Les botnets sont complexes et les grands systèmes distribués consistant en plusieurs milliers, voire parfois en plusieurs millions d'ordinateurs, sont souvent exploités par les cybercriminels pour mener des actions nuisibles : cela va de l'envoi massif de spam, au lancement d'attaques par déni de service DDoS, en passant par l'installation de logiciels espions. « Pratiquement tous les utilisateurs d'Internet ont subi les effets néfastes des botnets. Par exemple quand ils reçoivent des quantités massives de spams, quand leurs informations confidentielles sont volées, ou quand ils perdent l'accès à des services Internet critiques, » écrivent les chercheurs pour résumer leurs résultats.
Afin de mieux comprendre ce que les chercheurs qualifient comme « l'une des menaces les plus inquiétantes de la sécurité informatique,» l'expérience a recréé, en l'isolant, une version du botnet Waledac. Ce dernier, démantelé par Microsoft cette année, comportait à un moment donné entre 70.000 à 90.000 ordinateurs infectés et était responsable de l'envoi de 1,5 milliards de spams par jour. Pour les besoins de la recherche, environ 3 000 copies de Windows XP ont été chargées sur un cluster de 98 serveurs hébergé dans les locaux de l'Ecole Polytechnique de Montréal. Les noeuds ont été infectés par le ver Waledac, introduit depuis un DVD, et non par connexion avec d'autres machines.
Trouver un remède
Les chercheurs ont pris soin de toujours maintenir le réseau infecté hors connexion de tout autre réseau. Les machines du réseau créé pour l'expérience pouvaient communiquer les unes avec les autres de la même façon que les ordinateurs le font dans un système informatique distribué, avec un serveur de commande et de contrôle pour envoyer des instructions à certaines machines chargées elles-mêmes de les relayer à d'autres machines. La méthode qu'utilise un botnet pour ajouter toujours plus d'ordinateurs zombies à son réseau.
L'objectif était de recueillir des informations sur le réseau de zombies pour comprendre aussi bien que possible son architecture et ses modes de fonctionnement. L'équipe de chercheurs s'est particulièrement intéressée aux protocoles de communication et aux formats des messages, au processus d'authentification pour accéder au botnet, mais aussi à son architecture de commande et de contrôle. Les chercheurs ont également lancé ce qu'ils appellent une attaque « sybil » contre le botnet, en ajoutant des bots pour voir quel impact cela pouvait avoir sur le réseau de zombies. Ils ont constaté que leur attaque avait réussi grâce aux caractéristiques particulières du protocole P2P maison que le réseau a utilisé pour envoyer ses ordres et effectuer son contrôle. « Parce que l'adresse IP d'un bot ne doit pas être unique (les robots sont principalement identifiés par leur ID 16-bits), il est possible de générer un grand nombre de « sibyls » - avec des identifiants uniques, mais avec la même adresse IP, tout en utilisant peu de machines, ce qui rend cette attaque relativement facile à monter, » indiquent les chercheurs dans leurs résultats. Selon les chercheurs, « en une heure, l'attaque a réussi à stopper le botnet, l'empêchant de continuer à envoyer des emails. »
Des chercheurs montent un botnet pour comprendre son fonctionnement (MAJ)
Une équipe de chercheurs de l'Ecole Polytechnique de Montréal, en collaboration avec l'éditeur d'antivirus ESET, des chercheurs des Universités de Nancy (France), et Carleton d'Ottawa (Canada) a récemment publié les résultats d'une étude pour laquelle ils ont réalisé un réseau de PC zombies à des fins strictement expérimentales. La simulation leur a permis d'observer le comportement d'un botnet, tout en l'empêchant d'infecter d'autres machines.