numéro 61
Octobre 2007
Quel est donc ce nouveau fléau dont il est tant question dans les salons
spécialisés ? Des ectoplasmes, venus tout droit des Carpates, chasse-
raient sur le net les PC mal administrés. Des piÚces jointes explosives, au
« pair à pair » manipulé, en passant par des liens piégés, tout ne serait
quâastuces pour attirer les badauds « au club des zombies ». Une fois
mordue par « la bĂȘte », une machine se transformerait en esclave du
« botherder ». Pis, elle rentrerait elle-mĂȘme dans « la bĂȘte »⊠Elle devien-
drait « la bĂȘte », cherchant Ă mordre Ă son tour tout PC Ă sa portĂ©e ! Un
tiers des ordinateurs familiaux connectĂ©s Ă lâADSL seraient frappĂ©s, lit-on
dans la presse.
Cette histoire, racontée ainsi, est évidemment romancée, mais elle est
vraie dans le fond sinon dans sa forme. Cette nouvelle malveillance,
apparue en 2002 avec Agobot, se nomme botnet. Elle marque une évo-
lution majeure de la délinquance informatique. Hier, les virus, les vers, les
chevaux de Troie Ă©taient plutĂŽt⊠bĂȘtement dĂ©monstratifs (tous ceux qui
en ont Ă©tĂ© victimes en tĂ©moigneront). Aujourdâhui, au contraire, les bot-
nets sont discrets et mĂȘme sournois ; ils enrĂŽlent les machines furtive-
ment pour lancer des « spams », pour capter des mots de passe frappés
au clavier, pour lancer des attaques en « déni de service distribué », pour
constituer des grilles de calcul en vue du cassage de messages chiffrés,
et mĂȘme pour louer sur Internet leurs services de « tueur de serveurs Ă
gages ».
Quelle est lâimportance de cette malveillance dans le secteur dâactivitĂ©
« enseignement/recherche » ? François Ducrot, Michelle Danho et Xavier
Marronnier du Cert-Renater, de par leur fonction, sont les mieux placés
pour rĂ©pondre Ă cette question. Câest ce quâils font dans ce numĂ©ro,
aprĂšs avoir expliquĂ© le fonctionnement et lâexploitation des botnets et
donnĂ© quelques bons conseils pour sâen protĂ©ger. Laurent Butti, expert
senior en sécurité des réseaux à France Télécom R&D, complÚte la pré-
sentation par un article donnant une vision stratĂ©gique de lâĂ©volution de
ce type de menace.
Que nous disent-ils en essence ? Que ce phĂ©nomĂšne nâen est quâĂ ses
dĂ©buts et que le pire est peut-ĂȘtre devant nousâŠ
Robert Longeon
Chargé de mission à la sécurité
des systĂšmes dâinformation du CNRS
S Ă C U R I T Ă I N F O R M AT I Q U E
S Ă C U R I T
Ă
D E S
S Y S T Ă M E
S
D
â
I N F O R M A
T I O N
Ă© d i t o r i a l
« Ils ne mouraient pas tous, mais
tous étaient frappés⊠»
Les botnets
François Ducrot, Michelle Danho,
Xavier Marronnier
Cert-Renater
Le terme de botnet est revenu souvent dans lâactua-
lité de la sécurité informatique depuis quelques
annĂ©es. Dans cet article, nous allons exposer ce quâil
recouvre. Nous commencerons par raconter lâorigine
et le développement des botnets puis, en passant du
point de vue de lâadministrateur dâun rĂ©seau, nous
expliquerons ce que signifie hĂ©berger une partie dâun
botnet.
Lâorigine des botnets
Le terme botnet est la contraction de lâexpression « roBOT
NETwork », soit littéralement réseau de robots. Un robot étant un
programme localisé sur une machine distante effectuant des
actions automatiques sur un serveur.
Les premiers robots ont vu le jour dans le monde des opérateurs
IRC. Ils servaient Ă assurer la permanence de la gestion dâun canal
lorsque lâadministrateur devait sâabsenter. La dĂ©rive fut dâutiliser ces
outils dâadministration afin de prendre lâavantage lors dâaffronte-
ments pour le contrĂŽle dâun canal IRC. Le plus connu de ces outils
est Eggdrop, apparu en 1993 et retrouvé dans de nombreuses
compromissions de systÚmes Linux autour des années 2000.
En 1999, le premier ver utilisant IRC comme moyen de contrĂŽle fit
son apparition. Il sâagissait de W32, PrettyPark. Ce ver ne dĂ©clen-
cha pas dâeffet de mode immĂ©diat. Ă la fin de lâannĂ©e 2000, le
« bot » GTBot, un détournement du client IRC Windows mIRC, fit
son apparition. Ces robots de premiĂšre gĂ©nĂ©ration nâapparurent
pas comme une menace majeure et sont aujourdâhui pratique-
ment oubliés. Ce fut à partir de 2002 que la menace commença
Ă prendre sa forme actuelle. Les programmes Agobot, SDBot
puis, lâannĂ©e suivante, SpyBot sont les briques de base sur les-
quelles se sont appuyés par la suite les créateurs de botnets. Ces
programmes sont construits de façon Ă faciliter lâĂ©mergence de
nouvelles variantes en multipliant les moyens dâintrusion, les fonc-
tionnalités offensives et les moyens de protection.
Architecture dâun botnet
Un botnet est donc un ensemble de machines esclaves, organi-
sées en réseau et contrÎlées à distance par une ou plusieurs
personnes,
a priori malveillantes.
Du point de vue de lâorganisation, un botnet a pour objectif de
permettre à un individu, le « botherder », le
âą
Ăditorial par
R. Longeon
âą
Les botnets
par
F. Ducrot, M. Danho,
X. Marronnier
âą
Ăvolution de la propagation
des malwares
par
L. Butti
SOMMAIRE
suite page 2
créateur du botnet, de contrÎler simultané-
ment lâensemble des machines esclaves
(ou zombies) faisant partie de son réseau.
