Académique Documents
Professionnel Documents
Culture Documents
Mythe ou ralit?
David Dcary-Htu
INTRODUCTION.............................................................................. 4
LES COURTIERS DU CRIME.............................................................. 5
BOTMASTERS ET BOTNETS............................................................. 7
LA RECHERCHE SUR LES BOTNETS : TEMPS POUR UN CHANGEMENT
DE DIRECTION.............................................................................. 13
LES BOTMASTERS........................................................................ 15
LE PROFIL SOCIODMOGRAPHIQUE.........................................................15
LE PROFIL PSYCHOLOGIQUE.................................................................16
LA MOTIVATION................................................................................17
LES RELATIONS PERSONNELLES ET PROFESSIONNELLES................................18
LES CAPACITS TECHNIQUES................................................................19
LES BOTMASTERS : SOLITAIRES, PAIRS, COLLGUES OU QUIPES?. .19
CONCLUSION............................................................................... 21
RFRENCES................................................................................ 23
Introduction
Le phnomne criminel a vcu de profondes transformations au cours des
vingt dernires annes. La mondialisation et les innovations dans les
transports ont ouvert grand la porte la cration de trafics internationaux de
marchandises illicites (Schloenhardt, 1999). Les troubles politiques tant en
Europe de lEst quen Afrique ont favoris le trafic darmes, la corruption et
les marchs noirs (Williams, 1994). Sil est possible den connaitre davantage
si facilement sur ces problmatiques, cest en bonne partie grce la
dmocratisation de linformation amene par linternet. Ce mdium qui
rejoint maintenant une partie apprciable de la population mondiale (Google,
2011) est un puissant outil de communication. Linformation y circule la
vitesse de la lumire sans possibilit de la rguler. Ce manque de contrle a
vite t not par les dlinquants qui ont appris lutiliser leur avantage.
Alors que la criminalit informatique se concentrait autour de la fraude,
du vol de tlcommunication et de la cration de code malicieux dans les
annes 80, elle est aujourdhui une entreprise diversifie aux tentacules
mondiaux. Certains problmes ont particulirement attir lattention des
mdias et du public en gnral au cours des dernires annes.
Nous nous concentrerons au cours de cette recherche sur un type
particulier de cyberdlinquance, les botnets. Ces rseaux dordinateurs
pirats remplissent un rle de facilitateur de la criminalit informatique. Les
aspects techniques de cette criminalit sont aujourdhui relativement bien
tudis et surveills, mais on ne peut en dire de mme pour ce qui est du
ct social. Les individus qui crent et grent ces rseaux sont encore trs
peu connus de la communaut acadmique et des forces de lordre. Ce
papier cherchera donc faire un inventaire des connaissances actuelles sur
les botmasters, les individus qui dirigent ces rseaux. La premire partie de
ce travail exposera comment les botnets en sont venus jouer un rle de
facilitateur des cybercrimes. La deuxime partie passera en revue la
littrature actuelle sur les botnets. La troisime partie identifiera les
caractristiques principales des individus impliqus dans ce type de
(Krebs, 2011). En remplaant les pices originales par des fausses, les
dlinquants peuvent recueillir un panier important dinformations sans pour
autant alerter les employs ou les clients dune banque. Il existe aujourdhui
des forums accessibles tous (ex. : carding.cc) qui permettent aux fraudeurs
dentrer en contact avec des courtiers qui seront en mesure dutiliser ces
informations pour obtenir de largent (Thomas & al, 2006). Le dveloppement
de tels marchs noirs et surtout le nombre de cartes disponibles sur ces
marchs nous montre quel point lindustrie de la fraude sur internet est
rendue lucrative et imposante (Thomas & al, 2006).
Des crimes comme les attaques par dni de service distribu et la
fraude de cartes de crdit peuvent sembler tre des activits distinctes avec
peu de points en commun. La ralit est pourtant toute autre. Il existe en fait
un systme facilitateur du crime sur linternet qui permet ces deux types de
crimes, ainsi qu plusieurs autres, de se dvelopper et de se maintenir dans
le temps. Ce courtier du crime est encore peu connu et nous esprons avec
cette recherche permettre aux autres chercheurs ainsi quaux services de
police den connaitre un peu plus sur les individus qui en contrlent les
activits.
