Les botmasters

Mythe ou ralit?

David Dcary-Htu

Ce travail a t ralis dans la cadre du cours CRI-6234, Nouvelles

technologies et crimes (session dhiver 2011), offert aux tudiants de
la Matrise en Criminologie sous la direction du Professeur Benot
Dupont.
La Chaire de recherche du Canada en scurit, identit et technologie
de lUniversit de Montral mne des tudes sur les pratiques
dlinquantes associes au dveloppement des technologies de
linformation, ainsi que sur les mcanismes de contrle et de
rgulation permettant dassurer la scurit des usagers.
David Dcary-Htu
david.decary-hetu@umontreal.ca
Prof. Benot Dupont
Centre International de Criminologie Compare (CICC)
Universit de Montral
CP 6128 Succursale Centre-Ville
Montral QC H3C 3J7 - Canada
benoit.dupont@umontreal.ca
www.benoitdupont.net
Fax : +1-514-343-2269
David Dcary-Htu 2011

Table des matires

INTRODUCTION.............................................................................. 4
LES COURTIERS DU CRIME.............................................................. 5
BOTMASTERS ET BOTNETS............................................................. 7
LA RECHERCHE SUR LES BOTNETS : TEMPS POUR UN CHANGEMENT
DE DIRECTION.............................................................................. 13
LES BOTMASTERS........................................................................ 15
LE PROFIL SOCIODMOGRAPHIQUE.........................................................15
LE PROFIL PSYCHOLOGIQUE.................................................................16
LA MOTIVATION................................................................................17
LES RELATIONS PERSONNELLES ET PROFESSIONNELLES................................18
LES CAPACITS TECHNIQUES................................................................19
LES BOTMASTERS : SOLITAIRES, PAIRS, COLLGUES OU QUIPES?. .19
CONCLUSION............................................................................... 21
RFRENCES................................................................................ 23

Introduction
Le phnomne criminel a vcu de profondes transformations au cours des
vingt dernires annes. La mondialisation et les innovations dans les
transports ont ouvert grand la porte la cration de trafics internationaux de
marchandises illicites (Schloenhardt, 1999). Les troubles politiques tant en
Europe de lEst quen Afrique ont favoris le trafic darmes, la corruption et
les marchs noirs (Williams, 1994). Sil est possible den connaitre davantage
si facilement sur ces problmatiques, cest en bonne partie grce la
dmocratisation de linformation amene par linternet. Ce mdium qui
rejoint maintenant une partie apprciable de la population mondiale (Google,
2011) est un puissant outil de communication. Linformation y circule la
vitesse de la lumire sans possibilit de la rguler. Ce manque de contrle a
vite t not par les dlinquants qui ont appris lutiliser leur avantage.
Alors que la criminalit informatique se concentrait autour de la fraude,
du vol de tlcommunication et de la cration de code malicieux dans les
annes 80, elle est aujourdhui une entreprise diversifie aux tentacules
mondiaux. Certains problmes ont particulirement attir lattention des
mdias et du public en gnral au cours des dernires annes.
Nous nous concentrerons au cours de cette recherche sur un type
particulier de cyberdlinquance, les botnets. Ces rseaux dordinateurs
pirats remplissent un rle de facilitateur de la criminalit informatique. Les
aspects techniques de cette criminalit sont aujourdhui relativement bien
tudis et surveills, mais on ne peut en dire de mme pour ce qui est du
ct social. Les individus qui crent et grent ces rseaux sont encore trs
peu connus de la communaut acadmique et des forces de lordre. Ce
papier cherchera donc faire un inventaire des connaissances actuelles sur
les botmasters, les individus qui dirigent ces rseaux. La premire partie de
ce travail exposera comment les botnets en sont venus jouer un rle de
facilitateur des cybercrimes. La deuxime partie passera en revue la
littrature actuelle sur les botnets. La troisime partie identifiera les
caractristiques principales des individus impliqus dans ce type de

criminalit. La quatrime et dernire partie classifiera ce type de criminels en

fonction de la typologie de Best & Luckenbill (1994). Nous offrirons en guise
de conclusions quelques pistes de recherche pour amliorer la collecte de
donnes sur les botmasters.

Les courtiers du crime

Les attaques par dni de service distribu (DDOS 1) ont fait les
manchettes au cours des douze dernires annes alors que certains des plus
grands sites web ont t rendus inaccessibles par des attaques informatises
(Huffington Post, 2010). Les dlinquants lorigine de ces attaques
cherchaient avant tout se faire connaitre et augmenter leur rputation dans
le milieu criminel des pirates informatiques (Mirkovic & al, 2002). Ctait le
cas entre autres de jeunes comme Mafia Boy, un pirate informatique
montralais condamn depuis une peine demprisonnement pour ses
crimes (Calce & al, 2008). Les DDOS ont aujourdhui une motivation
beaucoup plus financire. Les criminels utilisent maintenant leurs ressources
pour extorquer des sommes aux entreprises qui dpendent des revenus quils
retirent de leurs activits en ligne. Ces dernires doivent se rsigner payer
quelques dizaines de milliers de dollars aux dlinquants plutt que perdre des
millions en revenus (et une forte baisse de leur rputation). Ce phnomne
est particulirement vrai pour les sites de pari en ligne (McMullan & al, 2007).
Les fraudes de cartes de crdit sont aussi une autre activit en pleine
expansion sur internet (Thomas & al, 2006). Les fraudeurs concoctent des
stratagmes de plus en plus ingnieux pour voler des numros de carte de
crdit ainsi que les informations personnelles de leurs dtenteurs. Brian
Krebs, journaliste amricain rput, prsentait rcemment la toute dernire
invention des fraudeurs : des pices de rechange de guichets bancaires
1 Les DDOS sont des attaques o le pirate informatique tente de noyer le
trafic lgitime en direction dun serveur dans une masse de donnes afin den
bloquer laccs aux utilisateurs lgitimes. Dans un tel scnario, un pirate
demande des milliers voire des dizaines de milliers dordinateurs sous son
contrle de se connecter simultanment un serveur. Ne pouvant faire la
diffrence entre une demande lgitime de connection et une demande
illgitime, le serveur surcharg cessera de rpondre toutes les demandes et
deviendra inacessible.
5

(Krebs, 2011). En remplaant les pices originales par des fausses, les
dlinquants peuvent recueillir un panier important dinformations sans pour
autant alerter les employs ou les clients dune banque. Il existe aujourdhui
des forums accessibles tous (ex. : carding.cc) qui permettent aux fraudeurs
dentrer en contact avec des courtiers qui seront en mesure dutiliser ces
informations pour obtenir de largent (Thomas & al, 2006). Le dveloppement
de tels marchs noirs et surtout le nombre de cartes disponibles sur ces
marchs nous montre quel point lindustrie de la fraude sur internet est
rendue lucrative et imposante (Thomas & al, 2006).
Des crimes comme les attaques par dni de service distribu et la
fraude de cartes de crdit peuvent sembler tre des activits distinctes avec
peu de points en commun. La ralit est pourtant toute autre. Il existe en fait
un systme facilitateur du crime sur linternet qui permet ces deux types de
crimes, ainsi qu plusieurs autres, de se dvelopper et de se maintenir dans
le temps. Ce courtier du crime est encore peu connu et nous esprons avec
cette recherche permettre aux autres chercheurs ainsi quaux services de
police den connaitre un peu plus sur les individus qui en contrlent les
activits.
Les botnets
Un botnet rfre une collection dordinateurs compromis (les
robots) qui sont contrls par un botmaster (Li & al., 2009 : p.1). Cette
dfinition comporte trois lments soit les robots, la nation de contrle et le
botmaster. Le botmaster est la personne qui cre et gre le botnet. Son
objectif est darriver contrler le plus grand nombre dordinateurs (aussi
connus sous le nom de robots ou de zombies). Nous verrons plus tard le type
de techniques qui sont utilises pour arriver cette fin. Nous retiendrons
pour le moment que les outils dvelopps par les botmasters sont
extrmement perfectionns et les plus grands botnets contrlent des
centaines de milliers dordinateurs (Nazario & al, 2008). Le contrle des
botmasters sur les zombies est total; toutes les ressources de lordinateur
infect par un botmaster sont la disposition de celui-ci. Il peut donc autant
avoir accs aux donnes localises sur le disque dur qu la connexion
rseau. Les cibles des botmasters sont des plus diverses : il sagit autant
dordinateurs personnels que de serveurs dentreprises (Nazario & al, 2008).
6

