Close
  • Français
  • English

22/10/2013ZeroAccess : quelques questions soulevées par le récent démantèlement partiel de ce botnet [Par Eric Freyssinet, Gendarmerie nationale]

Les annonces se succèdent à un rythme relativement soutenu, parce que la tâche est réellement ardue, du démantèlement de tel ou tel botnet. La dernière en date est celle faite par Symantec d’une opération menée de longue date contre ZeroAccess [lien vers https://www.botnets.fr/index.php/ZeroAccess], un de ces botnets les plus visibles aujourd’hui et très certainement un des plus nocifs. Il permet notamment de réaliser de grosses opérations de fraude au clic[1], de calcul de bitcoins ou encore d’installation d’autres virus.

D’après les données publiées par Symantec[2], ce sont jusqu’à 1,9 millions d’ordinateurs qui participent, à l’encontre de la volonté de leur propriétaire à cette véritable infrastructure cybercriminelle. La particularité de ce botnet est d’utiliser un protocole pair à pair, un peu comme celui qui permet l’échange de fichiers de façon aisée avec le protocole Bittorrent ou encore les communications via le logiciel de discussion instantanée Skype (sous réserve d’évolutions de ce protocole avec l’adhérence à MSN Messenger). L’intérêt principal de ce type de solution est de ne pas dépendre de quelques serveurs à maintenir par les délinquants (il s’agit très souvent aujourd’hui de simples serveurs Web), mais de déployer le système de commande et de contrôle du botnet – celui par lequel les ordres divers vont être acheminés – partout où des machines contaminées sont présentes.

L’étude approfondie du protocole[3] utilisé a permis d’identifier une faille qui pouvait être exploitée pour détourner les machines victimes. Dès le mois de juillet de cette année, après avoir observé une mise à jour inquiétante du virus diffusé pour constituer ce botnet, les ingénieurs de Symantec ont décidé de déclencher une opération de « sinkholing », c’est-à-dire mettre en place des infrastructures (très souvent il s’agit de prendre le contrôle de noms de domaine utilisés par le botnet, ici il s’est agi d’insérer dans le dialogue pair à pair des informations destinées à détourner les connexions) qui vont s’approprier le trafic illégitime. Ainsi, ce sont près d’un demi-million de machines qui auraient été protégées grâce à cette action.

Cette annonce amène quelques questions et quelques réflexions. Il ne s’agit pas de critiquer ici l’action menée par Symantec (ou d’autres sociétés dans des circonstances similaires), mais d’évoquer certains des problèmes qu’elle soulève :

– on est toujours dramatiquement incapables de mesurer l’impact d’un botnet de façon fiable. Ainsi, en septembre 2012, Sophos évaluait le nombre de machines infectées par ZeroAccess à 9 millions d’unités[4]. Ce n’est pas une quantité incompatible avec le chiffre de près de 2 millions de machines évoqué ici, puisque beaucoup vont être désinfectées puisque détectées par les antivirus, mais la différence pose question et n’est pas débattue. Dans le papier de ce mois-ci Symantec tente d’évaluer les revenus de ce botnet : entre 700 k€ et plusieurs dizaines de millions d’euros par an, pour un préjudice économique de 560 k€ par jour (estimation de la consommation d’électricité) ; on pourrait aussi prendre en compte la valeur des informations détournées grâce aux virus additionnels qui sont typiquement téléchargés et installés par ZeroAccess.

– est-ce que l’opération menée par Symantec et d’autres contre ZeroAccess a été coordonnée avec l’ensemble des acteurs concernés ? Ainsi, même si le résultat annoncé semble percutant, un certain nombre de chercheurs ont rapidement évoqué la possibilité que cette action ait empêché d’autres recherches : c’est une critique courante lors de ces opérations de sinkholing. Symantec annonce se coordonner avec CERTs et fournisseurs d’accès pour aider les victimes à nettoyer rapidement leur ordinateur.

– cette opération est-elle légale ? Parfois de telles opérations sont menées avec l’autorisation d’un magistrat. Ainsi au mois de septembre 2011, Microsoft obtenait la décision d’un magistrat américain pour prendre le contrôle de serveurs utilisés par le botnet de spam Kelihos (qui a d’ailleurs depuis ressuscité à plusieurs reprises). En 2010, les autorités néerlandaises avaient saisi l’ensemble des serveurs de commande et de contrôle du botnet Bredolab, et affiché un message prévenant les victimes directement sur leur ordinateur. Mais ces actions ont un impact sur des millions de machines à travers le monde ; si elles sont légitimes, est-ce qu’elles seront toujours légales (sans compter l’éventuel impact de ces mesures sur les machines ainsi détournées légitimement) ? En réalité, il n’y a pas d’instrument juridique international qui permettrait de réellement légitimer en toutes circonstances ces actions, y compris lorsqu’elles sont ordonnées par un juge dans un pays donné.

– est-ce que des services d’application de la loi ont été mis dans la boucle ? Cette question pose en réalité celle de l’efficacité de telles opérations : si on n’amène pas devant la justice les délinquants qui sont derrière ces botnets, comment être sûr qu’ils sont réellement hors d’état de nuire ?

Si vous voulez discuter de ces sujets, mais aussi beaucoup d’autres comme les techniques de lutte contre les botnets, l’actualité de la recherche académique ou industrielle sur les botnets et rencontrer des acteurs mobilisés contre cette menace, une conférence internationale est organisée en France, à Nantes, les 5 et 6 décembre prochains. Vous trouverez plus d’informations sur https://www.botconf.eu/.


[1] La fraude au clic consiste à générer des revenus indus par des faux clics sur des bannières/liens publicitaires de la part d’adresses IP apparemment légitimes et variées, ce que permet de façon très efficace un botnet

[3]Voir les différentes recherches évoquées ici : http://threatpost.com/peer-to-peer-botnets-resilient-to-takedown-attempts