République Algérienne Démocratique et Populaire

Ministère de l’Enseignement Supérieur et de la Recherche Scientifique

Université A/Mira de Béjaïa
Faculté des Sciences Exactes
Département d’Informatique

Projet Du module Cryptographie Avancée .

Thème 01

BOTNETS ET LA SÉCURITÉ DES DONNÉES

Réalisé par :
M. ADJLANE Tarek Mlle. BOUCHAKAL Thaldja .
Mlle. DAHGANE Katia Mlle. KESSOURI Doua .
Mlle. MAHMOUDI Zohra Mlle. MOUHOUBI Leticia .
Mlle. RABAHI Kamilia M. TIGHIDET Ferhat .

Supervisé par :

Dr. SABRI U. A/Mira Béjaïa.

Année universitaire 2023/2024

Table des matières

Introduction générale

1 Généralités sur les IoT et les BotNets 2

1.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2 Internet des objets (IOT) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.1 Définition de l’Internet des Objets . . . . . . . . . . . . . . . . . . . . . . . 3
1.2.2 Architectures de l’Internet des Objets . . . . . . . . . . . . . . . . . . . . . 4
1.2.3 Domaines d’application de l’Internet des Objets . . . . . . . . . . . . . . 6
1.2.4 Vulnérabilités dans l’internet des Objets . . . . . . . . . . . . . . . . . . . 7
1.3 Les BotNets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3.1 Définition des botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 8
1.3.2 Le Cycle de vie d’un botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.3.3 Architecture des botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 10
1.3.4 Les catégories des Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.4.1 Bot Master . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.4.2 Zombies . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 14
1.3.4.3 Botnets DDoS (Attaque par déni de service distribué . . . . . . 14
1.3.4.4 Spamming via des botnets . . . . . . . . . . . . . . . . . . . . . . 15

2 Prévention et détection contre les botnets 16

2.1 Introduction . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 17
2.2 Stratégies de préventions contre les Botnets . . . . . . . . . . . . . . . . . . . . . 17
2.3 Les techniques de détection des botnets . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.1 Détection basée sur des anomalies . . . . . . . . . . . . . . . . . . . . . . 18
2.3.2 Détection basée sur la signature . . . . . . . . . . . . . . . . . . . . . . . . 18
2.3.3 Détection basée sur l’analyse comportementale . . . . . . . . . . . . . . . 19
2.3.4 Détection basée sur les algorithmes d’apprentissage automatique (Ma-
chine Learning) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 19
2.3.5 Détection basée sur l’analyse de trafic réseau . . . . . . . . . . . . . . . . 20
2.3.6 Détection basée sur le DNS . . . . . . . . . . . . . . . . . . . . . . . . . . . 20
Table des matières

2.4 Vulnerabilitées des attaques Botnets . . . . . . . . . . . . . . . . . . . . . . . . . . 21

2.4.1 Dépendance aux protocoles : . . . . . . . . . . . . . . . . . . . . . . . . . . 22
2.4.2 Logiciels vulnérables . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 23
2.4.3 Maillon humain . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.4.4 Dissimulation imparfaite . . . . . . . . . . . . . . . . . . . . . . . . . . . . 24
2.4.5 Manque de centralisation . . . . . . . . . . . . . . . . . . . . . . . . . . . . 25
2.5 ContraBot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 26
2.6 Approche de détection et de lutte contre les botnets . . . . . . . . . . . . . . . . 26

Conclusion générale 29
Table des figures

1.1 Architecture de l’Internet des objets [7]. . . . . . . . . . . . . . . . . . . . . . . . . 5

1.2 Architecture d’un reseau de botnet . . . . . . . . . . . . . . . . . . . . . . . . . . . 9
1.3 architecture d’un botnet centralisée(IRC) . . . . . . . . . . . . . . . . . . . . . . . 11
1.4 peer 2 peer architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 12
1.5 HTTP based Botnet Architecture. . . . . . . . . . . . . . . . . . . . . . . . . . . . . 13

2.1 Un système de détection d’intrusion basé sur la corrélation des événements. . 29

Liste des tableaux

2.1 Comparaison des Méthodes de Détection de Botnets . . . . . . . . . . . . . . . . 21

Liste des abréviations
IoT Internet of Things
RFID Radio Frequency Identification
IoT-GSI Internet of Things Global Standards Initiative
CERP-IoT Cluster des projets européens de recherche sur l’Internet des objetsl
UIT Union internationale des télécommunications
IRC Internet Relay Chat
P2P Peer to Peer
Http HyperText Transfer Protocol
DNS Domain Name System
IP Internet Protocol
C&C commandes et contrôles
Introduction générale