Les botmasters commettent des infractions en deux temps lorsquils

simpliquent dans la gestion de botnets. Ils commettent tout dabord un crime
en prenant le contrle dordinateurs qui ne leur appartiennent pas. Ils
commettent ensuite une deuxime srie de crime en utilisant ces ordinateurs
des fins criminelles. Cette richesse criminelle pose un problme intressant
aux criminologues, et ce, plusieurs niveaux.
Tout dabord, limpact des botnets sur les rseaux mondiaux est
majeur. Nous verrons plus en dtail le fonctionnement des botnets, mais
comme ceux-ci ont accs aux donnes enregistres sur les disques durs des
ordinateurs infects, il leur est possible de siphonner des informations
financires personnelles (identifiants, mots de passe, rapports dimpts) ainsi
que des secrets corporatifs. La valeur des donnes ainsi voles na jamais t
quantifie, mais devant lampleur des botnets (Nazario & al, 2008), elle ne
peut qutre faramineuse. Les propritaires des zombies doivent aussi
dpenser dimportantes sommes pour se protger et nettoyer les ordinateurs
infects. Des techniques simples comme lutilisation dun routeur ou
linstallation de logiciels antivirus offrent une protection relativement bonne
et abordable aux consommateurs, mais les entreprises, universits et autres
institutions doivent dbourser dnormes sommes pour se prmunir contre
les attaques des botmasters qui tentent de prendre le contrle de leurs
systmes. Les botnets sont aussi trs gourmands en bande passante et
peuvent donc augmenter significativement la facture des propritaires de
systmes infects.
Les botnets jouent aussi grand rle de facilitateur dans le monde des
cybercrimes. Les botmasters ont deux matires premires trs recherches
par les dlinquants : des informations et des ressources informatiques. Ces
derniers recherchent des informations pour pouvoir en tirer profit (vol
didentit, fraude par carte de crdit, chantage). Ils recherchent galement
des ressources informatiques pour mener bien leurs crimes tels lenvoi de
pourriel ou encore les attaques distribues par dni de service. Sans les
oprateurs

de

botnets,

ces criminels

devraient eux-mmes parcourir

linternet la recherche dinformations ou encore programmer des logiciels

leur permettant dattaquer des serveurs web. Les botnets offrent donc un
service cl en main quiconque tente sa chance dans les cybercrimes et se
7

retrouvent donc au cur de ce que lon appelle communment les

cybercrimes. Ce terme peut dailleurs tre dfini dans son sens le plus large
comme lutilisation des technologies informatique dans le but de
commettre des activits illicites (Brenner, 2007 : p.13).
La position des botnets dans lunivers des cybercrimes est donc des
plus importantes. Nous verrons dans la prochaine section ce que la recherche
a pu dvelopper comme connaissances leur sujet au cours des dernires
annes ainsi que les lacunes que nous tenterons de combler au travers de
cette recherche.

Botmasters et botnets
La littrature sur le sujet des botnets commence prendre forme avec
plus dune centaine darticles et de livres recenss sur le sujet. Ceux-ci
arrivent maintenant dcrire avec une certaine prcision ce que nous
pourrions qualifier de script des botnets (Cornish, 1994). Notre revue de
littrature suivra ce script du dbut la fin et nous permettra de mieux
comprendre le fonctionnent dun botnet.
Afin de btir un botnet, deux options soffrent au botmaster. Il peut
tenter de programmer lui-mme un logiciel ou encore en acheter un cl en
main (Binsalleeh, 2010). La premire option est de moins en moins
attrayante pour le criminel moyen. Elle ncessite en effet la programmation
dun nombre important de modules ayant chacun une tche spcifique : 1)
exploiter des vulnrabilits (pour prendre le contrle dordinateurs); 2) centre
de communication (pour envoyer des ordres aux zombies); 3) centre de
gestion (pour grer les ordinateurs infects) et; 4) des vecteurs dattaques.
Produire un logiciel de contrle de botnet est donc un travail exigeant qui
demande des comptences dans plusieurs domaines. Heureusement pour les
cybercriminels, ils ont leur disposition plusieurs logiciels cls en main qui
sont mis en vente sur le march noir (Binsalleeh, 2010). Il existe un nombre
important de tels programmes (phpBot, Zeus, SpyBot, Agobot) qui possdent
chacun leurs caractristiques propres. Leur plus grand avantage est quils
permettent dautomatiser la quasi-totalit des tches quun oprateur de
botnet

doit

entreprendre

de

linfection

dordinateurs

au

contrle

de

linformation collecte (Shirley). Certains de ces programmes sont distribus

gratuitement alors que les plus performants sont vendus sous forme de
licences annuelles qui possdent des mcanismes de gestion qui empchent
de les copier et ainsi de les installer sur plusieurs ordinateurs la fois
(Binsalleeh, 2010).
Une fois le programme install, loprateur de botnet doit tenter de
prendre le contrle dordinateurs et de serveurs vulnrables sur linternet. Il
dispose ici de trois vecteurs dattaques (Kiran-Kola, 2008). Le premier est
lexploitation de failles de vulnrabilits. Chaque ordinateur infect tente,
laide dune faille de scurit, dexcuter du code malicieux sur un ordinateur
auquel il se connecte. Traditionnellement, les zombies vont dabord tenter
dinfecter les machines qui sont sur leur rseau local pour ensuite se tourner
vers les machines inconnues sur linternet. Loprateur peut spcifier une
gamme dadresses IP spcifiques que chaque machine doit balayer afin de
maximiser son rayon daction. Le botmaster peut aussi utiliser les pices
jointes de courriel pour propager son botnet. Il automatise alors lenvoi de
courriel partir des carnets dadresses des ordinateurs zombies et joint une
copie de son logiciel chaque courriel envoy dans lespoir que le
rcipiendaire louvre et infecte ainsi son ordinateur. La dernire mthode de
transmission est la cl USB. Le logiciel de botnet se copie alors sur toutes les
cls USB qui se connectent au zombie et est ainsi transfr dordinateur en
ordinateur.
travers ces trois mthodes, loprateur de botnet ne cherche qu
mettre un pied dans de nouveaux systmes. Une fois cette premire tape
complte, le logiciel de botnet install cherche tlcharger une copie
complte du logiciel de contrle partir dun serveur du botmaster (Zhu & al,
2008). Ce logiciel de contrle indique lordinateur infect comment recevoir
des ordres du botmaster ainsi que comment les excuter. Le zombie reste
alors en veille jusqu ce quil reoive les instructions de son maitre. Il existe
quatre faons dtablir des connexions entre un botmaster et un zombie : 1)
les chambres IRC; 2) les serveurs HTTP; 3) les rseaux flux rapide et; 4) les
rseaux pairs pair (P2P).
Les chambres IRC ont t loutil de prdilection des botmasters
pendant de nombreuses annes (Zhu & al, 2008), mais sont aujourdhui de
9