Les botnets
Un botnet rfre une collection dordinateurs compromis (les
robots) qui sont contrls par un botmaster (Li & al., 2009 : p.1). Cette
dfinition comporte trois lments soit les robots, la nation de contrle et le
botmaster. Le botmaster est la personne qui cre et gre le botnet. Son
objectif est darriver contrler le plus grand nombre dordinateurs (aussi
connus sous le nom de robots ou de zombies). Nous verrons plus tard le type
de techniques qui sont utilises pour arriver cette fin. Nous retiendrons
pour le moment que les outils dvelopps par les botmasters sont
extrmement perfectionns et les plus grands botnets contrlent des
centaines de milliers dordinateurs (Nazario & al, 2008). Le contrle des
botmasters sur les zombies est total; toutes les ressources de lordinateur
infect par un botmaster sont la disposition de celui-ci. Il peut donc autant
avoir accs aux donnes localises sur le disque dur qu la connexion
rseau. Les cibles des botmasters sont des plus diverses : il sagit autant
dordinateurs personnels que de serveurs dentreprises (Nazario & al, 2008).
6
de
botnets,
ces criminels
Botmasters et botnets
La littrature sur le sujet des botnets commence prendre forme avec
plus dune centaine darticles et de livres recenss sur le sujet. Ceux-ci
arrivent maintenant dcrire avec une certaine prcision ce que nous
pourrions qualifier de script des botnets (Cornish, 1994). Notre revue de
littrature suivra ce script du dbut la fin et nous permettra de mieux
comprendre le fonctionnent dun botnet.
Afin de btir un botnet, deux options soffrent au botmaster. Il peut
tenter de programmer lui-mme un logiciel ou encore en acheter un cl en
main (Binsalleeh, 2010). La premire option est de moins en moins
attrayante pour le criminel moyen. Elle ncessite en effet la programmation
dun nombre important de modules ayant chacun une tche spcifique : 1)
exploiter des vulnrabilits (pour prendre le contrle dordinateurs); 2) centre
de communication (pour envoyer des ordres aux zombies); 3) centre de
gestion (pour grer les ordinateurs infects) et; 4) des vecteurs dattaques.
Produire un logiciel de contrle de botnet est donc un travail exigeant qui
demande des comptences dans plusieurs domaines. Heureusement pour les
cybercriminels, ils ont leur disposition plusieurs logiciels cls en main qui
sont mis en vente sur le march noir (Binsalleeh, 2010). Il existe un nombre
important de tels programmes (phpBot, Zeus, SpyBot, Agobot) qui possdent
chacun leurs caractristiques propres. Leur plus grand avantage est quils
permettent dautomatiser la quasi-totalit des tches quun oprateur de
botnet
doit
entreprendre
de
linfection
dordinateurs
au
contrle
de
moins en moins utilises. Ces chambres IRC sont des outils de clavardage
sophistiqus qui permettent des individus dchange des messages ainsi
que des fichiers. Il est possible pour un zombie de se connecter une
chambre IRC et de lire les messages qui sy changent. Lorsque le botmaster
envoie un ordre, il est alors lu par tous les robots prsents dans la salle et
ceux-ci sexcutent alors. Ce type dinfrastructure permet au botmaster de
centraliser son
centre
de
commandement et ainsi
de
communiquer
efficacement avec ses robots qui sont toujours en attente dun ordre (Zhu &
al, 2008). Celui-ci peut aussi diviser son arme de zombies en plusieurs sousgroupes qui utilisent chacun des chambres IRC diffrentes. Ces chambres IRC
servent finalement faire parvenir aux ordinateurs infects des mises jour
de leur logiciel de contrle. Ce mode de communication souffre par contre de
graves lacunes au niveau de la scurit. Les services de police et les
chercheurs qui arrivent mettre la main sur une copie du logiciel de contrle
peuvent facilement identifier la chambre IRC laquelle tous les robots se
connectent pour ensuite en prendre le contrle ou tenter didentifier la
personne qui envoie les ordres. Cette mthode est donc trs efficace, mais
peu fiable (Zhu & al, 2008).
