s’interroger sur l’intĂ©rĂȘt pour un pirate

de constituer un tel rĂ©seau. Les composants

d’un botnet ne sont pas ciblĂ©s, donc il ne

s’agit pas d’une attaque contre un site prĂ©-

cis. Le nombre de machines attaquĂ©es

n’est pas reprĂ©sentatif de l’habiletĂ© du

pirate et la nature discrĂšte du botnet

contredit l’idĂ©e de s’autoproclamer auteur

du ver le plus répandu.

En fait, les botnets sont l’illustration de la

transformation du pirate informatique. Le

défi technique a fait place à une écono-

mie souterraine dans laquelle le piratage

n’est qu’un outil qu’il faut rentabiliser. Le

changement d’orientation dans les motiva-

tions des pirates, de la curiositĂ© et de la

recherche de notoriĂ©tĂ© vers la recherche

de profits financiers, a Ă©tĂ© marquĂ© par l’ap-

parition de « bots Â» de plus en plus sophisti-

qués et intégrant des fonctionnalités per-

mettant de mener diverses actions

frauduleuses depuis les postes infectĂ©s. Le

«botherder» en loue l’utilisation pour une

somme variable. D’aprĂšs certaines infor-

mations, le prix le plus courant serait de

0,10 $ par machine de botnet louĂ©e 

[5]

.

On peut se demander quels types d’acti-

vitĂ© justifient la location des services d’un

botnet. La rĂ©ponse est : toutes celles qui

pourraient avoir pour consĂ©quence d’os-

traciser leur auteur de la plupart des

rĂ©seaux, voire le conduire Ă  rĂ©pondre de

délits devant un tribunal.

Attaques en déni de service

Il est possible de louer les services d’un bot-

net pour monter une attaque de déni de

service distribuĂ©. Ainsi, sur l’ordre du serveur

maĂźtre, la machine esclave peut lancer des

attaques en présentant pour origine le site

piratĂ©. Par exemple, l’envoi sur le canal IRC

d’une commande dĂ©clenche une attaque

en dĂ©ni de service. En utilisant plusieurs mil-

liers de machines Ă©mettant des requĂȘtes

simultanĂ©ment, il est possible, par exemple,

d’interdire l’accĂšs Ă  un site web. Les pertes

subies par un site commercial paralysé

pendant plusieurs heures sont sans com-

mune mesure avec le coût de location

d’un botnet. En 2004, un AmĂ©ricain a

recouru aux services d’un botnet pour

attaquer des entreprises avec lesquelles il

Ă©tait en conflit. Sur le plan financier, l’at-

taque a coĂ»tĂ© 1 000 $ Ă  son organisateur et

a entraĂźnĂ© des pertes de l’ordre de 2 mil-

lions de dollars Ă  ses victimes 

[6]

.

Une variation de cette attaque est l’extor-

sion par chantage au dĂ©ni de service. La

principale différence est que le paiement

provient de la victime. Le premier cas

connu s’est produit en 2004, lorsqu’un site

américain a déclaré avoir subi une

semaine d’attaques en dĂ©ni de service

aprĂšs avoir refusĂ© de payer 10 000 $ Ă  un

maĂźtre chanteur 

[7]

.

Diffusion de spams

On peut Ă©galement utiliser des « bots Â» pour

Ă©mettre massivement des spams. Cette

technique offre l’avantage à son com-

manditaire de camoufler son origine, per-

mettant ainsi de contourner les filtrages

par liste noire et les retours de bùton liés à

l’envoi massif de spams (comme les

vagues de retours d’erreurs massives pou-

vant survenir aprĂšs les envois) ou encore le

filtrage de son accĂšs par son fournisseur

d’accĂšs. L’affaire mĂ©diatisĂ©e du « Spam

King Â», rĂ©vĂ©lĂ©e en mai 2007 est une bonne

illustration du niveau que peut atteindre ce

type d’activitĂ©. Ce professionnel rĂ©cidiviste

des campagnes d’envoi de spams, dĂ©jĂ 

condamné deux fois à des amendes de

plusieurs millions de dollars, exerçait son

activité en offrant à des clients potentiels

l’envoi de 15 millions de courriers Ă©lectro-

niques pour 295 $ 

[8]

.

