Tout d'abord il faut savoir que la taille de ce botnet record représente environ 0.3% des machines du monde connectées à Internet, soit 1 sur 300. En supposant qu'il existe plusieurs centaines voire plusieurs milliers de botnets à travers le monde, certes moins vastes, on a quand même l'impression qu'il y a largement de quoi justifier l'estimation de 25% de PC zombie[1]… Précisons aussi tout de suite que si on parle de PC zombie, c'est parce ce sont des machines sous Windows®. Pour le moment aucune information n'existe permettant de mettre en cause des machines sous Linux ou Mac OS X, malgré la propagation récente de deux malwares pour MAC OS X - via des applications piratées toutefois.

Pour le reste, l'article de Finjan ne nous apprend pas grand chose de nouveau si ce n'est qu'il fonctionne via un serveur central envoyant aux machines piratées les actions à réaliser. Ce n'est pas le serveur central qui est nouveau, puisque c'est le mode de fonctionnement habituel des botnets, c'est le fait que l'administrateur du botnet dispose sur ce serveur d'une console très évoluée pour, par exemple, diffuser des mises à jour du botnet ou coordonner des actions malveillantes (envoi de spam, attaque de serveurs, etc.).

Une capture d'écran dans l'article montre par ailleurs le résultat de détection par de nombreux antivirus différents sur un des chevaux de Troie envoyés par la console au botnet. Et bien ce logiciel malveillant a été détecté comme tel par… 4 antivirus sur 39, et pas forcément les antivirus les plus connus ! Voilà qui vient corroborer pour les sceptiques le billet paru sur ce blog fin 2008, Les logiciels antivirus sont réellement inefficaces, mais avec un spécimen réel cette fois et une infection tout aussi réelle… Rappelons que ce billet rapportait que des tests en laboratoire montrent que des logiciels malveillants inconnus peuvent n'être détectés comme tel qu'à hauteur de 20% pour le meilleur et au mieux… 2% pour tous les autres !

Un autre exemple de commande envoyée au botnet montre que le cheval de Troie envoyé permet de réaliser un panel impressionnant d'actions sur la machine infectée :

  • lire les adresses email et d'autres détails sur l'ordinateur infecté
  • communiquer avec d'autres ordinateurs en utilisant le protocole HTTP (celui des pages web)
  • exécuter un processus (c'est-à-dire lancer discrètement un petit programme)
  • injecter du code dans d'autres processus (c'est-à-dire modifier le fonctionnement d'autres programmes en cours de fonctionnement)
  • visiter des sites web sans le consentement de l'utilisateur
  • s'enregistrer comme service en tâche de fond (c'est-à-dire que le programme malveillant démarre silencieusement à chaque démarrage de la machine)
  • et environ une douzaine d'autres commandes…

Bien évidement tout ceci se passe en toute discrétion, dans le dos de l'utilisateur, sans quoi il serait très difficile de parvenir à rassembler autant de machines en un seul botnet. La deuxième fonctionnalité de la liste précédente, communiquer avec d'autres ordinateurs en utilisant le protocole HTTP, est une des clefs de la réussite de cette discrétion et est donc particulièrement inquiétante.

En gros, vous avez beau vous planquer derrière votre box ADSL voire même derrière un routeur[2], vous pouvez toujours cliquer à votre insu dans une page web officielle mais piégée qui vous fera entrer dans un botnet. Votre machine communiquera ensuite avec le botnet de la même manière que votre navigateur web récupère les pages web que vous consultez. Bref, vous n'y voyez et n'y verrez jamais rien, à moins d'épier vos propres connexions réseau ou votre débit réseau[3].

Pour finir il est intéressant de mentionner la répartition géographique des machines du botnet débusqué :

  • USA : 45%
  • Royaume Uni : 6%
  • Canada : 4%
  • Allemagne : 4%
  • France : 3%
  • Autres : 38%

À nouveau on n'a aucune surprise à constater la suprématie des États-Unis ;-) en matière de botnet (voir le billet Filtrer les spams de blog sur leur contenu). La France écope ici d'un chiffre supérieur à celui du billet juste cité, lequel date de fin 2007. Faut-il y voir une dégradation de la vigilance de nos compatriotes ? Si c'est le cas, souhaitons leur de venir visiter ce blog ! ;-)

Notes

[1] les PC zombies sont les PC contrôlés par les botnets

[2] voir le billet Se protéger contre Internet

[3] voir les explications de Joanna Rutkowska dans le billet Les logiciels anti-virus sont inefficaces