Afin de jouir dun plus grand niveau de scurit, les botmasters ont
dvelopp de nouveaux outils leur permettant de communiquer avec leurs
zombies laide de serveurs HTTP (Zhu & al, 2008). Au lieu de se connecter
une chambre IRC, les robots cherchent se connecter une page web qui
contient des instructions ou un lien vers une nouvelle version du logiciel de
contrle. Cette manire de fonctionner permet dviter des inconnus de
surveiller les activits du botnet. Il est en effet plus difficile dpier toutes les
connexions un serveur HTTP afin de compter le nombre dordinateurs
infects ainsi que leurs origines. Il est aussi plus facile de changer
priodiquement de serveur afin dviter tout traage. Mme si cette
technique ralentit quelque peu les efforts de dtection des forces de lordre, il
reste quune copie du logiciel de contrle permet de dterminer ladresse IP
du serveur du botmaster. Il est alors possible de le mettre hors service ou
dans certains cas, den prendre le contrle laide dun mandat (Zhu & al,
2008).
10
botmasters
peuvent
aussi
finalement
tirer
avantage
des
technologies P2P pour faire transiter leurs messages (Wang & al, 2009). Dans
un tel scnario, le botmaster envoie un message un nombre restreint de
zombies qui transmettent leur tour le message dautres zombies et ainsi
de suite jusqu ce que tous les robots aient reu les ordres de leur matre.
Une telle faon de fonctionner demande plus de temps et un degr
relativement lev de sophistication, mais permet dviter les centres de
contrle et de commande. Par ailleurs, mme si une partie importante du
11
botnet est limine, celui-ci est toujours en mesure de fonctionner (Wang &
al, 2009).
Si les botmasters font tant deffort pour conserver et agrandir leur
botnet, cest avant tout en raison des avantages financiers et personnels que
de tels systmes procurent (Krebs, 2006). Nous reviendrons plus tard aux
motivations des individus, mais nous nous devons de noter que ces
avantages sont loin dtre ngligeables. Les botmasters nutilisent que
rarement leurs botnets des fins personnelles (Thomas & al, 2006). Ils vont
plutt avoir tendance retourner sur le march noir o ils ont achet leur
logiciel de botnet afin de vendre leurs services. Ceux-ci se divisent
traditionnellement en six grandes catgories : 1) lenvoi de pourriels; 2) les
DDOS; 3) la fraude par clic; 4) linstallation de logiciels publicitaires; 5)
lanonymisation du trafic internet et; 6) le vol dinformation.
Les services de courriels ont su dvelopper de puissants filtres afin de
dtecter rapidement lorigine des pourriels et bloquer tous les messages
subsquents. Un botnet permet donc de distribuer la source de campagnes
de pourriels sur des milliers dordinateurs qui nenvoient alors quun petit
nombre de pourriels chacun. Cette mthode denvoi est beaucoup plus
discrte et permet de rejoindre un nombre important de cibles sans faire
sonner dalarmes (Banday, 2009). Chaque ordinateur peut aussi recevoir des
instructions pour modifier alatoirement une partie du message afin de
rendre les pourriels encore plus difficiles identifier. Une telle distribution du
travail est aussi mortellement efficace dans le cas des DDOS. Dans ce type
dattaque, le botmaster cherche inonder un ordinateur de requtes afin
quil ne soit plus en mesure de rpondre aux demandes lgitimes de ses
utilisateurs. En utilisant des dizaines de milliers dordinateurs connects
linternet haut dbit, il devient pratiquement impossible de dterminer
lorigine de lattaque qui semble venir des quatre coins de la plante. Mme
les meilleurs serveurs de la plante ont de la difficult survivre une
attaque dune telle intensit (voir Ars Technica (2010) pour un exemple des
attaques du groupe Anonymous sur les serveurs de compagnies de carte de
crdit2). Les botnets ne servent pas seulement des fins destructrices
2 Certaines compagnies arrivent mieux que dautres rsister de telles
attaques voir BBC (2010).