Le botnet est un réseau fortement hiérar-
chisé comprenant un opérateur et des utili-
sateurs, des serveurs maĂźtres et des
machines esclaves. LâopĂ©rateur est la per-
sonne qui a créé le botnet et qui en
contrĂŽle lâemploi. Les utilisateurs sont les
personnes ayant payĂ© lâopĂ©rateur pour uti-
liser les ressources du botnet.
Lâarchitecture traditionnelle
Dans ce modĂšle, un ou plusieurs serveurs
IRC sont utilisés comme canal de com-
mande et contrĂŽle (C&C). AprĂšs infection,
les machines clientes du botnet, les bots ou
zombies, se connectent au serveur maĂźtre
sur un canal IRC privé afin de signaler leur
existence, dâobtenir des mises Ă jour ou des
instructions. Le « botherder » pourra les
contrĂŽler en se connectant sur un des ser-
veurs maĂźtres pour envoyer ses ordres. Le
point faible de ce modĂšle dâorganisation
est sa sensibilité à la détection. En effet, une
fois les maßtres identifiés, il suffit de surveiller
et de filtrer ceux-ci pour démanteler le bot-
net ou le rendre inopérant sur un segment
de réseau.
Le modÚle « Peer-to-Peer »
Ici, le réseau est fortement décentralisé de
façon à éviter sa destruction par un simple
filtrage. Il nây a plus de serveur C&C central.
Chaque machine infectĂ©e dispose dâune
liste initiale dâadresses IP de points dâentrĂ©e
dans le botnet. Une fois le « bot » intégré au
réseau, cette liste est mise à jour de façon
dynamique. On se sert des zombies pour
relayer les ordres Ă travers lâensemble du
rĂ©seau. Les ordres mettent plus de temps Ă
se propager dans ce contexte, mais le
rĂ©seau est plus robuste : la perte dâun
nĆud ne met pas Ă mal lâexistence du
réseau tout entier.
Variation sur ces modĂšles
De nouvelles méthodes de communication
apparaissent. Il sâagit de conserver les
concepts essentiels de ces deux modĂšles,
mais en changeant le canal C&C.
On peut, par exemple, utiliser un serveur
web en lieu et place du serveur IRC
comme maĂźtre. Lâavantage pour le pirate
provient du fait que le trafic web sortant
dâun site nâest pratiquement jamais interdit,
car trop abondant pour pouvoir ĂȘtre sur-
veillé sans informations complémentaires.
On peut trouver Ă©galement lâemploi des
messageries instantanées qui offrent les
mĂȘmes avantages que le web pour Ă©viter
les filtrages et le chiffrement des communi-
cations pour aveugler les sondes de détec-
tion dâintrusion positionnĂ©es par les gestion-
naires de réseaux pour détecter les
problĂšmes.
Taille
La taille des botnets est trĂšs variable, de
quelques centaines de machines zombies
Ă plusieurs dizaines de milliers. La moyenne
est de lâordre du millier dâĂ©lĂ©ments.
Un communiqué de presse du FBI en date
du 13 juin 2007 peut illustrer les aspects éco-
nomiques de ces outils
[9]
. Si lâune des per-
sonnes arrĂȘtĂ©es est le crĂ©ateur du botnet,
les autres en sont les utilisateurs. Le nombre
de machines faisant partie du botnet est
de lâordre du million. Le premier des utilisa-
teurs a utilisé le botnet pour lancer des
attaques de déni de service distribué. Le
deuxiÚme a envoyé un nombre considé-
rable de messages publicitaires pour les
services offerts sur son site web depuis les
machines du botnet.
Selon une déclaration de Vinton Cerf, un
des fondateurs de lâInternet, Ă Davos, en
janvier 2007, pratiquement une machine
connectée à Internet sur quatre ferait par-
tie dâun botnet
[10]
.
Cycle de vie dâun botnet
Pour constituer un botnet, un pirate doit
répandre ses outils sur un grand nombre de
machines, tout en Ă©vitant dâattirer lâatten-
tion des utilisateurs. Pour plus dâefficacitĂ©, il
va faire en sorte dâinfecter des machines
qui vont ensuite ĂȘtre chargĂ©es de recruter
dâautres victimes, accroissant ainsi considĂ©-
rablement la vitesse de constitution de son
réseau. Il peut employer les méthodes
généralement utilisées par les créateurs de
virus pour diffuser à grande échelle leurs
codes malveillants et les faire installer Ă
lâinsu des utilisateurs :
âą
Code malveillant envoyé en piÚce jointe
dans un courrier Ă©lectronique. Lorsque lâuti-
lisateur télécharge et exécute le fichier, il se
retrouve contaminé. Cette méthode est
indĂ©pendante des logiciels de lâutilisateur
(hormis le systĂšme dâexploitation, bien sĂ»r)
et permet de contourner les précautions
prises au niveau des serveurs de message-
rie.
âą
Fichier dâapparence anodine contenant
un cheval de Troie (jeux, faux correctifs,
Ă©conomiseurs dâĂ©cran, etc.).
âą
Lâexploitation dâune faille dâun naviga-
teur web : il est possible dâutiliser des sites
web piĂ©gĂ©s afin dâinfecter les utilisateurs
consultant ces sites. Typiquement, il sâagit
de sites de téléchargement de fichiers pro-
tĂ©gĂ©s par le droit dâauteur (warez) ou de
sites de « charme ». Lâautre cas est celui de
sites web lĂ©gitimes piratĂ©s afin dâexĂ©cuter
un programme Ă distance sur la machine
dâune victime visitant le site web.
âą
Lâexploitation dâune faille dâun logiciel
trÚs utilisé.