Depuis la fin des années 1980, Internet a évolué de manière spectaculaire. La dernière étape

est l’utilisation de ce réseau mondial pour la communication avec des objets ou entre objets,

évolution nommée Internet des Objets (IoT pour Internet of Things)[1]. L’évolution de l’IoT

est rapide : En 2022, le marché de l’Internet des objets devrait connaître une croissance de

18 % pour atteindre 14,4 milliards de connexions actives. On s’attend à ce qu’en 2025, alors

que les contraintes d’approvisionnement s’atténuent et que la croissance s’accélère encore,

il y ait environ 27 milliards de dispositifs IoT connectés.[2] Alors que les fabricants rivalisent

d’ingéniosité dans la course à l’innovation des objets connectés, les activités malveillantes

associées à ces dispositifs se propagent de plus en plus, avec des attaques informatiques

ciblant spécifiquement cette technologie émergente. En raison de leur sécurité intrinsèque

souvent moindre par rapport à d’autres dispositifs informatiques, et pourtant de leur impli-

cation croissante dans des opérations sensibles liées à la sécurité, ces objets deviennent une

cible privilégiée pour les attaquants. Cette réalité souligne la nécessité pressante de repenser

les protocoles de sécurité, de renforcer la résilience de ces dispositifs et de promouvoir une

sensibilisation accrue parmi les utilisateurs afin de contrer efficacement cette montée des

menaces dans le domaine des objets connectés. Parmi les multiples menaces qui planent,

les botnets tirent particulièrement profit des vulnérabilités inhérentes à l’Internet des ob-

jets (IoT). Le botnet est un exemple d’utilisation de bonnes technologies pour de mauvaises

intentions. Un botnet n’est rien de plus qu’une chaîne d’ordinateurs connectés coordonnés

ensemble pour effectuer une tâche. Cela peut être le maintien d’une salle de discussion ou

la prise de contrôle de votre ordinateur. Les botnets ne sont qu’un des nombreux dangers

présents sur Internet.[3] Considérant ce constat, nous nous penchons sur les botnets et la
sécurité des données au sein des réseaux de l’Internet des objets (IoT). Notre démarche vise

à approfondir notre compréhension des botnets,ensuite nous élaborons une proposition

d‘une approche de lutte contre les botnets.

1
Chapitre 1

Généralités sur les IoT et les BotNets

Chapitre 1 : Généralités sur les IoT et les BotNets

1.1 Introduction

La technologie a connu une évolution extraordinaire au fil des années, et l’un des do-

maines les plus marquants de cette transformation est l’Internet des objets également connu

sous le nom d’Internet of Things (IoT) en anglais, est un réseau mondial d’objets qui repose

sur l’idée que tous les objets peuvent être connectés un jour à l’internet, ces objets sont

adressables de manière unique. Tout objet, y compris (des ordinateurs, des capteurs, des

RFID et des téléphones mobiles) seront en mesure d’émettre de l’information et éventuelle-

ment de recevoir des commandes. L’IoT ouvre la voie vers une multitude de scénarios basés

sur l’interconnexion entre le monde physique et le monde virtuel.[4]

Cependant, cette interconnectivité omniprésente présente également un défi majeur en

matière de sécurité. Les botnets, réseaux de dispositifs infectés par des logiciels malveillants

et contrôlés à distance, exploitent les vulnérabilités de l’IoT pour mener des attaques mas-

sives, perturbant les services en ligne, volant des informations sensibles, et compromettant

la vie privée. La coexistence de la technologie IoT et des botnets soulève des questions cru-

ciales quant à la sécurité et à la nécessité de protéger notre monde de plus en plus connecté.

Dans ce chapitre nous présentons le concept de l’IoT, sa définition, son architecture et do-

maine d’application ainsi que les vulnérabilités qu’on aperçoit dans l’IoT, Nous examinons

aussi les botnets, leurs architecture , le cycle de vie et d’autres caractéristiques observables

comme leurs catégories.

1.2 Internet des objets (IOT)

1.2.1 Définition de l’Internet des Objets

Le groupe de travail Internet of Things Global Standards Initiative (IoT-GSI), piloté par

l’Union internationale des télécommunications (UIT) considère l’IoT comme « une infra-

3
Chapitre 1 : Généralités sur les IoT et les BotNets

structure mondiale au service de la société de l’information » permettant « d’offrir des ser-

vices évolués en interconnectant des objets (Physiques et virtuels) grâce à l’interopérabilité

de technologies de l’information et de la communication existantes ou en évolution ».[5]

Le CERP-IDO (Cluster des projets européens de recherche sur l’Internet des Objets) définit l’Internet

des objets comme : «une infrastructure dynamique d’un réseau global. Ce réseau global a

des capacités d’auto-configuration basée sur des standards et des protocoles de commu-

nication interopérables. Dans ce réseau, les objets physiques et virtuels ont des identités,

des attributs physiques, des personnalités virtuelles et des interfaces intelligentes, et ils sont

intégrés au réseau d’une façon transparente».