12
comme dans le cas des DDOS. Les botmasters louent aussi leurs rseaux de
zombies afin de gnrer du trafic sur des sites qui reoivent alors de plus
grands revenus publicitaires, un processus mieux connu sous le nom de
fraude par clic (Banday, 2009). Les botmasters obtiennent alors une partie
des gains supplmentaires ainsi gnrs. Ces derniers peuvent aussi tre
rmunrs en change de linstallation de logiciels publicitaires sur les
ordinateurs zombies (Banday, 2009). Ces logiciels vont afficher sur les
ordinateurs des personnes infectes des publicits et chaque installation du
logiciel permet au botmaster dobtenir une redevance. Les botmasters
peuvent dsinstaller puis rinstaller le logiciel plusieurs fois afin de
maximiser le rendement de chaque ordinateur infect. La plus rcente
innovation des botmasters vient de leur service danonymisation du trafic
(Krebs, 2011). Ce service permet des individus de faire transiter leur
connexion internet travers un ou plusieurs ordinateurs infects. Cela leur
permet de camoufler leurs traces ainsi que de modifier leur lieu dorigine. Ce
service est extrmement efficace pour cacher le point dorigine dune
connexion. La dernire fonction des botnets est le vol dinformation (Banday,
2009). Tel que mentionn prcdemment, les botmasters ont un accs total
linformation enregistre par lutilisateur dun zombie. Ainsi, ses identifiants,
ses mots de passe, ses rapports financiers, ses documents de travail sont
tous la porte du botmaster qui peut les voler pour ensuite les revendre au
plus offrant sur le march noir.
Cela nest pas la premire fois que nous parlons de ce march noir des
botnets. Il sagit en fait dun rseau de forums de discussions et de chambres
IRC o diverses activits criminelles se concentrent. Il est possible de sy
procurer le logiciel de contrle de botnet pour quelques centaines ou
quelques milliers de dollars, tout dpendant du type de fonctionnalits
requises (Schipka, 2009). Il est aussi possible de louer les services des
botnets dj actifs au mme endroit. Les prix demands sont affichs et les
ngociations
se
passent habituellement en
messages privs
ou
par
comme WebMoney), ses rgles et ses coordonnateurs (Thomas & al, 2006).
Les administrateurs de ces marchs accordent tous les participants une
cote de fiabilit qui permet chacun de rduire les chances dtre tromp par
lautre partie dune transaction3. Nous verrons plus tard que ce point central
de communication est srement le meilleur endroit pour surveiller les
botmasters.
Bien que les botnets semblent tre des entreprises criminelles faites pour
durer (particulirement celles qui utilisent les rseaux flux rapide),
plusieurs chercheurs ont propos des techniques pour les attaquer. La
premire technique consiste prendre le contrle des centres de commandes
des botnets quil sagisse de chambres IRC ou de serveurs HTTP (Li, 2010). En
arrivant pntrer dans ces chambres ou ces serveurs, il devient alors
possible denvoyer lordre au logiciel de contrle de se dsinstaller ou encore
lui ordonner de se connecter des serveurs auxquels les botmasters nont
pas accs. En tant privs de leur lien de communication, les botmasters
perdent alors tout contrle sur leurs zombies. Une telle opration a t
mene terme par Microsoft rcemment et russit faire diminuer
significativement le nombre de pourriels envoys sur linternet (Krebs, 2011).
La deuxime technique consiste produire de linterfrence, et ce, deux
niveaux. Les chercheurs proposent tout dabord de faire croire au botmaster
quil contrle un plus grand nombre de zombies que dans la ralit laide de
faux ordinateurs infects qui ne sont en fait que des machines virtuelles (Li,
2010). Ces machines se connecteraient au centre de contrle et commande
du botmaster, mais ne ragiraient pas aux ordres de ce dernier. En arrivant
infiltrer un botnet avec un nombre relativement large de faux zombies,
lefficacit du botnet en est de beaucoup rduite au point de le rendre peu
intressant aux yeux de clients qui ne peuvent se fier sur les chiffres produits
par le botmaster. Celui-ci aura alors plus de difficult vendre ses services et
cela nuira ses activits criminelles. Lautre option est de crer de
linterfrence sur le march noir des botnets (Li, 2010). Plusieurs actions
peuvent tre prises comme la fausse location de service, la fausse
proposition de services ou encore la fermeture des forums de discussions qui
3 Franklin et al. (2007) offrent une bonne discussion des mesures mises en
place afin de rduire la fraude sur le march noir.
14
dautres.
Nous
comprenons
maintenant
relativement
bien
le
quune
bonne
partie
des
1000
plus
grandes
compagnies
amricaines taient infestes par des botnets (Krebs, 2010). tant donn nos
15
revue
de
littrature
ci-dessus.