moins en moins utilises. Ces chambres IRC sont des outils de clavardage
sophistiqus qui permettent des individus dchange des messages ainsi
que des fichiers. Il est possible pour un zombie de se connecter une
chambre IRC et de lire les messages qui sy changent. Lorsque le botmaster
envoie un ordre, il est alors lu par tous les robots prsents dans la salle et
ceux-ci sexcutent alors. Ce type dinfrastructure permet au botmaster de
centraliser son

centre

de

commandement et ainsi

de

communiquer

efficacement avec ses robots qui sont toujours en attente dun ordre (Zhu &
al, 2008). Celui-ci peut aussi diviser son arme de zombies en plusieurs sousgroupes qui utilisent chacun des chambres IRC diffrentes. Ces chambres IRC
servent finalement faire parvenir aux ordinateurs infects des mises jour
de leur logiciel de contrle. Ce mode de communication souffre par contre de
graves lacunes au niveau de la scurit. Les services de police et les
chercheurs qui arrivent mettre la main sur une copie du logiciel de contrle
peuvent facilement identifier la chambre IRC laquelle tous les robots se
connectent pour ensuite en prendre le contrle ou tenter didentifier la
personne qui envoie les ordres. Cette mthode est donc trs efficace, mais
peu fiable (Zhu & al, 2008).
Afin de jouir dun plus grand niveau de scurit, les botmasters ont
dvelopp de nouveaux outils leur permettant de communiquer avec leurs
zombies laide de serveurs HTTP (Zhu & al, 2008). Au lieu de se connecter
une chambre IRC, les robots cherchent se connecter une page web qui
contient des instructions ou un lien vers une nouvelle version du logiciel de
contrle. Cette manire de fonctionner permet dviter des inconnus de
surveiller les activits du botnet. Il est en effet plus difficile dpier toutes les
connexions un serveur HTTP afin de compter le nombre dordinateurs
infects ainsi que leurs origines. Il est aussi plus facile de changer
priodiquement de serveur afin dviter tout traage. Mme si cette
technique ralentit quelque peu les efforts de dtection des forces de lordre, il
reste quune copie du logiciel de contrle permet de dterminer ladresse IP
du serveur du botmaster. Il est alors possible de le mettre hors service ou
dans certains cas, den prendre le contrle laide dun mandat (Zhu & al,
2008).

10

Lingniosit des botmasters ne sest pas dcourage devant les

efforts des chercheurs et des services de police pour les retracer. Ils ont alors
dcid dintgrer leurs logiciels de contrle des protocoles de flux rapide.
Figure 1 : Schmas dun rseau flux rapide

Dans un tel systme, les ordinateurs infects (bas du diagramme) se

connectent dautres ordinateurs infects (range du milieu) qui servent
rediriger leurs communications vers le serveur du botmaster (haut du
diagramme). Dans un tel systme, il est impossible pour les ordinateurs
infects du bas du diagramme de dterminer ladresse relle du serveur o
sont diriges leurs communications. tant donn que les ordinateurs qui
servent de relais changent toutes les minutes, il devient extrmement
difficile de retracer le chemin que suivent les messages envoys par le
botmaster. Ce systme hautement dynamique pose encore de srieux
problmes aux chercheurs et aux services de police qui tentent de retracer
les responsables qui se cachent derrire les botnets. tant donn le haut
niveau de sophistication requis par ce type dinfrastructure, un nombre trs
limit de botnets utilise les rseaux flux rapide, mais ce chiffre est appel
grandir dans les prochains mois (Nazario, 2008).
Les

botmasters

peuvent

aussi

finalement

tirer

avantage

des

technologies P2P pour faire transiter leurs messages (Wang & al, 2009). Dans
un tel scnario, le botmaster envoie un message un nombre restreint de
zombies qui transmettent leur tour le message dautres zombies et ainsi
de suite jusqu ce que tous les robots aient reu les ordres de leur matre.
Une telle faon de fonctionner demande plus de temps et un degr
relativement lev de sophistication, mais permet dviter les centres de
contrle et de commande. Par ailleurs, mme si une partie importante du
11

botnet est limine, celui-ci est toujours en mesure de fonctionner (Wang &
al, 2009).
Si les botmasters font tant deffort pour conserver et agrandir leur
botnet, cest avant tout en raison des avantages financiers et personnels que
de tels systmes procurent (Krebs, 2006). Nous reviendrons plus tard aux
motivations des individus, mais nous nous devons de noter que ces
avantages sont loin dtre ngligeables. Les botmasters nutilisent que
rarement leurs botnets des fins personnelles (Thomas & al, 2006). Ils vont
plutt avoir tendance retourner sur le march noir o ils ont achet leur
logiciel de botnet afin de vendre leurs services. Ceux-ci se divisent
traditionnellement en six grandes catgories : 1) lenvoi de pourriels; 2) les
DDOS; 3) la fraude par clic; 4) linstallation de logiciels publicitaires; 5)
lanonymisation du trafic internet et; 6) le vol dinformation.
Les services de courriels ont su dvelopper de puissants filtres afin de
dtecter rapidement lorigine des pourriels et bloquer tous les messages
subsquents. Un botnet permet donc de distribuer la source de campagnes
de pourriels sur des milliers dordinateurs qui nenvoient alors quun petit
nombre de pourriels chacun. Cette mthode denvoi est beaucoup plus
discrte et permet de rejoindre un nombre important de cibles sans faire
sonner dalarmes (Banday, 2009). Chaque ordinateur peut aussi recevoir des
instructions pour modifier alatoirement une partie du message afin de
rendre les pourriels encore plus difficiles identifier. Une telle distribution du
travail est aussi mortellement efficace dans le cas des DDOS. Dans ce type
dattaque, le botmaster cherche inonder un ordinateur de requtes afin
quil ne soit plus en mesure de rpondre aux demandes lgitimes de ses
utilisateurs. En utilisant des dizaines de milliers dordinateurs connects
linternet haut dbit, il devient pratiquement impossible de dterminer
lorigine de lattaque qui semble venir des quatre coins de la plante. Mme
les meilleurs serveurs de la plante ont de la difficult survivre une
attaque dune telle intensit (voir Ars Technica (2010) pour un exemple des
attaques du groupe Anonymous sur les serveurs de compagnies de carte de
crdit2). Les botnets ne servent pas seulement des fins destructrices
2 Certaines compagnies arrivent mieux que dautres rsister de telles
attaques voir BBC (2010).
12