âą
Le « Peer-to-Peer » : le code malveillant se
fait passer pour un fichier « alléchant » que
lâutilisateur est invitĂ© Ă tĂ©lĂ©charger et Ă exĂ©-
cuter. LâexĂ©cution semblera Ă©chouer Ă
cause dâune erreur dans le fichier alors que,
en réalité, un nouveau zombie est né, etc.
Pour inciter lâutilisateur Ă exĂ©cuter lâaction
qui va dĂ©clencher la procĂ©dure dâinfection
de son poste, les pirates utilisent des tech-
niques dâingĂ©nierie sociale plus ou moins
subtiles. Quâils jouent sur la peur, la curiositĂ©
ou la séduction, force est de constater que
leurs techniques sont trĂšs efficaces.
Lâinternaute, mal sensibilisĂ© aux problĂšmes
de sécurité contribue trÚs largement au
succÚs de ces réseaux.
Les machines ainsi infectées peuvent
ensuite mettre en Ćuvre dâautres tech-
niques plus agressives pour faire croĂźtre le
réseau.
âą
Campagnes dâenvois de messages
contenant un programme malicieux en
piĂšce jointe ou encore des messages
contenant des liens vers des pages web
contenant du code malveillant.
âą
« Scans » réseau permettant de détecter
et dâattaquer :
â des machines prĂ©sentant des failles de
sécurité sur des services accessibles par le
réseau ;
â des portes dĂ©robĂ©es (backdoors) dĂ©jĂ
mises en place par dâautres codes mal-
veillants ;
â des machines prĂ©sentant des services
protégés par des mots de passe faibles. La
propagation par les partages réseau per-
met de se rĂ©pandre Ă lâintĂ©rieur dâun sous-
réseau de façon particuliÚrement efficace.
Une fois la machine infectée, le nouveau
« bot » va se connecter au botnet et signa-
ler sa présence. Ensuite, depuis la générali-
sation de la conception modulaire du
mĂ©canisme dâinfection, la nouvelle recrue
va tĂ©lĂ©charger et exĂ©cuter dâautres
modules (mises Ă jour, nouvelles fonctionna-
lités). Pour assurer sa sécu-
sécurité informatique
octobre 2007 - n° 61
suite de la page 1
2
suite page 3
rité, le « bot » va alors effectuer quelques
tĂąches dans le but de neutraliser les logi-
ciels constituant la protection du poste
infectĂ© (antivirus, pare-feu personnelsâŠ).
Quelques-uns de ces codes malveillants ins-
tallent aussi des « rootkits » et autres pro-
grammes chargés de les rendre invisibles
aux yeux des utilisateurs des systĂšmes ou
des personnes chargées de les administrer.
Il peut aussi appliquer des correctifs et net-
toyer la machine afin dâĂ©viter quâun autre
pirate nây accĂšde.
On voit bien ici lâintĂ©rĂȘt de la construction
modulaire des « bots ». Ă la diffĂ©rence dâun
ver classique, dont lâefficacitĂ© diminue
avec le comblement de la faille exploitée,
un « bot » du type Agobot peut ĂȘtre modifiĂ©
pour exploiter une nouvelle faille de sécu-
rité afin de se propager encore plus long-
temps sur davantage de systĂšmes. De plus,
la modularité des vers engendre une alté-
ration de la signature virale lors des modifi-
cations du code qui, combinĂ©e avec lâutili-
sation de techniques de camouflage du
code source rend les antivirus aveuglesâŠ
Une fois bien installé sur la machine, le
« bot » se met en attente des commandes
de son maĂźtre.
Mais Ă quoi servent-ils ?
Au vu de lâorganisation des botnets, on
peut sâinterroger sur lâintĂ©rĂȘt pour un pirate
de constituer un tel réseau. Les composants
dâun botnet ne sont pas ciblĂ©s, donc il ne
sâagit pas dâune attaque contre un site prĂ©-
cis. Le nombre de machines attaquées
nâest pas reprĂ©sentatif de lâhabiletĂ© du
pirate et la nature discrĂšte du botnet
contredit lâidĂ©e de sâautoproclamer auteur
du ver le plus répandu.
En fait, les botnets sont lâillustration de la
transformation du pirate informatique. Le
défi technique a fait place à une écono-
mie souterraine dans laquelle le piratage
nâest quâun outil quâil faut rentabiliser. Le
changement dâorientation dans les motiva-
tions des pirates, de la curiosité et de la
recherche de notoriété vers la recherche
de profits financiers, a Ă©tĂ© marquĂ© par lâap-
parition de « bots » de plus en plus sophisti-
qués et intégrant des fonctionnalités per-
mettant de mener diverses actions
frauduleuses depuis les postes infectés. Le
«botherder» en loue lâutilisation pour une
somme variable. DâaprĂšs certaines infor-
mations, le prix le plus courant serait de
0,10 $ par machine de botnet louée
[5]
.
On peut se demander quels types dâacti-
vitĂ© justifient la location des services dâun
botnet. La réponse est : toutes celles qui
pourraient avoir pour consĂ©quence dâos-
traciser leur auteur de la plupart des
réseaux, voire le conduire à répondre de
délits devant un tribunal.
Attaques en déni de service
Il est possible de louer les services dâun bot-
net pour monter une attaque de déni de
service distribuĂ©. Ainsi, sur lâordre du serveur
maĂźtre, la machine esclave peut lancer des
attaques en présentant pour origine le site
piratĂ©. Par exemple, lâenvoi sur le canal IRC
dâune commande dĂ©clenche une attaque
en déni de service. En utilisant plusieurs mil-
liers de machines Ă©mettant des requĂȘtes
simultanément, il est possible, par exemple,
dâinterdire lâaccĂšs Ă un site web. Les pertes
subies par un site commercial paralysé
pendant plusieurs heures sont sans com-
mune mesure avec le coût de location
dâun botnet. En 2004, un AmĂ©ricain a
recouru aux services dâun botnet pour
attaquer des entreprises avec lesquelles il
Ă©tait en conflit. Sur le plan financier, lâat-
taque a coûté 1 000 $ à son organisateur et
a entraĂźnĂ© des pertes de lâordre de 2 mil-
lions de dollars Ă ses victimes
[6]
.