Les
informations
relatives
aux
botmasters sont souvent implicites et notre tche sera donc de les faire
ressortir au grand jour et de les compiler dans un tout cohrent. Nous
utiliserons aussi certaines sources journalistiques reconnues afin de bonifier
les informations dj connues. Certains articles produits par le sujet par des
journalistes comme Brian Krebs (anciennement du Washington Post) offrent
un produit srieux et rigoureux qui na que trs peu envier aux recherches
dans le domaine.
Notre portrait des oprateurs de botnets se divisera en cinq
catgories : 1) profil sociodmographique; 2) profil psychologique; 3)
motivation; 4) relations personnelles et professionnelles et; 5) capacit
technique. Nous esprons ainsi dresser un portrait aussi complet que possible
de ce type de criminel dans un cadre descriptif. Nos donnes seront par la
suite analyses la lumire de la classification des caractristiques de
lorganisation de sous-cultures dviantes de Best et Luckenbill (1994). Ce
cadre thorique affirme quil existe quatre niveaux dans la sophistication des
groupes dviants. Les solitaires sont le plus lmentaires de tous et
sassocient trs peu les uns avec les autres. Ils ne vont que rarement
commettre des dlits avec dautres codlinquants. Les collgues crent une
sous-culture dviante et partagent un certain savoir commun. Il nexiste ici
encore que peu de cas de codlinquance et aucune division du travail. Les
pairs ont toutes les caractristiques des collgues, mais commettent des
crimes avec dautres individus. Ces associations sont lmentaires et ne
durent pas dans le temps. Finalement, les quipes forment la catgorie la
plus sophistique. Leurs associations de criminels sont plus stables dans le
temps et se partagent les tches afin de maximiser leur efficacit criminelle.
Nous pourrons, la lumire de ce cadre thorique, mieux dfinir le niveau de
sophistication des botmasters et ainsi mieux identifier la menace quils
posent et les meilleurs moyens de les rguler.
Les botmasters
Le profil sociodmographique
Nous
avons
sociodmographique
trs
des
peu
de
oprateurs
connaissances
de
botnet.
Les
sur
seules
le
profil
donnes
17
que dautres nont mme pas termin leur secondaire. Il semble surtout sagir
de caucasiens qui contrlent en moyenne quelques dizaines de milliers de
zombies dans leurs botnets.
Plusieurs dentre eux gagnent dimportantes sommes dargent (Krebs,
2010). Tout dpendant de la source mentionne, les botmasters peuvent se
faire de quelques milliers quelques dizaines de milliers de dollars par mois
pour un nombre trs limit dheures de travail. Selon les recherches, un
botnet se loue en moyenne 0.04$/robot et les botmasters reoivent entre
0.05$ et 0.25$ par logiciel publicitaire quils installent. Selon une firme qui
offre de rmunrer pour linstallation de logiciels publicitaires, un botnet de
5000 robots peut gnrer jusqu 22 000$ de revenus par mois.
Les botmasters nont pas investir un nombre dheures trs important
pour grer leur botnet qui est la plupart du temps sur ce que lon pourrait
qualifier dautopilote (Krebs, 2010). Aucun auteur ne sest intress jusqu
maintenant au nombre dheures requis afin de btir un botnet proprement
parl. Il devient donc difficile dtablir des comparaisons entre ces pirates et
dautres catgories de cybercriminels. Les lacunes dans ce domaine sont
donc importantes et de nouvelles techniques devront tre utilises pour
combler ce dficit dans les connaissances.
Le profil psychologique
Il existe aussi trs peu de donnes sur le profil psychologique des
botmasters. Un article relate les doutes et le sentiment de culpabilit
quprouve un botmaster face ses actions. Il comprend quil commet des
crimes qui pourraient lenvoyer en prison et prouve du stress et des
remords. Larticle nous apprend que ces sentiments auront raison de ses
activits illicites. Ce cas est possiblement diffrent des autres, car il relate les
problmes dun individu plus jeune qui vit toujours chez ses parents malgr
les revenus importants quil reoit.
