les réseaux de zombies : de l'infection à l'assaut final

Les zombies c'est un sujet d'actualité. Seules les personnes vivant en ermite sur une île déserte ne savent pas ce que c'est.

Pour ceux qui pensaient le sujet éculé, détrompez-vous ! C'est à l'affiche au cinéma d'en bas de chez vous: cf le film "Bienvenue à Zombieland" sorti en salle ce 25 Novembre ; on trouve même de la littérature sur le sujet dans les bonnes librairies "Guide de survie en territoire zombie : (Ce livre peut vous sauver la vie), Max Brooks". Les fans de DVD sur le sujet trouveront leur bonheur et les adaptes des jeux vidéos sanguinolents connaissent le sujet de fond en comble tant c'est un classique de classique.

Un point commun à tous ces films, livres et jeux vidéos : On reste dans l'imaginaire ou dans le fantasmagorique. Dans la vraie vie les zombies qui vous courent après pour vous "bouffer tout cru" ça n'existe pas. :-)

Dans le monde informatique, les zombies, et bien ça existe. Quel scoop me direz-vous ! Et bien détrompez-vous : Beaucoup de personnes (tant dans mon cercle professionnel que personnel) sont un peu dubitatives quand on leur explique à quelles fins les réseaux de zombies sont utilisés, comment ils sont contrôlés et créés.



Création de l'agent infectieux
Tout commence par la création du logiciel qui sera implanté sur les victimes innocentes. Nul besoin d'obscures techniques Vaudou ou de souche virale extraterrestres véhiculée via un météorite : Il existe un grand nombre de "bots" différents (c'est le nom générique de ce type de logiciel) : Ce sont des logiciels créés spécialement à cet effet.

Pour ceux en manque d'inspiration, il est possible de trouver des codes sources en téléchargement libre sur Internet : Vous mettez la main sur une "souche" que vous modifiez à loisir pour la rendre moins facilement détectable par les antivirus ou pour lui ajouter de nouvelles fonctionnalités.

Bien sûr, il reste la possibilité de "l'œuvre originale d'auteur" qui développera son bot tout seul dans son coin. Le marché noir sur Internet propose aussi des "kits" pour quelques centaines de dollars : C'est du "bot clefs en main" avec SAV s'il vous plait !

Ensuite, vient la phase d'infection
Ici, pas d'horrible monstre sanguignolent qui se jette sur une victime faible et innocente pour lui mordre la joue ou se tailler un steak dans la cuisse. Ca crie, la victime est bien consciente du drame (!) dont elle est l'objet, elle se défends, coupe des mains et des bras, bref elle ne se laisse pas faire.

Dans le monde informatique, le processus d'infection est indolore et totalement transparent pour la victime : Il suffit d'aller se frotter sur un site web avec son navigateur non patché, d'exécuter un fichier reçu par mail de quelqu'un d'inconnu ou encore d'installer le codec video manquant pour regarder la video humoristique/cochonne reçue par mail...(la liste est longue, je suis loin d'être exhaustif).

L'agent infectieux est en place : le zombie vient à la vie
Dans les films, un bon zombie a une sale tête, la peau légèrement grise, il lui manque la moitié du visage et a des vêtements sales. Du premier coup d'oeil vous n'avez pas envie de lui claquer la bise ou de lui serrer la paluche.

Dans monde informatique, c'est très différent : Le bot ; ce fameux logiciel malicieux qui a été implanté à votre insu sur votre machine ; reste caché : il ne se montre pas.

Son objectif est simple : Utiliser à votre insu les ressources de votre machine ou de votre accès Internet, et ce le plus longtemps possible. Rien de présent dans la liste des programmes en cours d'exécution, aucun fichier corrompu ni de dysfonctionnement. RAS : Tout est normal, tout roule. Vous utilisez votre machine comme à l'habitude. Sauf que celle-ci ne vous appartient plus vraiment totalement : elle prends ses ordres d'une personne et les exécute sans votre consentement.

Obéissance aveugle du zombie
Dans les films, les zombies obéissent à d'obscures forces : Ils sont nombreux et ne se posent pas de questions : Dès qu'il y a de la chair fraîche ils foncent, mordent et de redoutent pas d'être décapités à couche de machette ou de tronçonneuses fumantes.

Avec les bots/zombies informatiques c'est la même chose : Une fois installés bien cachés sur la machine, ils se connectent vers leur "mothership" (le vaisseau mère) pour déclarer leur présence au maitre suprême (le botherder) et prendre leurs ordres : Ils y obéissent de façon aveugle.

La communication entre les bots et le mothership peut utiliser différents protocoles : Le plus classique c'est l'IRC (Internet Relay Chat) mais comme ce protocole est très souvent filtré, le HTTP et l'HTTPS sont très fréquemment utilisés. Cette communication entre le bot et le mothership s'appelle un canal de commande et de contrôle (C&C: Command & Control channel).

Pour ceux qui se posent des questions du genre "c'est quoi un motheship" : Tout simplement un serveur IRC ou un serveur web... des systèmes de type Twitter ou des flux RSS ont même été utilisés comme moyens de traverser les lignes de défenses. Il est important de noter qu'il s'agit de flux initiés depuis le réseau interne vers l'extérieur : Dans 99% des cas les flux passeront sans problème les défenses mises en place.

Supériorité numérique et facultés de régénération
Dans les films, une armée de zombies se compte minimum en centaines d'individus : Dans le cas contraire le film ne respecte pas les "critères" du genre. Quand les zombies attaquent, ils débordent de partout : Par les portes, les fenêtres, le grenier, les trappes, etc....Même si quelques-uns ne résistent pas à une balle de Magnum leur pulvérisant la cervelle ou à une décapitation en bonne est due forme, vu leur supériorité numérique, ils vont finir par submerger leur cible.

Pour les zombies informatiques c'est la même chose : Une armée de zombies/bots regroupe typiquement plusieurs dizaines de milliers de machines, voir quelques centaines de milliers... Toutes sont prêtes à obéir aveuglément aux ordres du botherder, leur maître.

Si quelques-unes des machines sont déconnectés (la machine est éteinte en fin de journée ou elle est désinfectée), cela ne posera pas de problème au botherder : le processus d'infection "ré-génère" l'armée et de toute façon vu le nombre de machine ce n'est pas une dizaine ou une centaine de machines en moins qui vont faire la différence.

Attaques téléguidées
Cette étape n'existe pas dans les films : Hormis infecter le plus de victimes innocentes en infériorité numérique, les zombies n'ont pas d'autre but...

Dans le monde informatique, le botherder ; leur maître absolu ; va les utiliser à des fins clairement illégales : Envoi de messages non sollicités (spam), lancement d'attaques en déni de service (DDoS), collecte d'informations personnelles (mots de passe, adresses emails, numéros de série du système d'exploitation ou des applications, etc..).

Comment lutter ?
A contrario des films de zombies, on peut "tuer un réseau de zombies" en "tuant" le botherder ou en déconnectant tous les canaux de commande et de contrôle (C&C). Cela est assez rare mais reste possible (cf "Ecrans.fr, Le spam mondial décapité par un journaliste, 13 Novembre 2008"). Bien sur, il faut rester à l'écart des sources d'infection et conserver sa machine à jour des correctifs de sécurité.
Jean-François Audenard

Au sein de la direction sécurité du Groupe Orange, je suis en charge de la veille sécurité et de la sensibilisation à la sécurité. Franchise, optimisme et bonne-humeur sont mes moteurs quotidiens