Une variation de cette attaque est lâextor-
sion par chantage au déni de service. La
principale différence est que le paiement
provient de la victime. Le premier cas
connu sâest produit en 2004, lorsquâun site
américain a déclaré avoir subi une
semaine dâattaques en dĂ©ni de service
aprÚs avoir refusé de payer 10 000 $ à un
maĂźtre chanteur
[7]
.
Diffusion de spams
On peut également utiliser des « bots » pour
émettre massivement des spams. Cette
technique offre lâavantage Ă son com-
manditaire de camoufler son origine, per-
mettant ainsi de contourner les filtrages
par liste noire et les retours de bĂąton liĂ©s Ă
lâenvoi massif de spams (comme les
vagues de retours dâerreurs massives pou-
vant survenir aprĂšs les envois) ou encore le
filtrage de son accĂšs par son fournisseur
dâaccĂšs. Lâaffaire mĂ©diatisĂ©e du « Spam
King », révélée en mai 2007 est une bonne
illustration du niveau que peut atteindre ce
type dâactivitĂ©. Ce professionnel rĂ©cidiviste
des campagnes dâenvoi de spams, dĂ©jĂ
condamné deux fois à des amendes de
plusieurs millions de dollars, exerçait son
activité en offrant à des clients potentiels
lâenvoi de 15 millions de courriers Ă©lectro-
niques pour 295 $
[8]
.
Attaques des internautes
Il est possible dâutiliser les zombies pour
recueillir des informations personnelles sur
les utilisateurs, informations qui seront utili-
sĂ©es dans le cadre de vols dâidentitĂ© ou de
fraude Ă la carte bancaire.
Une autre attaque dirigée par les machines
zombies est la diffusion de logiciels publici-
taires sur celles-ci. Contre rémunération, le
« botherder » installera un logiciel publici-
taire sur un certain nombre de machines
auxquelles il a accĂšs. On cite une somme
de 0,20 $ par installation.
Manipulation de sites web
Dâautres attaques peuvent se fonder sur la
manipulation dâoutils de statistiques de frĂ©-
quentation de sites web. Il sâagit soit de
manipulations de sondages ou de jeux en
ligne par lâutilisation coordonnĂ©e de nom-
breuses machines, suivant la méthode utili-
sée pour le tiercé dans le film
Le
Gentleman dâEpsom, soit dâune fraude aux
clics en augmentant artificiellement le
nombre dâutilisateurs suivant les publicitĂ©s
depuis un site complice.
Une autre possibilitĂ© est dâutiliser le botnet
comme espace de stockage soit pour du
contenu illĂ©gal, soit pour des sites dâescro-
queries de type phishing.
sécurité informatique
octobre 2007 - n° 61
3
suite de la page 2
suite page 5
Références
[1]
Guillaume Arcas & Xavier Mell,
Misc
n° 27 Botnets : la « menace fantÎme » ou pas ?
[2]
John Canavan,
The Evolution of
Malicious IRC Bots :
http://www.symantec.
com/avcenter/reference/the.evolution.of.
malicious.irc.bots.pdf
[3]
XMCO Partners
Lâactu SĂ©cu 15 :
http://
www.xmcopartners.com/actu-secu/actu_secu
_juin2007.pdf
[4]
Kim-Kwang Raymond Choo : âZombies
and botnetsâ
http://www.aic.gov.au/
publications/tandi2/tandi333t.html
[5]
http://www.theregister.co.uk/2004/05/
12/phatbot_zombie_trade/
[6]
http://www.securityfocus.com/news/9411
[7]
http://www.greensheet.com/PriorIssues-
/041201-/7.htm
[8]
http://fr.wikipedia.org/wiki/Robert_Soloway
[9]
http://www.fbi.gov/pressrel/pressrel07/
botnet061307.htm
[10]
http://news.bbc.co.uk/1/hi/
business/6298641.stm
[11]
http://www.pcinpact.com/actu/news/
26624-Accuse-du-crash-reseau-dun-hopital-
avec-son-. htm
sécurité informatique
octobre 2007 - n° 61
4
Des améliorations notables sur les techniques de protection
Depuis quelques annĂ©es, la situation aurait pu sâamĂ©liorer. Les antivirus et
pare-feu personnels font maintenant partie du paysage informatique de
lâutilisateur rĂ©sidentiel qui est de loin le plus visĂ© par la majoritĂ© des attaques.
Les « boxes » des diffĂ©rents fournisseurs dâaccĂšs Internet qui se mettent en
coupure entre la machine de lâutilisateur et lâInternet empĂȘchent toute
attaque directe de lâextĂ©rieur vers lâintĂ©rieur (pour peu que les rĂšgles du
pare-feu de la « box » soient bien configurĂ©es). Bien quâil existe toujours des
Microsoft Windows XP SP1 en direct sur Internet sans pare-feu ni antivirus,
cela devient quand mĂȘme bien plus rare quâauparavant !
Mais aussi sur les stratĂ©gies dâattaque
Les techniques de protection se dĂ©mocratisant, les techniques dâattaques
et les ruses associées ont aussi évolué trÚs rapidement. Les exploitations
directes de vulnérabilité dans les services présents dans des Microsoft
Windows
[2]
ou les essais exhaustifs sur des serveurs SSH
[3]
existent toujours,
en attestent les nombreuses tentatives de connexion repérées par des
observatoires de lâInternet
[4]
, mais cela devient de plus en plus marginal en
comparaison avec les deux approches suivantesâŠ
Une premiĂšre approche consiste Ă berner lâutilisateur en lâincitant Ă rĂ©cupĂ©rer
et à exécuter un binaire inconnu (
via une URL dans un mail précédemment
reçu ou sur un site web malveillant). Cela peut ĂȘtre aussi un utilisateur Ă la
recherche dâun «crack
1
», dâun «keygen
2
» ou de tout autre application quâil
jugera intĂ©ressante Ă exĂ©cuter. Lâutilisateur naĂŻf, exĂ©cutant alors le binaire, se
compromet en installant alors un «rootkit
3
» qui se camouflera au mieux dans
le systĂšme dâexploitation compromis. Des Ă©tudes rĂ©centes sur les binaires rela-
tifs au piratage de logiciels ont montrĂ© quâenviron un binaire sur deux contient
du code malveillant (cheval de Troie ou tout autre spécimen)
[5]
.