comme dans le cas des DDOS. Les botmasters louent aussi leurs rseaux de
zombies afin de gnrer du trafic sur des sites qui reoivent alors de plus
grands revenus publicitaires, un processus mieux connu sous le nom de
fraude par clic (Banday, 2009). Les botmasters obtiennent alors une partie
des gains supplmentaires ainsi gnrs. Ces derniers peuvent aussi tre
rmunrs en change de linstallation de logiciels publicitaires sur les
ordinateurs zombies (Banday, 2009). Ces logiciels vont afficher sur les
ordinateurs des personnes infectes des publicits et chaque installation du
logiciel permet au botmaster dobtenir une redevance. Les botmasters
peuvent dsinstaller puis rinstaller le logiciel plusieurs fois afin de
maximiser le rendement de chaque ordinateur infect. La plus rcente
innovation des botmasters vient de leur service danonymisation du trafic
(Krebs, 2011). Ce service permet des individus de faire transiter leur
connexion internet travers un ou plusieurs ordinateurs infects. Cela leur
permet de camoufler leurs traces ainsi que de modifier leur lieu dorigine. Ce
service est extrmement efficace pour cacher le point dorigine dune
connexion. La dernire fonction des botnets est le vol dinformation (Banday,
2009). Tel que mentionn prcdemment, les botmasters ont un accs total
linformation enregistre par lutilisateur dun zombie. Ainsi, ses identifiants,
ses mots de passe, ses rapports financiers, ses documents de travail sont
tous la porte du botmaster qui peut les voler pour ensuite les revendre au
plus offrant sur le march noir.
Cela nest pas la premire fois que nous parlons de ce march noir des
botnets. Il sagit en fait dun rseau de forums de discussions et de chambres
IRC o diverses activits criminelles se concentrent. Il est possible de sy
procurer le logiciel de contrle de botnet pour quelques centaines ou
quelques milliers de dollars, tout dpendant du type de fonctionnalits
requises (Schipka, 2009). Il est aussi possible de louer les services des
botnets dj actifs au mme endroit. Les prix demands sont affichs et les
ngociations

se

passent habituellement en

messages privs

ou

par

messagerie instantane (Thomas & al, 2006). Les botmasters recherchent

avant tout des clients long terme afin de rduire les cots de transaction.
Ce march criminel en vient devenir une vritable communaut avec sa
monnaie virtuelle (des transferts Western Union ou des devises virtuelles
13

comme WebMoney), ses rgles et ses coordonnateurs (Thomas & al, 2006).
Les administrateurs de ces marchs accordent tous les participants une
cote de fiabilit qui permet chacun de rduire les chances dtre tromp par
lautre partie dune transaction3. Nous verrons plus tard que ce point central
de communication est srement le meilleur endroit pour surveiller les
botmasters.
Bien que les botnets semblent tre des entreprises criminelles faites pour
durer (particulirement celles qui utilisent les rseaux flux rapide),
plusieurs chercheurs ont propos des techniques pour les attaquer. La
premire technique consiste prendre le contrle des centres de commandes
des botnets quil sagisse de chambres IRC ou de serveurs HTTP (Li, 2010). En
arrivant pntrer dans ces chambres ou ces serveurs, il devient alors
possible denvoyer lordre au logiciel de contrle de se dsinstaller ou encore
lui ordonner de se connecter des serveurs auxquels les botmasters nont
pas accs. En tant privs de leur lien de communication, les botmasters
perdent alors tout contrle sur leurs zombies. Une telle opration a t
mene terme par Microsoft rcemment et russit faire diminuer
significativement le nombre de pourriels envoys sur linternet (Krebs, 2011).
La deuxime technique consiste produire de linterfrence, et ce, deux
niveaux. Les chercheurs proposent tout dabord de faire croire au botmaster
quil contrle un plus grand nombre de zombies que dans la ralit laide de
faux ordinateurs infects qui ne sont en fait que des machines virtuelles (Li,
2010). Ces machines se connecteraient au centre de contrle et commande
du botmaster, mais ne ragiraient pas aux ordres de ce dernier. En arrivant
infiltrer un botnet avec un nombre relativement large de faux zombies,
lefficacit du botnet en est de beaucoup rduite au point de le rendre peu
intressant aux yeux de clients qui ne peuvent se fier sur les chiffres produits
par le botmaster. Celui-ci aura alors plus de difficult vendre ses services et
cela nuira ses activits criminelles. Lautre option est de crer de
linterfrence sur le march noir des botnets (Li, 2010). Plusieurs actions
peuvent tre prises comme la fausse location de service, la fausse
proposition de services ou encore la fermeture des forums de discussions qui
3 Franklin et al. (2007) offrent une bonne discussion des mesures mises en
place afin de rduire la fraude sur le march noir.
14

hbergent ces marchs. En augmentant les cots de transaction, il devient

alors moins rentable pour les botmasters qui devraient logiquement se
tourner vers dautres activits plus lucratives.

La recherche sur les botnets : temps pour un

changement de direction
Tel que dmontr dans la prcdente section, la littrature sur les
botnets est relativement imposante dans certains domaines, mais trs pauvre
dans

dautres.

Nous

comprenons

maintenant

relativement

bien

le

fonctionnement technique des botnets ainsi que le script criminel qui sy

rattache. Les botmasters achtent un logiciel sur le march noir et tentent
dinfecter le plus grand nombre possible de machines. Une fois quils ont
atteint un certain niveau dinfection, il leur est alors possible de louer leurs
machines infectes afin de remplir lun des six mandats que nous avons
dcrit ci-dessus. Bien quencore lmentaires, quelques techniques de
neutralisation ont t suggres, mais il reste les mettre en application. La
surveillance des botnets ne pose pas elle non plus normment de
problmes. Des sites comme Zeus Tracker ou Shadowserver Foundation
offrent des dcomptes quotidiens de la taille et de la localisation des botnets
actifs partout sur la plante. Nous apprenons ainsi que le botnet de type Zeus
est actif sur plus de 500 serveurs sur les cinq continents (avec une forte
concentration aux tats-Unis et en Europe). tant donn que la plupart des
botnets utilisent toujours des chambres IRC ainsi que des serveurs HTTP pour
communiquer, leur surveillance est relativement aise une fois que les
chercheurs ont russi capturer une copie du logiciel qui se propage sur
linternet.
Avec tant dinformations disponibles, la question se pose savoir
pourquoi ce type de crime, un des grands facilitateurs de la cybercriminalit,
est toujours aussi problmatique ce jour. En effet, plusieurs botnets ont t
mis hors dtat de nuire au cours des dernires sans pour autant diminuer
significativement le nombre de machines infectes. Une tude rcente notait
dailleurs

quune

bonne

partie

des

1000

plus

grandes

compagnies

amricaines taient infestes par des botnets (Krebs, 2010). tant donn nos

15

connaissances tendues de laspect technique du problme, nous devons

nous tourner vers laspect social des botnets. En effet, les tudes que nous
avons prsentes jusqu maintenant se concentrent particulirement sur les
botnets et mentionnent rgulirement les botmasters sans leur donner la
place quils mritent. Toutes ces recherches partent avec la prmisse que
quelquun, quelque part, contrle des dizaines de milliers dordinateurs
zombies, mais presque aucune dentre elles ne fait leffort de tenter de
comprendre qui se cache derrire ce terme de botmasters. Ces derniers
semblent exister et ce simple fait contente la communaut scientifique 4.
Notre position est que les botmasters ne sont pas que des tres mystrieux
qui devraient tre une arrire-pense des devis de recherche, mais bien le
centre de lattention des communauts scientifiques. Si nous continuons
nous intresser la technologie des botnets, nous serons ternellement une
tape derrire ceux qui la dveloppent. Afin de pouvoir avoir un impact sur le
phnomne des botnets, il devient de plus en plus urgent damasser un
savoir cohrent leur sujet si nous voulons les comprendre et btir une
rgulation sociale efficace. Comme nous lavons dmontr au dbut de ce
papier, les oprateurs de botnets sont des facilitateurs de plusieurs types de
crimes (DDOS, pourriels, fraudes, anonymisation, vols dinformations). En
russissant mieux comprendre leurs profils sociodmographiques, leurs
motivations, leurs relations les uns avec les autres, nous serons en mesure de
mieux les dtecter et de mieux les contrler.
Cette recherche a donc pour objectif principal de dresser un portait des
oprateurs de botnets. Pour ce faire, nous utiliserons les sources cites dans
notre

revue

de

littrature

ci-dessus.