Attaques des internautes

Il est possible d’utiliser les zombies pour

recueillir des informations personnelles sur

les utilisateurs, informations qui seront utili-

sĂ©es dans le cadre de vols d’identitĂ© ou de

fraude Ă  la carte bancaire.

Une autre attaque dirigée par les machines

zombies est la diffusion de logiciels publici-

taires sur celles-ci. Contre rĂ©munĂ©ration, le

« botherder Â» installera un logiciel publici-

taire sur un certain nombre de machines

auxquelles il a accĂšs. On cite une somme

de 0,20 $ par installation.

Manipulation de sites web

D’autres attaques peuvent se fonder sur la

manipulation d’outils de statistiques de frĂ©-

quentation de sites web. Il s’agit soit de

manipulations de sondages ou de jeux en

ligne par l’utilisation coordonnĂ©e de nom-

breuses machines, suivant la mĂ©thode utili-

sĂ©e pour le tiercĂ© dans le film 

Le

Gentleman d’Epsom, soit d’une fraude aux

clics en augmentant artificiellement le

nombre d’utilisateurs suivant les publicitĂ©s

depuis un site complice.

Une autre possibilitĂ© est d’utiliser le botnet

comme espace de stockage soit pour du

contenu illĂ©gal, soit pour des sites d’escro-

queries de type phishing.

sécurité informatique

octobre 2007 - n° 61

3

suite de la page 2

suite page 5

Références

[1]

Guillaume Arcas & Xavier Mell, 

Misc

n° 27 Botnets : la « menace fantĂŽme Â» ou pas ?

[2]

John Canavan, 

The Evolution of

Malicious IRC Bots : 

http://www.symantec.

com/avcenter/reference/the.evolution.of.
malicious.irc.bots.pdf

[3]

XMCO Partners 

L’actu SĂ©cu 15 : 

http://

www.xmcopartners.com/actu-secu/actu_secu
_juin2007.pdf

[4]

Kim-Kwang Raymond Choo : “Zombies

and botnets” 

http://www.aic.gov.au/

publications/tandi2/tandi333t.html

[5]

http://www.theregister.co.uk/2004/05/

12/phatbot_zombie_trade/

[6]

http://www.securityfocus.com/news/9411

[7]

http://www.greensheet.com/PriorIssues-

/041201-/7.htm

[8]

http://fr.wikipedia.org/wiki/Robert_Soloway

[9]

http://www.fbi.gov/pressrel/pressrel07/

botnet061307.htm

[10]

http://news.bbc.co.uk/1/hi/

business/6298641.stm

[11]

http://www.pcinpact.com/actu/news/

26624-Accuse-du-crash-reseau-dun-hopital-
avec-son-. htm

background image

sécurité informatique

octobre 2007 - n° 61

4

Des améliorations notables sur les techniques de protection

Depuis quelques annĂ©es, la situation aurait pu s’amĂ©liorer. Les antivirus et

pare-feu personnels font maintenant partie du paysage informatique de

l’utilisateur rĂ©sidentiel qui est de loin le plus visĂ© par la majoritĂ© des attaques.

Les « boxes Â» des diffĂ©rents fournisseurs d’accĂšs Internet qui se mettent en

coupure entre la machine de l’utilisateur et l’Internet empĂȘchent toute

attaque directe de l’extĂ©rieur vers l’intĂ©rieur (pour peu que les rĂšgles du

pare-feu de la « box Â» soient bien configurĂ©es). Bien qu’il existe toujours des

Microsoft Windows XP SP1 en direct sur Internet sans pare-feu ni antivirus,

cela devient quand mĂȘme bien plus rare qu’auparavant !