Dautres botmasters un peu plus gs font preuve de pense magique
ainsi quune grande impulsivit. Ils ont aussi de la difficult vivre avec les
dlais et les refus. Lauteur relate ici le cas de trois oprateurs de botnet
espagnols, qui, une fois arrts, ont tent de se faire embaucher par la
compagnie de scurit informatique qui les avait dmasqus. Ils espraient
18
que leur exprience criminelle ferait deux des employs intressants pour la
compagnie. Ils taient trs presss de passer au travers du processus
dembauche tant donn leur situation prcaire. Nous pouvons donc
supposer que ces derniers dilapidaient leurs revenus aussi rapidement quils
ne le gagnaient. Lorsquils se sont finalement refus un emploi, les
botmasters ont alors menac de divulguer des failles de scurit et de
sattaquer la compagnie en question une attitude plus proche dun enfant
boudeur que de celle dun grand dlinquant antisocial.
En tudiant la littrature, nous pouvons identifier certains autres traits
en lien avec le profil psychologique des botmasters. Ce sont tout dabord des
individus qui ont un sens de la toute-puissance et de linvincibilit. Plusieurs
chercheurs affirment que les forums o se transigent les informations et les
services des botnets sont ouverts tous. Les botmasters nhsitent pas y
afficher leurs courriels ou encore leur compte de messagerie instantane
ainsi que les services quils sont prts offrir. Cela revient offrir une piste
aux enquteurs ainsi quune liste de leurs dlits. Ils affirment donc quils
nont que peu de crainte de se faire arrter et ce sentiment est
potentiellement renforc par le faible nombre darrestations doprateurs de
botnets ainsi que le fait que plusieurs juridictions ne reconnaissent toujours
pas cette activit comme un crime (comme en Espagne par exemple).
Les botmasters font aussi preuve dun faible sens thique deux
niveaux. Tout dabord, ils commettent des infractions criminelles diversifies
sur une certaine priode de temps. Btir un botnet ne se ralise pas en
quelques minutes et comme nous lavons mentionn ci-dessus, il est
ncessaire dinvestir dans un logiciel de contrle ou tout le moins de faire
des recherches pour en tlcharger un. Cela demande un investissement
dans une dlinquance organise qui rfre un sens thique relativement
faible. Par ailleurs, les botmasters voluent dans un milieu peu structur et
peu rgul . Ils doivent pourtant ngocier et interagir avec les partenaires
qui leur vendent les logiciels de contrle ainsi que les personnes qui louent
leurs services. Il arrive constamment que les ententes ne soient pas
respectes par lune ou lautre des parties
contexte, le sens moral, sans aucune surprise, doit tre considr comme
faible chez les botmasters.
19
La motivation
La motivation des botmasters semble tre largent. Toutes les tudes
concordent dailleurs sur ce sujet : lobjectif de tout botmaster est de faire le
maximum de gains. Cela est reprsentatif de la diversit des activits des
botnets. tant donn le nombre grandissant de botnets actifs, les botmasters
doivent encore et toujours trouver de nouvelles activits pour se dmarquer
et offrir un produit plus comptitif. Cest pour cette raison que nous avons vu
rcemment lapparition de services danonymisation de trafic, service qui
ntait pas cit comme une activit des botmasters encore tout rcemment.
tant donn les sommes importantes que les botnets gnrent, il nest gure
tonnant de voir les botmasters investir autant dans la recherche de
nouveaux ordinateurs contrler.
De manire surprenante, les tudes ne font pas de cas de la rputation
comme tant un lment important chez les botmasters. Plusieurs autres
types de criminalit informatique comme la scne des warez (Rehn, 2003)
considrent que la rputation et la valeur dun pirate sont les choses les plus
importantes. Nous navons pas t en mesure de constater limpact dun tel
combat chez les oprateurs de botnets. Le ct affaire des botnets aurait
donc pris entirement le dessus sur de vaines querelles dego.
chambres IRC sont des lieux o les dlinquants peuvent partager leurs
expriences et tenter damliorer leurs capacits. Il sagit donc ici de
relations positives dans lensemble. Il existe bien quelques dissensions et
conflits entre les participants, mais en gnral le sentiment dappartenir
une communaut ferme lemporte sur les querelles.