Les

informations

relatives

aux

botmasters sont souvent implicites et notre tche sera donc de les faire
ressortir au grand jour et de les compiler dans un tout cohrent. Nous
utiliserons aussi certaines sources journalistiques reconnues afin de bonifier
les informations dj connues. Certains articles produits par le sujet par des
journalistes comme Brian Krebs (anciennement du Washington Post) offrent

4 Dautres pourraient argumenter leffet que les chercheurs ne disposent

pas des outils ncessaires ltude de la dimension sociale. La prsente
tude se veut la preuve de la non-recevabilit dun tel argument.
16

un produit srieux et rigoureux qui na que trs peu envier aux recherches
dans le domaine.
Notre portrait des oprateurs de botnets se divisera en cinq
catgories : 1) profil sociodmographique; 2) profil psychologique; 3)
motivation; 4) relations personnelles et professionnelles et; 5) capacit
technique. Nous esprons ainsi dresser un portrait aussi complet que possible
de ce type de criminel dans un cadre descriptif. Nos donnes seront par la
suite analyses la lumire de la classification des caractristiques de
lorganisation de sous-cultures dviantes de Best et Luckenbill (1994). Ce
cadre thorique affirme quil existe quatre niveaux dans la sophistication des
groupes dviants. Les solitaires sont le plus lmentaires de tous et
sassocient trs peu les uns avec les autres. Ils ne vont que rarement
commettre des dlits avec dautres codlinquants. Les collgues crent une
sous-culture dviante et partagent un certain savoir commun. Il nexiste ici
encore que peu de cas de codlinquance et aucune division du travail. Les
pairs ont toutes les caractristiques des collgues, mais commettent des
crimes avec dautres individus. Ces associations sont lmentaires et ne
durent pas dans le temps. Finalement, les quipes forment la catgorie la
plus sophistique. Leurs associations de criminels sont plus stables dans le
temps et se partagent les tches afin de maximiser leur efficacit criminelle.
Nous pourrons, la lumire de ce cadre thorique, mieux dfinir le niveau de
sophistication des botmasters et ainsi mieux identifier la menace quils
posent et les meilleurs moyens de les rguler.

Les botmasters
Le profil sociodmographique
Nous

avons

sociodmographique

trs

des

peu

de

oprateurs

connaissances
de

botnet.

Les

sur
seules

le

profil

donnes

disponibles proviennent des crits de journalistes qui ont interview des

botmasters (Krebs, 2010). Il ressort de ces recherches quils sont des
hommes gs entre 19 et 31 ans. Ils nont pas dorigine spcifique venant
dEurope comme des tats-Unis. Leur niveau scolaire est relativement bas
avec certains individus qui ont frquent luniversit sans la terminer alors

17

que dautres nont mme pas termin leur secondaire. Il semble surtout sagir
de caucasiens qui contrlent en moyenne quelques dizaines de milliers de
zombies dans leurs botnets.
Plusieurs dentre eux gagnent dimportantes sommes dargent (Krebs,
2010). Tout dpendant de la source mentionne, les botmasters peuvent se
faire de quelques milliers quelques dizaines de milliers de dollars par mois
pour un nombre trs limit dheures de travail. Selon les recherches, un
botnet se loue en moyenne 0.04$/robot et les botmasters reoivent entre
0.05$ et 0.25$ par logiciel publicitaire quils installent. Selon une firme qui
offre de rmunrer pour linstallation de logiciels publicitaires, un botnet de
5000 robots peut gnrer jusqu 22 000$ de revenus par mois.
Les botmasters nont pas investir un nombre dheures trs important
pour grer leur botnet qui est la plupart du temps sur ce que lon pourrait
qualifier dautopilote (Krebs, 2010). Aucun auteur ne sest intress jusqu
maintenant au nombre dheures requis afin de btir un botnet proprement
parl. Il devient donc difficile dtablir des comparaisons entre ces pirates et
dautres catgories de cybercriminels. Les lacunes dans ce domaine sont
donc importantes et de nouvelles techniques devront tre utilises pour
combler ce dficit dans les connaissances.

Le profil psychologique
Il existe aussi trs peu de donnes sur le profil psychologique des
botmasters. Un article relate les doutes et le sentiment de culpabilit
quprouve un botmaster face ses actions. Il comprend quil commet des
crimes qui pourraient lenvoyer en prison et prouve du stress et des
remords. Larticle nous apprend que ces sentiments auront raison de ses
activits illicites. Ce cas est possiblement diffrent des autres, car il relate les
problmes dun individu plus jeune qui vit toujours chez ses parents malgr
les revenus importants quil reoit.
Dautres botmasters un peu plus gs font preuve de pense magique
ainsi quune grande impulsivit. Ils ont aussi de la difficult vivre avec les
dlais et les refus. Lauteur relate ici le cas de trois oprateurs de botnet
espagnols, qui, une fois arrts, ont tent de se faire embaucher par la
compagnie de scurit informatique qui les avait dmasqus. Ils espraient

18

que leur exprience criminelle ferait deux des employs intressants pour la
compagnie. Ils taient trs presss de passer au travers du processus
dembauche tant donn leur situation prcaire. Nous pouvons donc
supposer que ces derniers dilapidaient leurs revenus aussi rapidement quils
ne le gagnaient. Lorsquils se sont finalement refus un emploi, les
botmasters ont alors menac de divulguer des failles de scurit et de
sattaquer la compagnie en question une attitude plus proche dun enfant
boudeur que de celle dun grand dlinquant antisocial.
En tudiant la littrature, nous pouvons identifier certains autres traits
en lien avec le profil psychologique des botmasters. Ce sont tout dabord des
individus qui ont un sens de la toute-puissance et de linvincibilit. Plusieurs
chercheurs affirment que les forums o se transigent les informations et les
services des botnets sont ouverts tous. Les botmasters nhsitent pas y
afficher leurs courriels ou encore leur compte de messagerie instantane
ainsi que les services quils sont prts offrir. Cela revient offrir une piste
aux enquteurs ainsi quune liste de leurs dlits. Ils affirment donc quils
nont que peu de crainte de se faire arrter et ce sentiment est
potentiellement renforc par le faible nombre darrestations doprateurs de
botnets ainsi que le fait que plusieurs juridictions ne reconnaissent toujours
pas cette activit comme un crime (comme en Espagne par exemple).
Les botmasters font aussi preuve dun faible sens thique deux
niveaux. Tout dabord, ils commettent des infractions criminelles diversifies
sur une certaine priode de temps. Btir un botnet ne se ralise pas en
quelques minutes et comme nous lavons mentionn ci-dessus, il est
ncessaire dinvestir dans un logiciel de contrle ou tout le moins de faire
des recherches pour en tlcharger un. Cela demande un investissement
dans une dlinquance organise qui rfre un sens thique relativement
faible. Par ailleurs, les botmasters voluent dans un milieu peu structur et
peu rgul . Ils doivent pourtant ngocier et interagir avec les partenaires
qui leur vendent les logiciels de contrle ainsi que les personnes qui louent
leurs services. Il arrive constamment que les ententes ne soient pas
respectes par lune ou lautre des parties

(Thomas & al, 2006). Dans ce

contexte, le sens moral, sans aucune surprise, doit tre considr comme
faible chez les botmasters.
19