Mais aussi sur les stratĂ©gies d’attaque

Les techniques de protection se dĂ©mocratisant, les techniques d’attaques

et les ruses associĂ©es ont aussi Ă©voluĂ© trĂšs rapidement. Les exploitations

directes de vulnérabilité dans les services présents dans des Microsoft

Windows 

[2]

ou les essais exhaustifs sur des serveurs SSH 

[3]

existent toujours,

en attestent les nombreuses tentatives de connexion repérées par des

observatoires de l’Internet 

[4]

, mais cela devient de plus en plus marginal en

comparaison avec les deux approches suivantes


Une premiĂšre approche consiste Ă  berner l’utilisateur en l’incitant Ă  rĂ©cupĂ©rer

et à exécuter un binaire inconnu (

via une URL dans un mail prĂ©cĂ©demment

reçu ou sur un site web malveillant). Cela peut ĂȘtre aussi un utilisateur Ă  la

recherche d’un «crack

1

», d’un «keygen

2

» ou de tout autre application qu’il

jugera intĂ©ressante Ă  exĂ©cuter. L’utilisateur naĂŻf, exĂ©cutant alors le binaire, se

compromet en installant alors un «rootkit

3

» qui se camouflera au mieux dans

le systĂšme d’exploitation compromis. Des Ă©tudes rĂ©centes sur les binaires rela-

tifs au piratage de logiciels ont montrĂ© qu’environ un binaire sur deux contient

du code malveillant (cheval de Troie ou tout autre spĂ©cimen) 

[5]

.

La deuxiĂšme approche consiste Ă  hĂ©berger un outil d’exploitation web sur

un site web (lĂ©gitime, et donc prĂ©alablement compromis, ou spĂ©cialement

conçu pour des actions malveillantes) et d’attendre

4

que l’utilisateur s’y

connecte. Cet outil va ĂȘtre en charge de repĂ©rer la connexion d’un naviga-

teur Internet sur le site web en question et va ĂȘtre capable de sĂ©lectionner

l’exploitation de vulnĂ©rabilitĂ© la plus appropriĂ©e en fonction du navigateur

de l’utilisateur. Cela est gĂ©nĂ©ralement rĂ©alisĂ© grĂące aux en-tĂȘtes prĂ©sents

dans la requĂȘte HTTP du navigateur Internet. Une exploitation de vulnĂ©rabi-

litĂ© rĂ©ussie permet alors d’exĂ©cuter du code arbitraire sur la machine com-

promise. Par ce biais, un exĂ©cutable est alors rĂ©cupĂ©rĂ© et exĂ©cutĂ© sur la

machine compromise, et ce bien entendu Ă  l’insu de l’utilisateur.

Un « business Â» toujours changeant

RĂ©cemment, un outil commercial (i.e. en vente, mais de maniĂšre illĂ©gale)

permettant l’exploitation de vulnĂ©rabilitĂ©s sur les navigateurs Internet a

beaucoup fait parler de lui. Il s’agit de MPack, qui a Ă©tĂ© utilisĂ© pour compro-

mettre des centaines de milliers de machines 

via des serveurs web prĂ©ala-

blement infectĂ©s par diverses failles de sĂ©curitĂ© 

[6]

. Une fois cet outil installĂ©

et configurĂ©, il a permis l’installation de diffĂ©rents malwares sur de nom-

breuses machines compromises. En effet, MPack est un outil d’exploitation

de vulnĂ©rabilitĂ© et non un outil de crĂ©ation de malwares, i.e. il n’est utilisĂ©

que pour la propagation. Ă€ charge ensuite Ă  l’utilisateur de cet outil de

faire les malwares les plus pertinents pour s’assurer un bon chiffre d’affaires !

Une interview instructive d’un des auteurs de MPack est disponible 

[7]

.

La principale particularitĂ© de MPack est son approche business. Â«

MPack offre

les mĂȘmes types de services que des programmes licites, par exemple, des
mises Ă  jour. Les mises Ă  jour de MPack sont de nouvelles versions de l’applica-
tion comprenant de nouveaux exploits pour profiter des derniÚres vulnérabilités
dĂ©couvertes. Une nouvelle mise Ă  jour est disponible tous les mois en moyenne
et coĂ»te entre 50 et 150 $.», explique Luis Corrons, le directeur technique de

PandaLabs. Aujourd’hui, de nombreux dĂ©rivĂ©s de MPack apparaissent et ren-

dent accessible au plus grand nombre l’exploitation de navigateurs Internet.