La deuxiĂšme approche consiste Ă hĂ©berger un outil dâexploitation web sur
un site web (légitime, et donc préalablement compromis, ou spécialement
conçu pour des actions malveillantes) et dâattendre
4
que lâutilisateur sây
connecte. Cet outil va ĂȘtre en charge de repĂ©rer la connexion dâun naviga-
teur Internet sur le site web en question et va ĂȘtre capable de sĂ©lectionner
lâexploitation de vulnĂ©rabilitĂ© la plus appropriĂ©e en fonction du navigateur
de lâutilisateur. Cela est gĂ©nĂ©ralement rĂ©alisĂ© grĂące aux en-tĂȘtes prĂ©sents
dans la requĂȘte HTTP du navigateur Internet. Une exploitation de vulnĂ©rabi-
litĂ© rĂ©ussie permet alors dâexĂ©cuter du code arbitraire sur la machine com-
promise. Par ce biais, un exécutable est alors récupéré et exécuté sur la
machine compromise, et ce bien entendu Ă lâinsu de lâutilisateur.
Un « business » toujours changeant
Récemment, un outil commercial (i.e. en vente, mais de maniÚre illégale)
permettant lâexploitation de vulnĂ©rabilitĂ©s sur les navigateurs Internet a
beaucoup fait parler de lui. Il sâagit de MPack, qui a Ă©tĂ© utilisĂ© pour compro-
mettre des centaines de milliers de machines
via des serveurs web préala-
blement infectés par diverses failles de sécurité
[6]
. Une fois cet outil installé
et configurĂ©, il a permis lâinstallation de diffĂ©rents malwares sur de nom-
breuses machines compromises. En effet, MPack est un outil dâexploitation
de vulnĂ©rabilitĂ© et non un outil de crĂ©ation de malwares, i.e. il nâest utilisĂ©
que pour la propagation. Ă charge ensuite Ă lâutilisateur de cet outil de
faire les malwares les plus pertinents pour sâassurer un bon chiffre dâaffaires !
Une interview instructive dâun des auteurs de MPack est disponible
[7]
.
La principale particularité de MPack est son approche business. «
MPack offre
les mĂȘmes types de services que des programmes licites, par exemple, des
mises Ă jour. Les mises Ă jour de MPack sont de nouvelles versions de lâapplica-
tion comprenant de nouveaux exploits pour profiter des derniÚres vulnérabilités
découvertes. Une nouvelle mise à jour est disponible tous les mois en moyenne
et coûte entre 50 et 150 $.», explique Luis Corrons, le directeur technique de
PandaLabs. Aujourdâhui, de nombreux dĂ©rivĂ©s de MPack apparaissent et ren-
dent accessible au plus grand nombre lâexploitation de navigateurs Internet.
Les vulnérabilités cÎté client
Lâexploitation des vulnĂ©rabilitĂ©s sur les applications clientes nâest pas un
nouveau concept. Des initiatives telles que le « Month of Browser Bugs »
[8]
et
le « Month of Kernel Bugs »
[9]
ont réellement contribué à la prise de
conscience que de nombreux vecteurs dâattaque existent et que les
erreurs dâimplantation logicielle sont toujours lĂ©gion, en particulier dans les
applications clientes (navigateurs Internet, drivers Wi-FiâŠ).
Un autre exemple Ă©difiant concerne les antivirus qui constituent lâoutil de sĂ©cu-
rité le plus répandu, aussi bien dans le contexte entreprise
Ăvolution de la propagation des malwares
La propagation des logiciels malveillants nâest plus Ă dĂ©montrer. Quand des Ă©tudes rĂ©centes
[1]
estiment quâenviron
un quart des ordinateurs connectĂ©s Ă Internet font partie dâun botnet, il est lĂ©gitime de sâinquiĂ©ter et mĂȘme dâaffirmer
que les mĂ©canismes de sĂ©curitĂ© aujourdâhui dĂ©ployĂ©s ne sont pas suffisants. Ces botnets nâont pour but que de gĂ©nĂ©-
rer du chiffre dâaffaires par envoi de spams ou phishings, par chantage via des attaques de dĂ©ni de service distribuĂ©es
ou par rĂ©cupĂ©ration dâinformations personnelles et confidentielles (numĂ©ros de CB, licences de logicielsâŠ).
Laurent Butti
, expert senior en sécurité des réseaux, France Télécom R&D/Orange Labs
suite page 5
Références
[1]
BBC News, « Criminals âmay overwhelm the webâ»,
http://news.bbc.co.uk
/1/hi/business/6298641.stm
[2]
Metasploit.LLC, «Metasploit Framework Exploits»,
http://framework.metasploit.
com/exploits/list
[3]
SecurityFocus, « Analyzing Malicious SSH Login Attempts »,
http://www.
securityfocus.com/infocus/1876
[4]
Arbor Networks, « Active Threat Level Analysis System (ATLAS) »,
http://atlas.arbor.net/
[5]
Jacomo Picolini, « Malware distribution trough software piracy: a case
study »,
http://www.first.org/conference/2007/papers/piccolini-jacomo-slides.pdf
[6]
TrendLabs Malware Blog, « Another malware pulls an Italian job »,
http://blog.trendmicro.com /another-malware-pulls-an-italian-job/
[7]
SecurityFocus, « Newsmaker: DCT, MPack developer »,
http://www.
securityfocus.com/news/11476
[8]
Month of Browser Bugs,
http://browserfun.blogspot.com/
[9]
Month of Kernel Bugs,
http://projects.info-pull.com/mokb/
[10]
Références Common Vulnerabilities and Exposure,
http://cve.mitre.org/cgi-bin/cvekey .cgi?keyword=antivirus
[11]
Laurent Butti, « Wi-Fi Advanced Fuzzing »,
http://www.blackhat.com/
presentations/bh-europe-07/Butti/ Presentation /bh-eu-07-Butti.pdf
Exemple dâidentification de navigateurs Internet.