La motivation
La motivation des botmasters semble tre largent. Toutes les tudes
concordent dailleurs sur ce sujet : lobjectif de tout botmaster est de faire le
maximum de gains. Cela est reprsentatif de la diversit des activits des
botnets. tant donn le nombre grandissant de botnets actifs, les botmasters
doivent encore et toujours trouver de nouvelles activits pour se dmarquer
et offrir un produit plus comptitif. Cest pour cette raison que nous avons vu
rcemment lapparition de services danonymisation de trafic, service qui
ntait pas cit comme une activit des botmasters encore tout rcemment.
tant donn les sommes importantes que les botnets gnrent, il nest gure
tonnant de voir les botmasters investir autant dans la recherche de
nouveaux ordinateurs contrler.
De manire surprenante, les tudes ne font pas de cas de la rputation
comme tant un lment important chez les botmasters. Plusieurs autres
types de criminalit informatique comme la scne des warez (Rehn, 2003)
considrent que la rputation et la valeur dun pirate sont les choses les plus
importantes. Nous navons pas t en mesure de constater limpact dun tel
combat chez les oprateurs de botnets. Le ct affaire des botnets aurait
donc pris entirement le dessus sur de vaines querelles dego.

Les relations personnelles et professionnelles

Plusieurs recherchent affirment que les botmasters convergent vers

des lieux centraux

(Thomas & al, 2006). Ces forums de discussions et

chambres IRC sont des lieux o les dlinquants peuvent partager leurs
expriences et tenter damliorer leurs capacits. Il sagit donc ici de
relations positives dans lensemble. Il existe bien quelques dissensions et
conflits entre les participants, mais en gnral le sentiment dappartenir
une communaut ferme lemporte sur les querelles.
Toutes les relations entre botmasters ne sont cependant pas dans un
mode aussi transparent. Les oprateurs de botnets se livrent en effet des
guerres qui visent subtiliser les botnets des adversaires (Friess, 2007). En
prenant le contrle de la chambre IRC dautres botmasters, un dlinquant
peut facilement augmenter de plusieurs dizaines de milliers de zombies sont
propre rseau. Les versions les plus rcentes des logiciels de contrle tentent

20

donc deffacer toutes traces dautres logiciels de botnet avant de sinstaller.

Les plus grands oprateurs sont aussi constamment la recherche de centres
de contrle vulnrables afin daugmenter rapidement et avec peu defforts
leurs rseaux. Tous les coups sont ainsi permis et certaines alliances
temporaires peuvent se crer afin de renforcer temporairement un rseau
contre les attaques.
Les botmasters doivent aussi composer avec des partenaires daffaires
qui ne veulent pas toujours leur bien. tant donn le manque de rgulation
du monde interlope, les botmasters doivent faire confiance aux individus qui
louent leurs services. Les paiements manquent souvent et la confiance est
dure tablir (Stone-Gross, 2011). Les vols de services sont courants tout
comme les dfauts de paiement.
Lunivers des botnets est donc un environnement hostile pour les
botmasters qui doivent se mfier non seulement des forces de lordre, mais
aussi des autres participants de leurs communauts. Un tel contexte ne peut
tre que gnrateur dune grande quantit de stress et de tension interne.
Par ailleurs, les botmasters ne disposent daucun revenu garantit. Cex deux
facteurs pourraient expliquer pourquoi on ne retrouve que de jeunes
oprateurs de botnets, les plus vieux prenant leur retraite un ge
relativement jeune.

Les capacits techniques

Les chercheurs sentendent pour dire que la majorit des botmasters
nont que de faibles capacits techniques (Fucs & al). Ils nont en effet pas
vraiment dducation formelle comme nous lavons. Un chercheur relate que
les oprateurs savent programmer

(Krebs, 2006) et mme que lun deux

sest lanc dans le domaine lge prcoce de 14 ans. La plupart dentre eux
utilisent par contre des logiciels de contrle cl en main et les recherchent
prouvent quils ne sont pas en mesure de modifier le code source quils
achtent. Il sagit donc surtout de jeunes qui maximisent leur potentiel
criminel en utilisant les outils disponibles. Il serait donc intressant de
sintresser dans des recherches futures aux personnes qui programment les
logiciels de contrle et qui permettent ainsi aux masses de botmasters de se
lancer dans la vie dlinquante. Il est par contre possiblement trop tard pour

21

faire disparaitre ces logiciels de contrle de linternet. Une fois distribue,

une information ne peut disparaitre totalement de linternet.
Il est important de noter que, malgr leurs capacits limites, les
botmasters sont d'ordinaire assez prudents. Ils savent quil est ncessaire de
crypter ses communications et dutiliser des services danomysation du trafic
afin de camoufler ses traces. Certains vont relcher leur garde quelques
instants et seront alors rapidement identifis (Krebs, 2010), mais leurs
capacits limites programmer ne devraient pas faire oublier quils
disposent dune bonne connaissance du fonctionnement de linternet et quils
discutent entre eux des meilleurs moyens de protger leur identit.

Les botmasters : solitaires, pairs, collgues ou

quipes?
La section prcdente nous a permis de faire linventaire des
connaissances actuelles sur les botmasters. Il ressort de cette analyse que
les botmasters pourraient tre classifis comme des quipes selon la
typologie de Best et Luckenbill (1994). Nous avons donc affaire ici au niveau
le plus dvelopp de la dlinquance.
Il existe en effet une division claire du travail entre ceux qui produisent
les logiciels, ceux qui les utilisent et ceux qui profitent des donnes ainsi
recueillies. La collaboration entre ces diffrents groupes est dj bien
cimente et les contacts sont facilits par des chambres IRC et des forums de
discussion en ligne qui permettent tous de vendre et dacheter des services
en plus de demander de laide. Le fait que ces individus se spcialisent dans
lune ou lautre des activits permet aussi de croire quils ont atteint un
certain niveau de sophistication et defficacit qui donne peu de chances aux
services de police qui tente de les contrler.
La construction dun botnet demandant un certain investissement dans
le temps, ces structures auront tendance survivre pendant une certaine
priode de temps. Plusieurs sites offrent la possibilit de suivre lvolution
des diffrents botnets (ZeusTracker, ShadowServer Foundation). Les donnes
issues de ces sites viennent confirmer cette affirmation. Tel que mentionn

22

plus tt dans le texte, les criminels recherchent avant tout des clients stables
afin de minimiser les cots de transaction.
Au niveau technologique, les botmasters peuvnet maintenant compter
sur des logiciels malveillants la fine pointe de la technologie qui permettent
dencrypter les donnes transfres, dutiliser des proxy et de cibler les
informations collectes sur chaque ordinateur infect. Une fois lanc sur
Internet, ces logiciels malveillants infectent continuellement de nouveaux
systmes sans intervention du botmaster qui peut alors se concentrer sur la
gestion de son poste de commandement.
Le constat que nous posons ici devrait tre un signal dalarme pour les
services de police qui sintressent au problme. Devant un tel degr de
sophistication, ces derniers devront investir dimportantes ressources si elles
veulent rsussir endiguer le flot de zombies qui grossit sur une base
quotidienne. Les botnets sont maintenant sous le contrle dun crime
organis et lapproche des policiers devra tenir compte de ce fait. Des
arrestations alatoires ne seront ici que de peu dutilit. Les joueurs
stratgiques devraient plutt tre identifis par les services de lordre afin de
maximiser limpact des ressources investies. Nous avons dmontr dans ce
travail comment les botmasters dpendaient des producteurs de logiciels
malveillants. Cette catgorie de pirates nous semble tre une cible prioritaire
afin de tarir le flot de nouveaux logiciels toujours plus sophistiqus. Les
enqutes subsquentes pourraient par la suite se concentrer sur les
botmasters notamment en sattaquant aux revenus illicites quils retirent de
la location de leurs botnets. Ce nest quen adoptant une stratgie
dintervention

consquente

que

les

services

de

lordre

pourront

vritablement avoir un impact sur la communaut des botnets.