Les vulnérabilités cÎté client

L’exploitation des vulnĂ©rabilitĂ©s sur les applications clientes n’est pas un

nouveau concept. Des initiatives telles que le « Month of Browser Bugs Â» 

[8]

et

le « Month of Kernel Bugs Â» 

[9]

ont réellement contribué à la prise de

conscience que de nombreux vecteurs d’attaque existent et que les

erreurs d’implantation logicielle sont toujours lĂ©gion, en particulier dans les

applications clientes (navigateurs Internet, drivers Wi-Fi
).

Un autre exemple Ă©difiant concerne les antivirus qui constituent l’outil de sĂ©cu-

ritĂ© le plus rĂ©pandu, aussi bien dans le contexte entreprise

Évolution de la propagation des malwares

La propagation des logiciels malveillants n’est plus Ă  dĂ©montrer. Quand des Ă©tudes rĂ©centes 

[1]

estiment qu’environ

un quart des ordinateurs connectĂ©s Ă  Internet font partie d’un botnet, il est lĂ©gitime de s’inquiĂ©ter et mĂȘme d’affirmer
que les mĂ©canismes de sĂ©curitĂ© aujourd’hui dĂ©ployĂ©s ne sont pas suffisants. Ces botnets n’ont pour but que de gĂ©nĂ©-
rer du chiffre d’affaires par envoi de spams ou phishings, par chantage via des attaques de dĂ©ni de service distribuĂ©es
ou par rĂ©cupĂ©ration d’informations personnelles et confidentielles (numĂ©ros de CB, licences de logiciels
).

Laurent Butti

, expert senior en sĂ©curitĂ© des rĂ©seaux, France TĂ©lĂ©com R&D/Orange Labs

suite page 5

Références

[1]

BBC News, « Criminals ‘may overwhelm the web’», 

http://news.bbc.co.uk

/1/hi/business/6298641.stm

[2]

Metasploit.LLC, «Metasploit Framework Exploits», 

http://framework.metasploit.

com/exploits/list

[3]

SecurityFocus, « Analyzing Malicious SSH Login Attempts Â», 

http://www.

securityfocus.com/infocus/1876

[4]

Arbor Networks, « Active Threat Level Analysis System (ATLAS) Â»,

http://atlas.arbor.net/

[5]

Jacomo Picolini, « Malware distribution trough software piracy: a case

study Â», 

http://www.first.org/conference/2007/papers/piccolini-jacomo-slides.pdf

[6]

TrendLabs Malware Blog, « Another malware pulls an Italian job Â»,

http://blog.trendmicro.com /another-malware-pulls-an-italian-job/

[7]

SecurityFocus, « Newsmaker: DCT, MPack developer Â», 

http://www.

securityfocus.com/news/11476

[8]

Month of Browser Bugs, 

http://browserfun.blogspot.com/

[9]

Month of Kernel Bugs, 

http://projects.info-pull.com/mokb/

[10]

Références Common Vulnerabilities and Exposure,

http://cve.mitre.org/cgi-bin/cvekey .cgi?keyword=antivirus

[11]

Laurent Butti, « Wi-Fi Advanced Fuzzing Â», 

http://www.blackhat.com/

presentations/bh-europe-07/Butti/ Presentation /bh-eu-07-Butti.pdf

Exemple d’identification de navigateurs Internet. 

User-Agent :

Mozilla/5.0 (X11 ; U ; Linux i686 ; en-US ; rv : 1.8.1.6) Gecko/20061201 Firefox/2.0.0.6

(Ubuntu-feisty). User-Agent : Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.1 ; SV1)

1.

Logiciel permettant de passer outre les techniques de protection logi-

cielles pour l’enregistrement d’un logiciel commercial.

2.

Logiciel permettant de créer des numéros de licence valides au sens du

systĂšme de vĂ©rification des licences d’un logiciel commercial.

3.

Logiciel permettant de cacher les actions et outils de l’attaquant sur

une machine déjà compromise.

4.

Bien entendu, il est possible de l’inciter en envoyant du spam Ă  l’atten-

tion de l’utilisateur.

background image

Effets 
pour l’administrateur

Pour le responsable d’un rĂ©seau, la simple

prĂ©sence de machines faisant partie d’un

botnet Ă  l’intĂ©rieur de son rĂ©seau peut

avoir des effets non nĂ©gligeables. Certains

des effets négatifs des botnets se font sentir

dĂšs la contamination des machines,

d’autres ne se font sentir que lorsque le bot-

net reçoit des commandes.