User-Agent :
Mozilla/5.0 (X11 ; U ; Linux i686 ; en-US ; rv : 1.8.1.6) Gecko/20061201 Firefox/2.0.0.6
(Ubuntu-feisty). User-Agent : Mozilla/4.0 (compatible ; MSIE 6.0 ; Windows NT 5.1 ; SV1)
1.
Logiciel permettant de passer outre les techniques de protection logi-
cielles pour lâenregistrement dâun logiciel commercial.
2.
Logiciel permettant de créer des numéros de licence valides au sens du
systĂšme de vĂ©rification des licences dâun logiciel commercial.
3.
Logiciel permettant de cacher les actions et outils de lâattaquant sur
une machine déjà compromise.
4.
Bien entendu, il est possible de lâinciter en envoyant du spam Ă lâatten-
tion de lâutilisateur.
Effets
pour lâadministrateur
Pour le responsable dâun rĂ©seau, la simple
prĂ©sence de machines faisant partie dâun
botnet Ă lâintĂ©rieur de son rĂ©seau peut
avoir des effets non négligeables. Certains
des effets négatifs des botnets se font sentir
dĂšs la contamination des machines,
dâautres ne se font sentir que lorsque le bot-
net reçoit des commandes.
Le premier problĂšme est que la premiĂšre
machine infectée cherchera à contaminer
ses voisines et des machines extérieures. On
retrouve ici le comportement dâun ver. Ă ce
moment, un déni de service peut se pro-
duire si le volume de trafic généré par le
bot est supérieur à la capacité des élé-
ments réseaux. Cela peut se produire au
niveau des liaisons réseaux, des routeurs de
sortie ou dâentrĂ©e de site ou des serveurs
de courrier électronique.
En février 2006, on a annoncé que la pré-
sence dâun botnet avait provoquĂ© des
pannes informatiques perturbant le fonc-
tionnement dâun hĂŽpital de Seattle
[11]
.
Ces pannes semblent avoir eu pour origine
une tentative du systĂšme automatique de
sĂ©curitĂ© informatique de contenir lâinfec-
tion qui a perturbé le fonctionnement
dâĂ©quipements vitaux.
En dĂ©pit du fait que les effets du vol dâidentitĂ©
ne concernent pas directement le réseau ou
son gestionnaire, il ne faut pas en négliger les
conséquences pour le travail du respon-
sable. Le fait que des données personnelles
des utilisateurs aient été dérobées
via des
machines sous sa responsabilité peut lui cau-
ser des ennuis, en particulier si ces informa-
tions ont Ă©tĂ© employĂ©es de façon Ă nuire Ă
lâimage et/ou Ă lâactivitĂ© de son employeur.
Faire partie dâun botnet signifie que Ă toutes
les étapes de la vie de celui-ci, vos machines
commettront des actes répréhensibles. La
source de lâattaque sera le rĂ©seau infectĂ©. Il
convient donc de prendre en compte les
consĂ©quences, en termes dâimage ou sur le
plan judiciaire, de ces actions.
Ătre Ă la source de lâĂ©mission de spams
peut conduire Ă lâinscription de ses plages
dâadresse IP dans des listes noires. Cela
peut avoir pour conséquence le rejet du
courrier légitime de vos utilisateurs par des
sites extérieurs consultant ces listes noires.
La participation à un déni de service, distri-
bué ou non, entraßne rarement des repré-
sailles. Toutefois, cela peut conduire Ă une
hausse insupportable du trafic au niveau
local, entraĂźnant ainsi une saturation de la
connectivitĂ© Ă lâintĂ©rieur du rĂ©seau.
Recommandations
La premiÚre maniÚre de se protéger des
botnets consiste à éviter que ses machines
en fassent partie. Il faut donc mettre en
Ćuvre des moyens de prĂ©vention permet-
tant sinon dâĂ©liminer complĂštement le
risque (la sĂ©curitĂ© Ă 100 % nâexistant pas),
au moins de le limiter. Ă ce niveau, il faut se
rappeler que la construction dâun botnet
se sert des mécanismes de propagation
des vers. Des mesures peuvent ĂȘtre prises Ă
deux niveaux : lâutilisateur et lâĂ©quipe char-
gée de gérer un réseau.
Perspective utilisateur
Protection du poste client
Quelques mesures de protection logicielles
peuvent ĂȘtre mises en place :
â mettre son systĂšme Ă jour rĂ©guliĂšrement ;
â installer un logiciel antivirus et sâassurer de
sa mise à jour réguliÚre ;
â installer un pare-feu personnel ;
â installer un outil chargĂ© de la dĂ©tection
des logiciels espions ;
â mettre Ă jour les applications logicielles
(logiciels de bureautique, navigateurs web,
clients de messagerie, clients de message-
rie instantanée, lecteurs multimédias, etc.)
du poste dĂšs que des nouveaux correctifs
de sécurité sont publiés.
Il est arrivĂ© parfois que lâutilisateur dĂ©sactive
la mise Ă jour automatique de son poste.
Cette manipulation doit absolument ĂȘtre
évitée car elle rend le poste vulnérable. Il
convient de se rappeler que la durée de
vie dâune machine non mise Ă jour est infĂ©-
rieure Ă 15 minutes. La gĂȘne limitĂ©e induite
par la mise Ă jour est moindre que le net-
toyage dâune infection.
Dans la chaĂźne de lâorganisation de la
sĂ©curitĂ©, il est frĂ©quent de dire que lâhumain
est le maillon faible. Ă ce niveau-lĂ , on peut
cependant limiter les dégùts en adoptant
quelques bonnes habitudes.
Précautions relatives à la messagerie
électronique
Il est ainsi recommandé de se montrer
méfiant quant au contenu des messages et
notamment :
â de lire ses messages au format texte plu-
tĂŽt que HTML dans la mesure du possible ;
â dâĂ©viter de rĂ©pondre aux messages de
type spam ou de suivre des liens dans ceux-
ci. Quelques spams échappent toujours à la
vigilance des divers moyens de filtrage mis
en place. Il faut donc apprendre à les repé-
rer afin dâĂ©viter dâouvrir un message piĂ©gĂ©
et dâĂȘtre la victime dâune attaque nouvelle
sur votre client de messagerie ;
â dans le mĂȘme ordre dâidĂ©es, Ă©vitez dâou-
vrir inconsidérément toutes les piÚces
jointes que vous recevez. NâhĂ©sitez pas Ă
vérifier que ce message
sécurité informatique
octobre 2007 - n° 61
5
suite de la page 4
suite de la page 3
que rĂ©sidentiel.Le reproche classique Ă lâencontre de ces logiciels concerne la
facilité de contournement de leurs rÚgles de détection des codes malveillants.
Une autre problématique mise en exergue plus récemment concerne la qua-
litĂ© de leur implantation logicielle. En effet, aujourdâhui il est plus quâenvisa-
geable que votre antivirus se fasse compromettre par une piÚce jointe spécifi-
quement formatée à cet effet
[10]
. Et câest bien le comble que lâintĂ©gritĂ© du
systĂšme dâexploitation soit compromise par lâintermĂ©diaire dâun outil censĂ©
rajouter une couche de sĂ©curité⊠Câest une bonne piqĂ»re de rappel sur le fait
que tous ces outils ne sortent pas de terre tout seuls, et quâil faut bien les pro-
grammer avec toutes les erreurs classiques de programmation en C/C ++.Vous
me direz alors que ces erreurs de programmation sont peut-ĂȘtre complexes Ă
dĂ©couvrir, que nenni ! Aujourdâhui, la plupart des vulnĂ©rabilitĂ©s dĂ©couvertes
dans les différents logiciels antivirus le sont par des techniques de «fuzzing». Le
«fuzzing» est une technique de tests logiciels visant à découvrir des dysfonc-
tionnements en termes dâimplantation logicielle, typiquement les dĂ©borde-
ments de tampons («buffer overflows»).Selon la complexitĂ© de lâapplication ou
du protocole réseau audité, un simple fuzzer en quelques lignes de
Python/Ruby est suffisant pour découvrir des vulnérabilités critiques et exploi-
tables
[11]
.
Conclusion
Il faut garder en tĂȘte que les attaques directes sont de moins en moins effi-
caces de par la démocratisation des pare-feu sur les « boxes » et les sys-
tĂšmes dâexploitation (Microsoft Windows XP SP2 Ă©tant un bon exemple). Par
conséquent, les techniques des attaquants ont évolué vers les applications
clientes et les utilisateurs afin de maintenir une forte hausse de leur chiffre
dâaffaires, et ce malgrĂ© tous les efforts dans la lutte contre les propagations
de code malveillants.
De maniĂšre gĂ©nĂ©rale, la sĂ©curitĂ© doit ĂȘtre assurĂ©e par un savant mĂ©lange
entre la sensibilisation des utilisateurs et la technique.
â
laurent.butti@orange-ftgroup.com
suite page 6
provient bien dâune source de confiance si
vous nâattendez pas de documents. Si vous
devez vraiment lâouvrir, enregistrer la piĂšce
jointe sur votre disque. Avant exécution,
passez-la au crible de votre antivirus ;
â ne jamais oublier que vos Ă©diteurs de logi-
ciels ou de systĂšmes nâenvoient jamais de
correctifs par le biais de la messagerie
électronique.
Précautions pour la navigation
sur Internet
âą
Privilégiez la navigation sur des sites de
confiance, des sites institutionnels, des sites
dâorganismes biens connus. Ăvitez les sites
bizarres ou comportant des contenus inap-
propriés qui hébergent souvent des codes
malveillants.
âą
Configurez votre navigateur de maniĂšre
à limiter aux sites web autorisés l'exécution
de code dynamique par votre navigateur
(Javascripts, contrĂŽles ActiveX, etc.). Il est
possible par exemple de désactiver ces
fonctionnalités et de les réactiver au cas
par cas seulement.
Précautions pour le téléchargement
de fichiers
Quel que soit le canal utilisé (IRC, web, mes-
sagerie électronique, P2P), il faut absolu-
ment Ă©viter de tĂ©lĂ©charger nâimporte quel
programme trouvé sur Internet. Si possible,
tĂ©lĂ©charger lâoutil depuis le site de son Ă©di-
teur (ou du développeur) est toujours pré-
férable. Si vous téléchargez un programme
inconnu, il est prudent de le vĂ©rifier Ă lâaide
dâun antivirus.
Perspective équipe technique
âą
Apporter une attention particuliĂšre Ă la
gestion des mots de passe et des comptes
utilisateurs.
âą
Il est primordial de penser Ă mettre en
place une bonne politique de gestion des
correctifs de sécurité (systÚmes et logiciels)
aussi bien sur les serveurs et équipements
réseau que sur les postes clients.
âą
Prendre en compte cette mĂȘme gestion
en ce qui concerne les postes nomades,
trop souvent vecteurs dâentrĂ©e de codes
malveillants sur des réseaux autrement bien
cloisonnés de ce point de vue.
