En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
En poursuivant votre navigation sur ce site, vous acceptez l’utilisation de cookies pour vous proposer des services et offres adaptés à vos centres d’intérêts.FERMER  x
Pour en savoir plus et paramétrer les cookies...
Actualité informatique
Test comparatif matériel informatique
Jeux vidéo
Astuces informatique
Vidéo
Télécharger
Services en ligne
Forum informatique
01Business
Applis, logiciels
Produits
Télécoms
Sécurité
Culture, médias
Politique, droits
Technos
Buzz, société
Jeux
Science, recherche

La BBC joue au hacker avec un réseau de 21 000 PC zombies

Pour les besoins d'une émission, BBC News a acheté un botnet à des cybercriminels et s'est transformée en hacker aux commandes d'un réseau de PC zombies.

laisser un avis
Aux dires des spécialistes en sécurité, les botnets sont devenus les armes de piraterie massive des cybercriminels. Mais comment fonctionnent ces réseaux de PC zombies, contrôlés à l'insu de leurs utilisateurs ? Comment s'en procurer un ? Peut-on facilement le piloter ? L'équipe de Click, l'émission sur les nouvelles technologies de BBC News, a mené l'enquête.
Une investigation très poussée puisque ses journalistes sont allé jusqu'à acheter un botnet pour jouer aux apprentis hackers. Leurs premiers pas dans le cybercrime sont détaillés dans la dernière édition de Click, également diffusée sur BBC World News et sur le site de la chaîne (voir l'intégralité de l'émission de la BBC).
Selon Spencer Kelly, présentateur de l'émission, acheter un réseau de PC zombies n'est pas si simple que ça. Il faut se rendre sur des forums et des serveurs de chat underground pour entrer en contact avec des hackers. Les négociations s'effectuent ensuite par messagerie instantanée et le paiement par mandat, vers une société intermédiaire. Click s'est ainsi offert un réseau de 21 696 PC, pour ' quelques milliers de dollars '.
Le prix des botnets oscille entre 30 et 400 dollars les 1 000 machines, suivant leur situation géographique. Dans les pays occidentaux, les PC sont aussi plus riches en données financières (numéro de compte en banque, carte bancaire, etc), très prisées des cybercriminels.

Un logiciel ultrasimple

L'équipe de Click a en revanche été bluffée par la simplicité du ' logiciel de pilotage ' fourni avec son botnet. Traduit en treize langues, il présente une interface user friendly digne d'un système d'exploitation. Mais ici, point de raccourci vers Word ou Excel : les icônes symbolisent des applications bien plus atypiques, comme l'envoi de spam ou l'attaque par déni de service (DoS)... Un clic suffit pour avoir la liste des 21 000 machines sous contrôle et leur pays d'origine.
agrandir la photo
Pour se faire la main avec son botnet, Click a commencé par lancer une vague de spam. La cible : deux adresses e-mail créées pour l'occasion sur Hotmail et Gmail. Le réseau de PC esclaves a été facilement paramétré pour limiter l'envoi à 500 spams par machine, histoire de ne pas plomber la connexion du PC émetteur et de ne pas éveiller les soupçons de son utilisateur.
L'objet des e-mails a pu être généré automatiquement à partir d'une liste de mots-clés. En quelques minutes, les premiers spams atterrissaient dans les boîtes e-mail, en quelques heures, les boîtes étaient inondées par des milliers de messages. Objectif atteint.

60 PC pour faire tomber un serveur Web

Deuxième test : le déni de service. Click a paramétré son botnet pour que les machines se connectent simultanément à un serveur Web, afin de le noyer sous les requêtes et de le rendre indisponible. Une pratique de plus en plus courante chez les cybercriminels, qui l'utilisent pour extorquer une rançon aux entreprises visées.
agrandir la photo
Pour l'expérimenter, Click s'est attaqué à un serveur secondaire de la société Prevx Security, qui a collaboré à l'émission. Comme pour le spam, le paramétrage de ce DoS a été un jeu d'enfant. ' Nous pouvions même sélectionner les dates et les heures de début et de fin de l'attaque ', précise Spencer Kelly. Quelques minutes ont suffi pour mettre le serveur de Prevx hors jeu. Mieux, seuls 60 PC zombies sur 21 000 ont été nécessaires pour y parvenir...

Une expérience légale ?

Après avoir terminé ses tests, l'équipe de Click a rendu leur liberté aux PC zombies. Le code malicieux installé sur les ordinateurs a été supprimé à distance et leurs utilisateurs ont été avertis, après coup, par un simple message sur leur écran. Click leur a donné des conseils pour se protéger des botnets et les dispense également au public : mettre systématiquement son OS à jour pour limiter le risque d'infection par un code malicieux placé sur un site Web, protéger son ordinateur avec un firewall (qui contrôle les entrées et sorties) et un antivirus.
Malgré cette conclusion toute pédagogique, l'enquête de Click n'en est pas moins contestable sur la méthode employée. C'est en tout cas l'avis de certains éditeurs de sécurité, comme Graham Cluley, consultant chez Sophos.
Il estime sur son blog que la BBC a franchi la limite de la légalité en utilisant le PC de milliers de personnes, sans leur avoir demandé l'autorisation. Ce à quoi Spencer Kelly répond, sur Twitter : ' nous n'aurions pas fait une émission comme celle-ci sans prendre un conseil juridique '.
A lire aussi : PC et serveurs zombies : quels risques pour l'entreprise ?
envoyer
par mail
imprimer
l'article
@01net sur
à lire aussi
SUR LES MÊMES THÈMES
2015 : 4 chantiers clés pour la cybersécurité
Alten lance une co-entreprise dans la cybersécurité
Phishing : une menace internationale, quelle que soit la langue
Le futur de la carte à puce se joue sans cartes
2014 : l’année qui aura vu les COMEX se mobiliser pour leur cybersécurité ?
Pourquoi pas un recyclage intelligent des briques technologiques d'Ecomouv
JTech 201 : Spécial Mondial de l’auto 2014 (vidéo)
Sébastien Faivre (Brainwave) : « Mettre une porte blindée ne suffit plus à protéger une entreprise »
Apple Pay, la fin de la fraude aux cartes bancaires ?
Apple et la sécurité : une rentrée 2014 forte en actualité !
Des photos de Jennifer Lawrence à la protection de l’entreprise, quelles réactions avoir ?
Consolidation dans la sécurité : Morpho rachète Dictao
Le big data et la sécurité : plus de données... plus de problèmes
Les drones, le nouveau cauchemar des départements informatiques ?
Quel est votre vecteur d’attaque préféré : PDF, Word ou ZIP ?
Lookout lève 150 millions de dollars pour s’attaquer aux grandes entreprises
L’essentiel du Patch Tuesday de juillet 2014
Ceintures de sécurité et crash-test : des modèles pour la sécurité de l’information ?
Les nouveaux types de failles (et comment essayer de les contrer)
Ingenico se prépare à racheter GlobalCollect pour 820 millions d'euros