Le premier problĂšme est que la premiĂšre

machine infectée cherchera à contaminer

ses voisines et des machines extĂ©rieures. On

retrouve ici le comportement d’un ver. Ă€ ce

moment, un dĂ©ni de service peut se pro-

duire si le volume de trafic généré par le

bot est supérieur à la capacité des élé-

ments rĂ©seaux. Cela peut se produire au

niveau des liaisons rĂ©seaux, des routeurs de

sortie ou d’entrĂ©e de site ou des serveurs

de courrier Ă©lectronique.

En fĂ©vrier 2006, on a annoncĂ© que la prĂ©-

sence d’un botnet avait provoquĂ© des

pannes informatiques perturbant le fonc-

tionnement d’un hĂŽpital de Seattle 

[11]

.

Ces pannes semblent avoir eu pour origine

une tentative du systĂšme automatique de

sĂ©curitĂ© informatique de contenir l’infec-

tion qui a perturbé le fonctionnement

d’équipements vitaux.

En dĂ©pit du fait que les effets du vol d’identitĂ©

ne concernent pas directement le réseau ou

son gestionnaire, il ne faut pas en nĂ©gliger les

conséquences pour le travail du respon-

sable. Le fait que des donnĂ©es personnelles

des utilisateurs aient Ă©tĂ© dĂ©robĂ©es 

via des

machines sous sa responsabilité peut lui cau-

ser des ennuis, en particulier si ces informa-

tions ont été employées de façon à nuire à

l’image et/ou Ă  l’activitĂ© de son employeur.

Faire partie d’un botnet signifie que à toutes

les Ă©tapes de la vie de celui-ci, vos machines

commettront des actes rĂ©prĂ©hensibles. La

source de l’attaque sera le rĂ©seau infectĂ©. Il

convient donc de prendre en compte les

consĂ©quences, en termes d’image ou sur le

plan judiciaire, de ces actions.

Être Ă  la source de l’émission de spams

peut conduire à l’inscription de ses plages

d’adresse IP dans des listes noires. Cela

peut avoir pour conséquence le rejet du

courrier légitime de vos utilisateurs par des

sites extérieurs consultant ces listes noires.

La participation Ă  un dĂ©ni de service, distri-

buĂ© ou non, entraĂźne rarement des reprĂ©-

sailles. Toutefois, cela peut conduire Ă  une

hausse insupportable du trafic au niveau

local, entraĂźnant ainsi une saturation de la

connectivitĂ© Ă  l’intĂ©rieur du rĂ©seau.

Recommandations

La premiÚre maniÚre de se protéger des

botnets consiste Ă  Ă©viter que ses machines

en fassent partie. Il faut donc mettre en

Ɠuvre des moyens de prĂ©vention permet-

tant sinon d’éliminer complĂštement le

risque (la sĂ©curitĂ© Ă  100 % n’existant pas),

au moins de le limiter. Ă€ ce niveau, il faut se

rappeler que la construction d’un botnet

se sert des mécanismes de propagation

des vers. Des mesures peuvent ĂȘtre prises Ă 

deux niveaux : l’utilisateur et l’équipe char-

gée de gérer un réseau.

Perspective utilisateur

Protection du poste client

Quelques mesures de protection logicielles

peuvent ĂȘtre mises en place :

– mettre son systĂšme Ă  jour rĂ©guliĂšrement ;

– installer un logiciel antivirus et s’assurer de

sa mise Ă  jour rĂ©guliĂšre ;

– installer un pare-feu personnel ;

– installer un outil chargĂ© de la dĂ©tection

des logiciels espions ;

– mettre Ă  jour les applications logicielles

(logiciels de bureautique, navigateurs web,

clients de messagerie, clients de message-

rie instantanĂ©e, lecteurs multimĂ©dias, etc.)

du poste dĂšs que des nouveaux correctifs

de sécurité sont publiés.

Il est arrivĂ© parfois que l’utilisateur dĂ©sactive

la mise Ă  jour automatique de son poste.