Toutes les relations entre botmasters ne sont cependant pas dans un
mode aussi transparent. Les oprateurs de botnets se livrent en effet des
guerres qui visent subtiliser les botnets des adversaires (Friess, 2007). En
prenant le contrle de la chambre IRC dautres botmasters, un dlinquant
peut facilement augmenter de plusieurs dizaines de milliers de zombies sont
propre rseau. Les versions les plus rcentes des logiciels de contrle tentent
20
sest lanc dans le domaine lge prcoce de 14 ans. La plupart dentre eux
utilisent par contre des logiciels de contrle cl en main et les recherchent
prouvent quils ne sont pas en mesure de modifier le code source quils
achtent. Il sagit donc surtout de jeunes qui maximisent leur potentiel
criminel en utilisant les outils disponibles. Il serait donc intressant de
sintresser dans des recherches futures aux personnes qui programment les
logiciels de contrle et qui permettent ainsi aux masses de botmasters de se
lancer dans la vie dlinquante. Il est par contre possiblement trop tard pour
21
22
plus tt dans le texte, les criminels recherchent avant tout des clients stables
afin de minimiser les cots de transaction.
Au niveau technologique, les botmasters peuvnet maintenant compter
sur des logiciels malveillants la fine pointe de la technologie qui permettent
dencrypter les donnes transfres, dutiliser des proxy et de cibler les
informations collectes sur chaque ordinateur infect. Une fois lanc sur
Internet, ces logiciels malveillants infectent continuellement de nouveaux
systmes sans intervention du botmaster qui peut alors se concentrer sur la
gestion de son poste de commandement.
Le constat que nous posons ici devrait tre un signal dalarme pour les
services de police qui sintressent au problme. Devant un tel degr de
sophistication, ces derniers devront investir dimportantes ressources si elles
veulent rsussir endiguer le flot de zombies qui grossit sur une base
quotidienne. Les botnets sont maintenant sous le contrle dun crime
organis et lapproche des policiers devra tenir compte de ce fait. Des
arrestations alatoires ne seront ici que de peu dutilit. Les joueurs
stratgiques devraient plutt tre identifis par les services de lordre afin de
maximiser limpact des ressources investies. Nous avons dmontr dans ce
travail comment les botmasters dpendaient des producteurs de logiciels
malveillants. Cette catgorie de pirates nous semble tre une cible prioritaire
afin de tarir le flot de nouveaux logiciels toujours plus sophistiqus. Les
enqutes subsquentes pourraient par la suite se concentrer sur les
botmasters notamment en sattaquant aux revenus illicites quils retirent de
la location de leurs botnets. Ce nest quen adoptant une stratgie
dintervention
consquente
que
les
services
de
lordre
pourront
23
Conclusion
Les cybercrimes sont une problmatique qui attire de plus en plus le
regard des chercheurs et des journalistes. Ce papier se voulait une premire
incursion dans le monde encore peu connu des botmasters. Nous avons t
en mesure de constater le faible niveau de connaissances disponibles leur
sujet. Malgr cette limite, les lments actuels de connaissance semblent
indiquer que les botmasters sont surtout de jeunes hommes peu duqus qui
arrivent amasser des sommes importantes travers leurs activits
criminelles. Ils ont un faible sens de lthique, sont capables dprouver des
remords et font preuve dune certaine impulsivit. Ils sont motivs par
largent et voluent dans un environnement hostile o les alliances se font et
se dfont. Ils peuvent obtenir de laide auprs de certains de leurs collgues,
mais doivent toujours se mfier dautres botmasters qui voudraient voler
leurs zombies. Ils possdent des capacits techniques limites, mais cela ne
les empche pas de btir des botnets comprenant plusieurs dizaines de
milliers de robots.
Nous pensons quil est urgent que les chercheurs concentrent leur
attention sur ces individus plutt que sur les rseaux quils btissent. Pour
chaque botnet qui est mis hors dtat, deux autres repoussent tant donn
que les botmasters ne sont jamais arrts et quils conservent toujours une
copie de leur logiciel de contrle ce qui leur permet de repartir neuf mme
si leur botnet est compltement dmantel. Afin darriver amasser plus de
connaissances sur ces individus, nous proposons une approche en deux
temps.