âą
Installer une application permettant de
nettoyer le flux de messages électroniques
entrant au niveau de votre passerelle de
messagerie.
âą
Dans la mesure du possible, nâaccorder
que des droits restreints aux utilisateurs pour
limiter les droits du code malveillant.
âą
Suivre avec vigilance les applications PHP,
ASP et serveurs installées sur les serveurs web.
âą
La mise en place dâun cloisonnement du
rĂ©seau Ă lâaide de filtres sur les routeurs, de
pare-feu et « VLAN » réduit la vulnérabilité
face Ă lâextĂ©rieur et Ă lâextension dâune
éventuelle contamination.
âą
Mettre en place des outils de détection
dâintrusion (IDS) en combinaison avec les
journaux de filtrage. Cela vous permet de
repérer les machines infectées et donc de
procéder rapidement au nettoyage de la
machine.
âą
Lâutilisation de la mĂ©trologie peut aider Ă
détecter les machines contaminées en
repérant le serveur maßtre IRC à partir
dâune premiĂšre machine, puis en analysant
toutes les autres qui peuvent contacter ce
serveur. Alternativement, lâanalyse des
traces réseaux produites par le « bot » peut
permettre de localiser les machines infec-
tĂ©es. Ces traces peuvent provenir dâoutils
de métrologie, de fichiers journaux de rou-
teurs, de pare-feu et de systĂšmes de
dĂ©tection dâintrusion.
Cette liste de mesures nâa pas la prĂ©tention
dâĂȘtre exhaustive. Bien dâautres choses peu-
vent ĂȘtre mises en Ćuvre pour assurer la
sécurité de vos systÚmes. Elle peut cepen-
dant contribuer à vous aider à vous proté-
ger dâun grand nombre dâattaques et ĂȘtre
le point de dĂ©part dâune rĂ©flexion plus pous-
sée sur ce que vous pouvez faire pour amé-
liorer la sécurité dans votre environnement.
PremiĂšres actions en cas dâinfection
De nouvelles attaques et de nouveaux
codes apparaissent constamment. On
assiste Ă une course permanente entre
lâĂ©pĂ©e et la cuirasse informatiques. Des
moyens de contourner les dispositifs de
sécurité en place sont légion. Rappelons
quâen cas dâinfection la plupart des codes
malveillants cherchent à désactiver les pro-
tections activées sur les systÚmes.
Il est donc fort probable que, malgré tout,
des infections soient Ă dĂ©plorer. En cas dâin-
fection, la solution idéale serait de faire une
sauvegarde des données et de réinstaller le
systÚme. AprÚs cette procédure, il convient
de sâassurer que le systĂšme et les logiciels
sont Ă jour afin dâĂ©viter la rĂ©pĂ©tition de lâat-
taque. Il est aussi utile de prendre en
compte le caractÚre virulent du « bot » : il est
trĂšs possible que dâautres machines de
votre périmÚtre aient aussi été infectées.
Conclusion
Les botnets sont une épine dans le pied de
tout responsable de systĂšme dâinformation
désireux de protéger son réseau. En dépit
de quelques condamnations spectacu-
laires, il est hautement improbable que
ceux-ci disparaissent. Ils sont symptoma-
tiques de lâĂ©volution vers la criminalitĂ© orga-
nisĂ©e de lâ« underground informatique » et
lâun des principaux outils permettant aux
pirates de monnayer leurs actions.
La combinaison du développement des
méthodes de camouflage face aux antivi-
rus et IDS et du nombre de machines non
administrées, connectées en permanence
à haut débit, permet de supposer que ce
problĂšme restera longtemps Ă lâesprit des
personnes sâintĂ©ressant Ă la sĂ©curitĂ©
réseau.
â
ducrot@renater.fr, danho@renater.fr,
marronnier@renater.fr
Conception et réalisation
: La Sour
is 01
45
21
09
61
sécurité informatique
octobre 2007 - n° 61
6
numéro 61
octobre 2007
S Ă C U R I T Ă I N F O R M AT I Q U E
Sujets traités :
tout ce qui concerne
la sécurité informatique. Gratuit.
Périodicité :
4 numéros par an.
Lectorat :
toutes les formations CNRS.
Responsable de la publication :
J
OSEPH
I
LLAND
Fonctionnaire de Sécurité de Défense
Centre national de la recherche scientifique
3, rue Michel-Ange, 75794 Paris-XVI
Tél. : 01 44 96 41 88
Courriel : Joseph.Illand@cnrs-dir.fr
http://www.sg.cnrs.fr/fsd
Rédacteur en chef de ce numéro :
R
OBERT
L
ONGEON
Chargé de mission SSI du CNRS
Courriel :
robert.longeon@cnrs-dir.fr
ISSN 1257-8819
Commission paritaire n° 1010 B 07548
La reproduction totale ou partielle
des articles est autorisée sous réserve
de mention dâorigine.
S Ă C U R I T
Ă
D E S
S Y S T Ă M E
S
D
â
I N F O R M
A T I O N
Définitions
IRC :
Internet Relay Chat, mode de communication
instantané développé au début des années 1990.
Un utilisateur se connecte Ă un canal IRC pour dis-
cuter avec dâautres.
Peer-to-Peer (P2P) :
modĂšle d'organisation
dans lequel il n'existe pas de serveur central, les
utilisateurs étant interconnectés entre eux.
Chaque nĆud de rĂ©seau peut agir indiffĂ©rem-
ment en tant que client ou serveur.
Scans :
sondage réseau permettant de recenser
des cibles dâattaques potentielles.
Déni de service :
attaque consistant Ă provoquer
des perturbations au niveau de la machine cible
ou de sa connexion rĂ©seau de telle sorte quâelle
ne puisse plus répondre aux demandes de ser-
vices de ses utilisateurs légitimes.
Spam:
courrier électronique non désiré, généra-
lement envoyé à des fins publicitaires par de par-
faits inconnus.