L’auteur de [6] définit l’IoT comme suit : « Un réseau de réseaux qui permet, via des dispo-

sitifs d’identification électronique d’entités physiques ou virtuelles, dites « objets connectés

», et des systèmes de communication appropriés, sans fil notamment, de communiquer di-

rectement et sans ambiguïté, y compris au travers de l’Internet, avec ces objets connectés

et ainsi de pouvoir récupérer, stocker, transférer et traiter sans discontinuité les données s’y

rattachant ».

1.2.2 Architectures de l’Internet des Objets

L’Internet des Objets (IoT) implique la connexion d’un grand nombre d’objets au réseau

mondial, de manière tempo- raire ou permanente, tout au long de leur cycle de vie. En rai-

son de cette diversité, il n’existe pas d’architecture uni- forme pour l’IoT. Selon les recom-

mandations de l’Union internationale des télécommunications (UIT), l’IoT repose sur

quatre couches principales : la couche de perception, la couche de traitement de données ,

la couche réseau et la couche application . Cette architecture est illustrée dans la figure 1 :

4
Chapitre 1 : Généralités sur les IoT et les BotNets

F IGURE 1.1 – Architecture de l’Internet des objets [7].

— la couche de perception : Cette couche implique l’utilisation de capteurs pour col-

lecter diverses données physiques, telles que la température et l’humidité, à partir de

l’environnement.

— La couche de réseau :La couche réseau facilite la communication entre les différents

dispositifs IoT, en transférant les données collectées vers d’autres dispositifs ou sys-

tèmes pour un traitement ultérieur.

— La couche de traitement de données : : Cette couche gère les services liés à la collecte

et à la transmission des données, ainsi qu’au traitement préliminaire des informations

collectées.

— La couche application :C’est la couche où les données sont utilisées pour des applica-

tions spécifiques. Cela peut inclure des analyses avancées, des prises de décision auto-

matisées ou des interactions avec les utilisateurs via des applications IoT.

— La couche de sécurité est transverse à toutes les couches de l’Internet des Objets (IoT).

En raison de la diversité des dispositifs et des données circulant dans l’IoT, la sécurité

revêt une importance cruciale pour protéger les systèmes contre les vulnérabilités et

les attaques potentielles.

5
Chapitre 1 : Généralités sur les IoT et les BotNets

1.2.3 Domaines d’application de l’Internet des Objets

L’IoT couvrira un large éventail d’applications et touchera à tous les domaines que nous

affrontons au quotidien. Ceci permettra l’émergence d’espaces intelligents autour d’une in-

formatique omniprésente. Parmi ces espaces intelligents, on peut mentionner :

1. Le transport : Les technologies de l’Internet des Objets (IoT) vont renforcer les initia-

tives existantes dans le secteur du transport, en particulier celles concernant les vé-

hicules intelligents dédiés à la sécurité routière et à l’assistance à la conduite. Cette

avancée impliquera la communication entre véhicules et aussi entre les véhicules et

l’infrastructure routière. L’IoT agira comme une extension naturelle des "systèmes de

transport intelligents", contribuant à améliorer la sécurité routière, le confort, la ges-

tion efficace du trafic, ainsi que les économies de temps et d’énergie.

2. La santé : Dans le domaine de la santé, l’IoT permettra le déploiement de réseaux

personnels pour le contrôle et le suivi des signes cliniques, notamment pour des per-

sonnes âgées. Ceci permettra ainsi de faciliter la télésurveillance des patients à domi-

ciles, et apporter des solutions pour l’autonomie des personnes à mobilité réduite.

3. L’industrie : Dans le secteur industriel, l’IoT va permettre de surveiller intégralement

les produits, depuis leur fabrication jusqu’à leur distribution, en contrôlant les condi-

tions d’approvisionnement. Ce suivi complet facilitera la lutte contre la contrefaçon, la

fraude et les activités criminelles transfrontalières.

4. La domotique : Les objets connectés sont une réelle révolution, ils permettent de la

rendre connectée, d’où le nom très utilisé de smart home des nombreux dispositifs de

sécurité, surveillance, serrure connectée, dans le domaine de l’électroménager : réfri-

gérateur connecté. De la décoration de la maison des designs, lampe connectée, cadre

lumineux. L’Internet des Objets change les modalités d’accès au réseau et produit de

nouvelles interactions homme- machine.

6
Chapitre 1 : