Les botnets sont la clé de voûte du cyber-crime. Ces réseaux d'ordinateurs détournés et placés sous le contrôle distant d'un pirate sont désormais utilisés pour toutes les cyber-turpitudes. De l'envoi massif de spam aux attaques par déni de service en passant par l'hébergement de sites de phishing, la fraude aux clics ou la diffusion de logiciels publicitaires, les botnets sont partout.

Il n'est donc pas surprenant que la communauté des experts sécurité tente sans relâche de détruire ces botnets. Et pour cela, il suffit leur trancher la tête ! Car tous les ordinateurs d'un botnet doivent recevoir leurs ordres du pirate à sa tête. Et ils leur faut bien pour cela se connecter... quelque part !

Historiquement les bots se connectaient à des canaux de discussion en utilisant le vénérable protocole IRC (Internet Relay Chat). L'approche est très pratique du point de vue du botnet car il suffit à son propriétaire de se connecter au même salon de discussion que les machines compromises pour leur donner ses instructions. Mais c'est aussi très simple à repérer car le trafic IRC s'identifie parfaitement sur un réseau, au milieu des protocoles plus communs tels que HTTP. Et puis surtout, une fois repéré, il suffit de neutraliser ce salon de discussion pour tuer le botnet. On lui coupe la tête. Et même si les pirates n'hésitent pas à déployer plusieurs de ces "têtes", leur neutralisation simultanée ne pose guère plus de problème.

Bien entendu, les "botmasters" ont rapidement cherché des parades à la décapitation. Bien que les bots IRC demeurent aujourd'hui encore les plus communs, la première relève est venue des bots P2P. En s'appuyant sur une architecture décentralisée similaire à celle des réseaux de partage de fichier, les bots ne dépendent plus d'une tête centrale. C'est le cas des Slapper, Sinit, Phatbot et autres Nugache, qui utilisent les réseaux tels Gnutella pour communiquer. Mais là aussi, il demeure possible de décapiter ces réseaux (Nugache s'appuie sur une "liste" de démarrage de 22 serveurs, Slapper se protège mal contre les détournements, etc...). Tous génèrent également beaucoup de trafic et peuvent donc être repérés par analyse statistique. Enfin bien que chaque bot face aussi office de centre de contrôle pour ses pairs, le botnet dépend tout de même d'un enregistement DNS, qui représente leur point faible : supprimez leur résolution DNS et le botnet devient inutile.

Sont arrivés ensuite les bots HTTP, qui tentent de se fondre dans la masse du trafic légitime de leur victime et, surtout, sont plus robustes vis à vis du DNS. Beaucoup plus difficiles à détecter, des parasites tel Black Energy ou Mocbot se fondent non seulement dans le trafic HTTP traditionnel mais surtout ne dépendent pas d'une connexion permanente avec leur centre de commande. Black Energy émet ainsi une simple requête POST, par laquelle il reçoit en retour un ordre encodé en simple Base64. Après exécution, il reviendra chercher de nouvelles instructions. Entre temps, il n'aura aucun contact avec son centre de commande. Une telle approche permet aux botnets HTTP une furtivité accrue à laquelle ne peut prétendre les versions basées sur IRC ou sur les protocoles P2P, qui exigent eux une connexion permanente et sont donc plus simple à identifier.

Autre avantage du protocole HTTP, le serveur de contrôle peut être n'importe quel serveur Unix / Linux / BSD compromis pour l'occasion, et le pirate peut donc en changer très rapidement.

Mais la créativité des développeurs de bots ne s'arrête pas là. La relève est prête et elle suit la mode du Web 2.0. Selon Avi Chesla, Vice-Président sécurité pour l'israélien Radware, les développeurs de bots s'intéressent désormais à Ajax pour leurs créations (voir encadré). De tels parasites utiliseraient une vulgaire recherche sur le web afin d'identifier leurs centres de commandes (grâce à un mot clé), puis exploiteraient des messages Ajax pour communiquer entre eux, dissimulant ainsi grandement leur activité derrière un double écran de fumée : l'opacité naturelle d'Ajax et le canal HTTP. "Sur le réseau, seule une analyse comportementale du trafic peut détecter efficacement de tels bots", explique Avi Chesla.

Les botmasters sont toutefois loin d'avoir réellement besoin de cette relève à la sauce 2.0 : Kraken, Srizbi et Rustock, les trois plus importants botnets recensés à l'heure actuelle, approchent le million de PC compromis. A eux trois, ils peuvent cracher près de cent milliards de spam par jour.