Cette manipulation doit absolument ĂȘtre

Ă©vitĂ©e car elle rend le poste vulnĂ©rable. Il

convient de se rappeler que la durée de

vie d’une machine non mise Ă  jour est infĂ©-

rieure Ă  15 minutes. La gĂȘne limitĂ©e induite

par la mise Ă  jour est moindre que le net-

toyage d’une infection.

Dans la chaüne de l’organisation de la

sĂ©curitĂ©, il est frĂ©quent de dire que l’humain

est le maillon faible. Ă€ ce niveau-lĂ , on peut

cependant limiter les dégùts en adoptant

quelques bonnes habitudes.

Précautions relatives à la messagerie

Ă©lectronique

Il est ainsi recommandé de se montrer

méfiant quant au contenu des messages et

notamment :

– de lire ses messages au format texte plu-

tĂŽt que HTML dans la mesure du possible ;

– d’éviter de rĂ©pondre aux messages de

type spam ou de suivre des liens dans ceux-

ci. Quelques spams Ă©chappent toujours Ă  la

vigilance des divers moyens de filtrage mis

en place. Il faut donc apprendre Ă  les repĂ©-

rer afin d’éviter d’ouvrir un message piĂ©gĂ©

et d’ĂȘtre la victime d’une attaque nouvelle

sur votre client de messagerie ;

– dans le mĂȘme ordre d’idĂ©es, Ă©vitez d’ou-

vrir inconsidérément toutes les piÚces

jointes que vous recevez. N’hĂ©sitez pas Ă 

vérifier que ce message

sécurité informatique

octobre 2007 - n° 61

5

suite de la page 4

suite de la page 3

que rĂ©sidentiel.Le reproche classique Ă  l’encontre de ces logiciels concerne la

facilité de contournement de leurs rÚgles de détection des codes malveillants.

Une autre problématique mise en exergue plus récemment concerne la qua-

litĂ© de leur implantation logicielle. En effet, aujourd’hui il est plus qu’envisa-

geable que votre antivirus se fasse compromettre par une piÚce jointe spécifi-

quement formatĂ©e Ă  cet effet 

[10]

. Et c’est bien le comble que l’intĂ©gritĂ© du

systĂšme d’exploitation soit compromise par l’intermĂ©diaire d’un outil censĂ©

rajouter une couche de sĂ©curité  C’est une bonne piqĂ»re de rappel sur le fait

que tous ces outils ne sortent pas de terre tout seuls, et qu’il faut bien les pro-

grammer avec toutes les erreurs classiques de programmation en C/C ++.Vous

me direz alors que ces erreurs de programmation sont peut-ĂȘtre complexes Ă 

dĂ©couvrir, que nenni ! Aujourd’hui, la plupart des vulnĂ©rabilitĂ©s dĂ©couvertes

dans les diffĂ©rents logiciels antivirus le sont par des techniques de «fuzzing». Le

«fuzzing» est une technique de tests logiciels visant à découvrir des dysfonc-

tionnements en termes d’implantation logicielle, typiquement les dĂ©borde-

ments de tampons («buffer overflows»).Selon la complexitĂ© de l’application ou

du protocole rĂ©seau auditĂ©, un simple fuzzer en quelques lignes de

Python/Ruby est suffisant pour découvrir des vulnérabilités critiques et exploi-

tables 

[11]

.

Conclusion

Il faut garder en tĂȘte que les attaques directes sont de moins en moins effi-
caces de par la dĂ©mocratisation des pare-feu sur les « boxes Â» et les sys-
tĂšmes d’exploitation (Microsoft Windows XP SP2 Ă©tant un bon exemple). Par
consĂ©quent, les techniques des attaquants ont Ă©voluĂ© vers les applications
clientes et les utilisateurs afin de maintenir une forte hausse de leur chiffre
d’affaires, et ce malgrĂ© tous les efforts dans la lutte contre les propagations
de code malveillants.
De maniĂšre gĂ©nĂ©rale, la sĂ©curitĂ© doit ĂȘtre assurĂ©e par un savant mĂ©lange
entre la sensibilisation des utilisateurs et la technique.

■

laurent.butti@orange-ftgroup.com

suite page 6

background image

provient bien d’une source de confiance si

vous n’attendez pas de documents. Si vous

devez vraiment l’ouvrir, enregistrer la piĂšce

jointe sur votre disque. Avant exĂ©cution,

passez-la au crible de votre antivirus ;

– ne jamais oublier que vos Ă©diteurs de logi-

ciels ou de systùmes n’envoient jamais de

correctifs par le biais de la messagerie

Ă©lectronique.

