Botnet

From Botnets.fr
Jump to: navigation, search

Un botnet est un ensemble constitué par des systèmes compromis (appelés alors bots) qui, lorsqu'ils sont connectés à Internet, communiquent avec un système de commande et de contrôle donné.

La compromission évoquée ici est l'installation d'un logiciel malveillant, quel qu'en soit le mode de diffusion, qui directement fait communiquer le système compromis avec le système de commande et de contrôle ou entraîne l'installation d'un module qui permet cette communication.

Le présent Wiki s'intéresse donc aux usages malveillants de ces technologies.

Un botnet peut être ainsi constitué:

  • D'un parc homogène ou hétérogène de machines, selon que le ou les logiciels malveillants utilisés pour le constituer sont capables de contaminer un ou plusieurs types de système d'exploitation. Il s'agit en général de postes de travail informatiques, mais il peut aussi s'agir de serveurs ou de téléphones mobiles.
  • D'un nombre extrêmement variable de bots, qui évolue selon la connexion à Internet des machines ou la persistance de la contamination sur chaque système.

En théorie donc, une même classe de botnets pourra recouvrir plusieurs évolutions dans l'existence d'un botnet:

  • Selon l'évolution du système de commande (pour des raisons internes, par exemple si le développeur du système décide de le modifier ou pour des raisons externes, si des infrastructures utilisées pour le piloter voient leur fonctionnement empêché par une action judiciaire).
  • Selon les variantes de logiciel malveillant utilisé, qui peut permettre de construire un botnet unique ou plusieurs botnets correspondant à chaque grande version.
  • Selon l'organisation du botnet, qui peut être découpé en différents réseaux, utilisés pour différents usages, par exemple loués à différents clients.

Caractéristiques d'un botnet

Cette section est en cours de débat / construction.

Plusieurs éléments peuvent aider à caractériser un botnet:

  • La diffusion d'un logiciel malveillant qui transforme les systèmes contaminés en "bots". Par extension on peut appeler ce logiciel malveillant "bot".
  • L'existence d'un système de communication
    • Soit à sens unique, c'est-à-dire permettant uniquement au bot de recevoir des commandes
    • Soit à double sens, permettant au bot de transmettre des informations vers le système de commande
    • La connexion du bot au système de communication peut-être permanente, régulière ou uniquement à intervalles très éloignés, par exemple une fois par jour ou à l'initialisation du programme au démarrage du système infecté
    • Et cela, indépendamment des qualités propres au(x) protocole(s) utilisé(s) pour gérer ce système de communication, qui peuvent utilisés des modes connectés synchrones ou asynchrones.
  • L'existence éventuelle d'un panneau ou d'une interface de commande ou de suivi de l'activité du botnet.