Les oprateurs de botnets et leurs codlinquants forment maintenant
une communaut mature similaire celle du piratage de proprit
intellectuelle (Rehn, 2003). Nous verrons dans la conclusion que les limites du
contrle social les visant peuvent tre contournes et quil est toujours
possible de trouver une faille permettant damasser des donnes leur sujet.

23

Conclusion
Les cybercrimes sont une problmatique qui attire de plus en plus le
regard des chercheurs et des journalistes. Ce papier se voulait une premire
incursion dans le monde encore peu connu des botmasters. Nous avons t
en mesure de constater le faible niveau de connaissances disponibles leur
sujet. Malgr cette limite, les lments actuels de connaissance semblent
indiquer que les botmasters sont surtout de jeunes hommes peu duqus qui
arrivent amasser des sommes importantes travers leurs activits
criminelles. Ils ont un faible sens de lthique, sont capables dprouver des
remords et font preuve dune certaine impulsivit. Ils sont motivs par
largent et voluent dans un environnement hostile o les alliances se font et
se dfont. Ils peuvent obtenir de laide auprs de certains de leurs collgues,
mais doivent toujours se mfier dautres botmasters qui voudraient voler
leurs zombies. Ils possdent des capacits techniques limites, mais cela ne
les empche pas de btir des botnets comprenant plusieurs dizaines de
milliers de robots.
Nous pensons quil est urgent que les chercheurs concentrent leur
attention sur ces individus plutt que sur les rseaux quils btissent. Pour
chaque botnet qui est mis hors dtat, deux autres repoussent tant donn
que les botmasters ne sont jamais arrts et quils conservent toujours une
copie de leur logiciel de contrle ce qui leur permet de repartir neuf mme
si leur botnet est compltement dmantel. Afin darriver amasser plus de
connaissances sur ces individus, nous proposons une approche en deux
temps.
Les chercheurs peuvent dores et dj accder au march noir sur
lequel voluent ces pirates. Il devient alors trs ais de faire une copie de
toutes les discussions publiques des botmasters et ainsi de tenter den
apprendre plus sur leurs profils et leurs caractristiques. Des outils
permettent dautomatiser le processus (Web Scraper+ par exemple) et il est
aussi possible denregistrer automatiquement toutes les conversations dune
chambre IRC en particulier. Ces lieux de convergence des pirates pourraient
aussi permettre aux chercheurs dentrer en contact avec les botmasters euxmmes afin de tenter den apprendre davantage sur eux. Les criminels

24

rpondent habituellement bien de telles aventures

(Taylor, 1999) et la

technique pourrait tre ici des plus utile pour btir une ethnographie de la
communaut des botmasters.
Les chercheurs pourraient aussi tirer des donnes intressantes des
quelques dossiers denqutes policires qui ont vis des botmasters. Bien
que rares, ces enqutes sont souvent des sources importantes de donnes
qui comprennent des quantits impressionnantes de journaux de clavardage
riches en informations. Les policiers ont aussi la capacit de dresser des
portraits exhaustifs des individus impliqus et donc de fournir un profil
complet des botmasters.
Bien quimportants, les botmasters ne doivent pas devenir le seul
centre dattention des chercheurs. Les dveloppements technologiques sont
rapides dans le domaine des botnets et il sera important de maintenir nos
connaissances jour. Au cours des derniers mois, nous avons t tmoin de
la cration dun nouveau type de botnet qui utilise les tlphones cellulaires
Android plutt que des ordinateurs comme hte. Cette innovation ouvre un
nouveau champ dapplication pour les botmasters et de tels dveloppements
nous rappellent quel point de grands efforts seront ncessaires afin de
comprendre le phnomne des botnets au cours des prochaines annes.
Avec leur rle de facilitateur, les botnets offrent une cible de choix
quiconque voudrait en apprendre plus sur les cybercrimes et tenter de
rguler cette criminalit. La connaissance est ici, comme sur linternet, la cl
du succs. Cette recherche est un premier pas dans la bonne direction et
nous esprons que les pistes lances ici permettront dautres de porter
encore plus loin le flambeau des connaissances.

25

Rfrences
Alexander K. Seewald, W. N. G. (2010). "On the detection and identification of
botnets." Computers And Security 29: 45-58.
Alper Caglayan, M. T., Dan Drapeau, Dustin Burke and Gerry Eaton (2009).
"Real-Time Detection of Fast Flux Service Networks". Cybersecurity
Applications & Technology Conference For Homeland Security.
Anderson, N. (2007). "Vint Cerf: One Quarter Of All Computers Part Of A
Botnet". Ars Technica.
Ard, C. (2007). "Botnet Analysis." International Journal Of Forensic Computer
Science 1: 65-74.
Banday, M. T., Qadri, J.A., Shah, N.A. (2009). "Study Of Botnets And Their
Threats To Internet Security." Sprouts: Working Papers On Information
Systems 9(24): 2-12.
Barroso, D. (2007). "Botnets The Silent Threat". European Network And
Information Security Agency.
BBC (2010). "Pro-Wikileaks activists abandon Amazon cyber attack".
Rcupr au: http://www.bbc.co.uk/news/technology-11957367.
Best, J., Luckenbill, D. (1994). "Organizing Deviance, 2nd edition". New Jersey:
Prentice Hall.
Corbin, J., and A. Strauss. (I990). "Grounded theory research: Procedures,
canons, and evaluative criteria". Qualitative Sociology 13 (1): 3-21.
Binsalleeh, H., Ormerod, T., Boukhtouta, A., Sinha, P., Youssef, A., Debbabi, M.,
Wang, L. (2010). "On The Analysis Of The Zeus Botnet Crimeware Toolkit".
Privacy Security And Trust. Ottawa, Ontario, p.31-p.38.
Bleaken, D. (2010). "Botwars: The Fight Against Criminal Cyber Networks".
Rcupr au: http://www.symantec.com/connect/blogs/botwars-fightagainst-criminal-cyber-networks.
Bosker, B. (2010). ). "Visa DOWN: WikiLeaks Suporters Take Down Site As
Payback". Rcupr au : http://www.huffingtonpost.com/2010/12/08/visadown-wikileaks-suppo_n_794039.html.
Brent ByungHoon Kang, E. C.-T., Christopher P. Lee, James Tyra, Hun Jeong
Kang, Chris Nunnery, Zachariah Wadler, Greg Sinclair, Nicholas Hopper,
26