PrĂ©cautions pour la navigation 

sur Internet

‱

Privilégiez la navigation sur des sites de

confiance, des sites institutionnels, des sites

d’organismes biens connus. Ă‰vitez les sites

bizarres ou comportant des contenus inap-

propriés qui hébergent souvent des codes

malveillants.

‱

Configurez votre navigateur de maniĂšre

à limiter aux sites web autorisés l'exécution

de code dynamique par votre navigateur

(Javascripts, contrĂŽles ActiveX, etc.). Il est

possible par exemple de désactiver ces

fonctionnalités et de les réactiver au cas

par cas seulement.

PrĂ©cautions pour le tĂ©lĂ©chargement 

de fichiers

Quel que soit le canal utilisĂ© (IRC, web, mes-

sagerie Ă©lectronique, P2P), il faut absolu-

ment Ă©viter de tĂ©lĂ©charger n’importe quel

programme trouvĂ© sur Internet. Si possible,

tĂ©lĂ©charger l’outil depuis le site de son Ă©di-

teur (ou du développeur) est toujours pré-

fĂ©rable. Si vous tĂ©lĂ©chargez un programme

inconnu, il est prudent de le vĂ©rifier Ă  l’aide

d’un antivirus.

Perspective Ă©quipe technique

‱

Apporter une attention particuliĂšre Ă  la

gestion des mots de passe et des comptes

utilisateurs.

‱

Il est primordial de penser Ă  mettre en

place une bonne politique de gestion des

correctifs de sécurité (systÚmes et logiciels)

aussi bien sur les serveurs et Ă©quipements

réseau que sur les postes clients.

‱

Prendre en compte cette mĂȘme gestion

en ce qui concerne les postes nomades,

trop souvent vecteurs d’entrĂ©e de codes

malveillants sur des réseaux autrement bien

cloisonnés de ce point de vue.

‱

Installer une application permettant de

nettoyer le flux de messages Ă©lectroniques

entrant au niveau de votre passerelle de

messagerie.

‱

Dans la mesure du possible, n’accorder

que des droits restreints aux utilisateurs pour

limiter les droits du code malveillant.

‱

Suivre avec vigilance les applications PHP,

ASP et serveurs installées sur les serveurs web.

‱

La mise en place d’un cloisonnement du

rĂ©seau Ă  l’aide de filtres sur les routeurs, de

pare-feu et « VLAN Â» rĂ©duit la vulnĂ©rabilitĂ©

face Ă  l’extĂ©rieur et Ă  l’extension d’une

Ă©ventuelle contamination.

‱

Mettre en place des outils de détection

d’intrusion (IDS) en combinaison avec les

journaux de filtrage. Cela vous permet de

repérer les machines infectées et donc de

procéder rapidement au nettoyage de la

machine.

‱

L’utilisation de la mĂ©trologie peut aider Ă 

détecter les machines contaminées en

repérant le serveur maßtre IRC à partir

d’une premiĂšre machine, puis en analysant

toutes les autres qui peuvent contacter ce

serveur. Alternativement, l’analyse des

traces rĂ©seaux produites par le « bot Â» peut

permettre de localiser les machines infec-

tĂ©es. Ces traces peuvent provenir d’outils

de mĂ©trologie, de fichiers journaux de rou-

teurs, de pare-feu et de systĂšmes de

dĂ©tection d’intrusion.

Cette liste de mesures n’a pas la prĂ©tention

d’ĂȘtre exhaustive. Bien d’autres choses peu-

vent ĂȘtre mises en Ɠuvre pour assurer la

sĂ©curitĂ© de vos systĂšmes. Elle peut cepen-

dant contribuer à vous aider à vous proté-

ger d’un grand nombre d’attaques et ĂȘtre

le point de dĂ©part d’une rĂ©flexion plus pous-

sée sur ce que vous pouvez faire pour amé-

liorer la sécurité dans votre environnement.