Les chercheurs peuvent dores et dj accder au march noir sur
lequel voluent ces pirates. Il devient alors trs ais de faire une copie de
toutes les discussions publiques des botmasters et ainsi de tenter den
apprendre plus sur leurs profils et leurs caractristiques. Des outils
permettent dautomatiser le processus (Web Scraper+ par exemple) et il est
aussi possible denregistrer automatiquement toutes les conversations dune
chambre IRC en particulier. Ces lieux de convergence des pirates pourraient
aussi permettre aux chercheurs dentrer en contact avec les botmasters euxmmes afin de tenter den apprendre davantage sur eux. Les criminels
24
(Taylor, 1999) et la
technique pourrait tre ici des plus utile pour btir une ethnographie de la
communaut des botmasters.
Les chercheurs pourraient aussi tirer des donnes intressantes des
quelques dossiers denqutes policires qui ont vis des botmasters. Bien
que rares, ces enqutes sont souvent des sources importantes de donnes
qui comprennent des quantits impressionnantes de journaux de clavardage
riches en informations. Les policiers ont aussi la capacit de dresser des
portraits exhaustifs des individus impliqus et donc de fournir un profil
complet des botmasters.
Bien quimportants, les botmasters ne doivent pas devenir le seul
centre dattention des chercheurs. Les dveloppements technologiques sont
rapides dans le domaine des botnets et il sera important de maintenir nos
connaissances jour. Au cours des derniers mois, nous avons t tmoin de
la cration dun nouveau type de botnet qui utilise les tlphones cellulaires
Android plutt que des ordinateurs comme hte. Cette innovation ouvre un
nouveau champ dapplication pour les botmasters et de tels dveloppements
nous rappellent quel point de grands efforts seront ncessaires afin de
comprendre le phnomne des botnets au cours des prochaines annes.
Avec leur rle de facilitateur, les botnets offrent une cible de choix
quiconque voudrait en apprendre plus sur les cybercrimes et tenter de
rguler cette criminalit. La connaissance est ici, comme sur linternet, la cl
du succs. Cette recherche est un premier pas dans la bonne direction et
nous esprons que les pistes lances ici permettront dautres de porter
encore plus loin le flambeau des connaissances.
25
Rfrences
Alexander K. Seewald, W. N. G. (2010). "On the detection and identification of
botnets." Computers And Security 29: 45-58.
Alper Caglayan, M. T., Dan Drapeau, Dustin Burke and Gerry Eaton (2009).
"Real-Time Detection of Fast Flux Service Networks". Cybersecurity
Applications & Technology Conference For Homeland Security.
Anderson, N. (2007). "Vint Cerf: One Quarter Of All Computers Part Of A
Botnet". Ars Technica.
Ard, C. (2007). "Botnet Analysis." International Journal Of Forensic Computer
Science 1: 65-74.
Banday, M. T., Qadri, J.A., Shah, N.A. (2009). "Study Of Botnets And Their
Threats To Internet Security." Sprouts: Working Papers On Information
Systems 9(24): 2-12.
Barroso, D. (2007). "Botnets The Silent Threat". European Network And
Information Security Agency.
BBC (2010). "Pro-Wikileaks activists abandon Amazon cyber attack".
Rcupr au: http://www.bbc.co.uk/news/technology-11957367.
Best, J., Luckenbill, D. (1994). "Organizing Deviance, 2nd edition". New Jersey:
Prentice Hall.
Corbin, J., and A. Strauss. (I990). "Grounded theory research: Procedures,
canons, and evaluative criteria". Qualitative Sociology 13 (1): 3-21.
Binsalleeh, H., Ormerod, T., Boukhtouta, A., Sinha, P., Youssef, A., Debbabi, M.,
Wang, L. (2010). "On The Analysis Of The Zeus Botnet Crimeware Toolkit".
Privacy Security And Trust. Ottawa, Ontario, p.31-p.38.
Bleaken, D. (2010). "Botwars: The Fight Against Criminal Cyber Networks".
Rcupr au: http://www.symantec.com/connect/blogs/botwars-fightagainst-criminal-cyber-networks.
Bosker, B. (2010). ). "Visa DOWN: WikiLeaks Suporters Take Down Site As
Payback". Rcupr au : http://www.huffingtonpost.com/2010/12/08/visadown-wikileaks-suppo_n_794039.html.
Brent ByungHoon Kang, E. C.-T., Christopher P. Lee, James Tyra, Hun Jeong
Kang, Chris Nunnery, Zachariah Wadler, Greg Sinclair, Nicholas Hopper,
26
28
30