Pour les besoins d'une émission, BBC News a acheté un botnet à des cybercriminels et s'est transformée en hacker aux commandes d'un réseau de PC zombies.
Aux dires des spécialistes en sécurité, les botnets sont devenus les armes de piraterie massive des cybercriminels. Mais comment fonctionnent ces réseaux de PC zombies, contrôlés à l'insu de leurs utilisateurs ? Comment s'en procurer un ? Peut-on facilement le piloter ? L'équipe de Click, l'émission sur les nouvelles technologies de BBC News, a mené l'enquête.
Une investigation très poussée puisque ses journalistes sont allé jusqu'à acheter un botnet pour jouer aux apprentis hackers. Leurs premiers pas dans le cybercrime sont détaillés dans la dernière édition de Click, également diffusée sur BBC World News et sur le site de la chaîne (voir l'intégralité de l' émission de la BBC).
Selon Spencer Kelly, présentateur de l'émission, acheter un réseau de PC zombies n'est pas si simple que ça. Il faut se rendre sur des forums et des serveurs de chat underground pour entrer en contact avec des hackers. Les négociations s'effectuent ensuite par messagerie instantanée et le paiement par mandat, vers une société intermédiaire. Click s'est ainsi offert un réseau de 21 696 PC, pour « quelques milliers de dollars ».
Le prix des botnets oscille entre 30 et 400 dollars les 1 000 machines, suivant leur situation géographique. Dans les pays occidentaux, les PC sont aussi plus riches en données financières (numéro de compte en banque, carte bancaire, etc), très prisées des cybercriminels.
Un logiciel ultrasimple
L'équipe de Click a en revanche été bluffée par la simplicité du « logiciel de pilotage » fourni avec son botnet. Traduit en treize langues, il présente une interface user friendly digne d'un système d'exploitation. Mais ici, point de raccourci vers Word ou Excel : les icônes symbolisent des applications bien plus atypiques, comme l'envoi de spam ou l'attaque par déni de service (DoS)... Un clic suffit pour avoir la liste des 21 000 machines sous contrôle et leur pays d'origine.
Pour se faire la main avec son botnet,Click a commencé par lancer une vague de spam. La cible : deux adresses e-mail créées pour l'occasion sur Hotmail et Gmail. Le réseau de PC esclaves a été facilement paramétré pour limiter l'envoi à 500 spams par machine, histoire de ne pas plomber la connexion du PC émetteur et de ne pas éveiller les soupçons de son utilisateur.
L'objet des e-mails a pu être généré automatiquement à partir d'une liste de mots-clés. En quelques minutes, les premiers spams atterrissaient dans les boîtes e-mail, en quelques heures, les boîtes étaient inondées par des milliers de messages. Objectif atteint.
60 PC pour faire tomber un serveur Web
Deuxième test : le déni de service. Click a paramétré son botnet pour que les machines se connectent simultanément à un serveur Web, afin de le noyer sous les requêtes et de le rendre indisponible. Une pratique de plus en plus courante chez les cybercriminels, qui l'utilisent pour extorquer une rançon aux entreprises visées.
Pour l'expérimenter, Click s'est attaqué à un serveur secondaire de la société Prevx Security, qui a collaboré à l'émission. Comme pour le spam, le paramétrage de ce DoS a été un jeu d'enfant. « Nous pouvions même sélectionner les dates et les heures de début et de fin de l'attaque », précise Spencer Kelly. Quelques minutes ont suffi pour mettre le serveur de Prevx hors jeu. Mieux, seuls 60 PC zombies sur 21 000 ont été nécessaires pour y parvenir...
Une expérience légale ?
Après avoir terminé ses tests, l'équipe de Click a rendu leur liberté aux PC zombies. Le code malicieux installé sur les ordinateurs a été supprimé à distance et leurs utilisateurs ont été avertis, après coup, par un simple message sur leur écran. Click leur a donné des conseils pour se protéger des botnets et les dispense également au public : mettre systématiquement son OS à jour pour limiter le risque d'infection par un code malicieux placé sur un site Web, protéger son ordinateur avec un firewall (qui contrôle les entrées et sorties) et un antivirus.
Malgré cette conclusion toute pédagogique, l'enquête de Click n'en est pas moins contestable sur la méthode employée. C'est en tout cas l'avis de certains éditeurs de sécurité, comme Graham Cluley, consultant chez Sophos.
Il estime sur son blog que la BBC a franchi la limite de la légalité en utilisant le PC de milliers de personnes, sans leur avoir demandé l'autorisation. Ce à quoi Spencer Kelly répond, sur Twitter : « nous n'aurions pas fait une émission comme celle-ci sans prendre un conseil juridique ».
A lire aussi : PC et serveurs zombies : quels risques pour l'entreprise ?