Premiùres actions en cas d’infection

De nouvelles attaques et de nouveaux

codes apparaissent constamment. On

assiste Ă  une course permanente entre

l’épĂ©e et la cuirasse informatiques. Des

moyens de contourner les dispositifs de

sĂ©curitĂ© en place sont lĂ©gion. Rappelons

qu’en cas d’infection la plupart des codes

malveillants cherchent à désactiver les pro-

tections activées sur les systÚmes.

Il est donc fort probable que, malgrĂ© tout,

des infections soient Ă  dĂ©plorer. En cas d’in-

fection, la solution idĂ©ale serait de faire une

sauvegarde des données et de réinstaller le

systĂšme. AprĂšs cette procĂ©dure, il convient

de s’assurer que le systùme et les logiciels

sont Ă  jour afin d’éviter la rĂ©pĂ©tition de l’at-

taque. Il est aussi utile de prendre en

compte le caractĂšre virulent du « bot Â» : il est

trùs possible que d’autres machines de

votre périmÚtre aient aussi été infectées.

Conclusion

Les botnets sont une Ă©pine dans le pied de

tout responsable de systùme d’information

dĂ©sireux de protĂ©ger son rĂ©seau. En dĂ©pit

de quelques condamnations spectacu-

laires, il est hautement improbable que

ceux-ci disparaissent. Ils sont symptoma-

tiques de l’évolution vers la criminalitĂ© orga-

nisĂ©e de l’« underground informatique Â» et

l’un des principaux outils permettant aux

pirates de monnayer leurs actions.

La combinaison du développement des

méthodes de camouflage face aux antivi-

rus et IDS et du nombre de machines non

administrĂ©es, connectĂ©es en permanence

Ă  haut dĂ©bit, permet de supposer que ce

problùme restera longtemps à l’esprit des

personnes s’intĂ©ressant Ă  la sĂ©curitĂ©

réseau.

■

ducrot@renater.fr, danho@renater.fr,

marronnier@renater.fr

Conception et réalisation

: La Sour

is 01

45

21

09

61

sécurité informatique

octobre 2007 - n° 61

6

numĂ©ro 61

octobre 2007

S Ă‰ C U R I T Ă‰ I N F O R M AT I Q U E

Sujets traitĂ©s :

tout ce qui concerne 

la sécurité informatique. Gratuit.

PĂ©riodicitĂ© : 

4 numéros par an.

Lectorat : 

toutes les formations CNRS.

Responsable de la publication : 
J

OSEPH

I

LLAND

Fonctionnaire de Sécurité de Défense

Centre national de la recherche scientifique
3, rue Michel-Ange, 75794 Paris-XVI
TĂ©l. : 01 44 96 41 88
Courriel : Joseph.Illand@cnrs-dir.fr
http://www.sg.cnrs.fr/fsd

RĂ©dacteur en chef de ce numĂ©ro : 
R

OBERT

L

ONGEON

Chargé de mission SSI du CNRS

Courriel : 

robert.longeon@cnrs-dir.fr

ISSN 1257-8819
Commission paritaire n° 1010 B 07548
La reproduction totale ou partielle 
des articles est autorisĂ©e sous rĂ©serve 
de mention d’origine.

S Ă‰ C U R I T

É

D E S

S Y S T Ăˆ M E

S

D

’

I N F O R M

A T I O N

DĂ©finitions

IRC :

Internet Relay Chat, mode de communication

instantané développé au début des années 1990.
Un utilisateur se connecte Ă  un canal IRC pour dis-
cuter avec d’autres.

Peer-to-Peer (P2P) :

modĂšle d'organisation

dans lequel il n'existe pas de serveur central, les
utilisateurs étant interconnectés entre eux.
Chaque nƓud de rĂ©seau peut agir indiffĂ©rem-
ment en tant que client ou serveur.

Scans : 

sondage réseau permettant de recenser

des cibles d’attaques potentielles.

DĂ©ni de service :

attaque consistant Ă  provoquer

des perturbations au niveau de la machine cible
ou de sa connexion rĂ©seau de telle sorte qu’elle
ne puisse plus répondre aux demandes de ser-
vices de ses utilisateurs légitimes.

Spam: 

courrier électronique non désiré, généra-

lement envoyé à des fins publicitaires par de par-
faits inconnus.