David Dagon, Yongdae Kim (2009). "Towards Complete Node Enumeration

in a Peer-to-Peer Botnet". ASIACCS. Sydney, Australie.
Calce, M., Silverman, C. (2008). "Mafiaboy : How I Cracked The Internet And
Why Its Still Broken". Viking: Canada, Ontario.
Carlton R. Davis, S. N., Josee M. Fernandez, Jean-Marc Robert, John McHugh
(2008). "Structured Peer-to-Peer Overlay Networks: Ideal Botnets
Command and Control Infrastructures?" Computer Science 5283: 461-480.
CERT (16 aot 2010). "CERT-FI Advisory on the Outpost24 TCP Issues".
Rcupr au : https://www.cert.fi/haavoittuvuudet/2008/tcpvulnerabilities.html.
Christian Rossow, C. D., Dr Norbert Pohlmann (2009). "Botnets - Litterature
Survey And Report". Ministre de l'Innovation de lAllemagne.
Cornish, D. (1994). "The Procedural Analysis Of Offending And Its Relevence
For Situational Prevention". Crime Prevention Studies 3 p151-p196.
D. Dagon, C. Zou, andW. Lee (2006). "Modeling botnet propagation using time
zones". 13th Network and Distributed System Security Symposium
(NDSS).
Fogie, S. (20 dcembre 2002). "Close Encounters Of The Hacker Kind: A Story
From The Front Line". InformIT.
Franklin, J., Perrig, A., Paxson, V. Savage, S (2007). "An Inquiry Into The
Nature And Causes Of The Wealth Of Internet Miscreants". Conference On
Computer And Communications Security.
F. Freiling, T. Holz, and G. Wicherski (2005). "Botnet tracking: Exploring a root
cause methodology to preventing denial-of-service attacks". 10th
European Symposium on Research in Computer Security (ESORICS).
Fucs, A., de Barros, p., Pereira, P. "New botnets trends and threats". Rcupr
au :
http://www.blackhat.com/presentations/bh-europe-07/Fucs-Paes-de-BarrosPereira/Whitepaper/bh-eu-07-barros-WP.pdf
Google (2011). "Statistiques dutilisation dinternet". Rcupr au :
http://www.google.com/publicdata?ds=wbwdi&met=it_net_user_p2&idim=country:CAN&dl=en&hl=en&q=internet+
usage#met=it_net_user_p2&idim=country:CAN&tdim=true
Higgins, K. J. (2007). "The World's Biggest Botnets."
27

Hudson, S. (2007). "An Analysis Of Botnet Vulnerabilities". Department Of The

Air Force, Air Force Institute Of Technology.
Joan Calvet, C. R. D., Pierre-Marc Bureau (2009). "Malware Authors Dont
Learn, and Thats Good! ". 4th International Conference On Malicious and
Unwanted Software. Montreal, Canada: 88-97.
Jose Nazario, T. H. (2008). "As the Net Churns: Fast-Flux Botnet Observations".
3rd International Conference on Malicious and Unwanted Software.
Fairfax, USA.
Katsumi Ono, I. K., Toshihiko Kamon (2007). "Trend of Botnet Activities". 41st
Annual IEEE International Carnahan Conference On Security Technology.
Ottawa, Canada: 243-249.
Ken Dunham, J. M. (2008). "Malicious Bots: An Inside Look into the CyberCriminal Underground of the Internet". Auerbach Publications.
Krebs, B. (16 aot 2005). "Adware Firm Accuses 7 Distributors Of Using
Botnets". Washington Post.
Krebs, B. (19 fvrier 2006). "Invasion Of The Computer Snatchers".
Washington Post.
Krebs, B. (21 mars 2006). "Bringing Botnets Out Of The Shadows".
Washington Post.
Krebs, B. (Mai 2010). "Accused Mariposa Botnet Operators Sought Jobs At
Spanish Security Firm". Rcupr au:
http://krebsonsecurity.com/2010/05/accused-mariposa-botnet-operatorssought-jobs-at-spanish-security-firm/.
Krebs, B. (28 juillet 2010). "Alleged Mariposa Botnet Author Nabbed".
Rcupr au: http://krebsonsecurity.com/2010/07/alleged-mariposabotnet-author-nabbed/.
Krebs, B. (11 avril 2011). "Is Your Computer Listed For Rent? ". Rcupr au:
http://krebsonsecurity.com/2011/04/is-your-computer-listed-for-rent/
McMullan. J, Perrier, D. (2007). "The Security Of Gambling And Gambling With
Security: Hacking, Law Enforcement And Public Policy". International
Gambling Studies 7:1, p.43-p.58.
Mirkovic, J. (2004). "A Taxonomy Of DDOS Attack And DDOS Defense
Mechanisms". ACM SIGCOMM Computer Communication Review, 34:2.

28

Nazario, D. J. (2006). "Botnets The Silent Threat". Virus Bulletin. Montreal,

Canada.
Nazariom D.J. (2008). "DDOS Attack Evolution". Network Security, 2008:7,
p.7-p.10.
Nevena Vratonjic, M. H. M., Maxim Raya, Jean-Pierre Hubaux. "ISPs and Ad
Networks Against Botnet Ad Fraud."
Paul Craig, M. B. (2005). "Software Piracy Exposed". Rockalnd, MA, Syngress.
Pavel Celeda, R. K., Jan Vykopal, Martin Drasar (2010). "Embedded Malware
An Analysis of the Chuck Norris Botnet". European Conference On
Computer Network Defense.
Phifer, L. (18 fvrier 2011). "The Top 10 Botnet Events Of 2010". eSecurity
Planet.
Prince, B. (16 fvrier 2011). "RSA Conference: Researchers Go Inside the
Botnet Threat". eWeek.com.
M. A. Rajab, J. Zarfoss, F. Monrose, and A. Terzis (2006). "A multifaceted
approach to understanding the botnet phenomenon". IMC.
Rehn, A. (2003). "The politics of contraband: The honor economies of the
warez scene." Journal of Socio-Economics 33: 359-374.
Rogers, M. (2000). "A New Taxonomy".
Sabourin, C. (17 fvrier 2011). "Des ministres canadiens viss par une
cyberattaque venant de Chine." Rcupr au :
http://technaute.cyberpresse.ca/nouvelles/internet/201102/17/014371202-des-ministeres-canadiens-vises-par-une-cyberattaque-venant-dechine.php.
Saikat Guha, P. F. (2007). "Identity Trail: Covert Surveillance Using DNS". 7th
International Conference On Privacy Enhancing Technologies.
Sandeep Yadav, A. K. K. R., A.L. Narasimha Reddy, Supranamaya Ranjan
(2010). "Detecting Algorithmically Generated Malicious Domain Names".
ICM. Melbourne, Australie.
Schultz, E. (2006). "Where Have The Worms And Viruses Gone? New Trends In
Malware." Computer Fraud & Security(7): 4-8.
Shirley, B. "Botnet Literature Review."
Taylor, P. (1999). "Hackers: Crime In The Digital Sublime". New York:
Routledge.
29

Thomas, R., Martin, J. (2006). "The Underground Economy: Priceless". Login,

31:6.
R. Vogt, J. Aycock, M. J. Jacobson, and Jr (2007). "Army of botnets". NDSS.
P. Wang, S. Sparks, and C. C. Zou (2007). "An advanced hybrid peer-to-peer
botnet". First Workshop on Hot Topics in Understanding Botnets.
University of Central Florida.
West, M. (2008). "Threats That Computer Botnets Pose to International
Businesses". Department of Business, Youville College: 69.
Zhaosheng Zhu, G. L., Yan Chen, Zhi Judy Fu, Phil Roberts, Keesook Han
(2008). "Botnet Research Survey". Annual IEEE International Computer
Software and Applications Conference.
Zhen Li, Q. L., Aaron Striegel (2009). "Botnet Economics: Uncertainty
Matters." Managing Information Risk And The Economics Of Security: 245267.
Zhen Li, Q. L., Andrew Blaich, Aaron Striegel and 2 (2010). "Fighting botnets
with economic uncertainty." Security And Communication Networks.

30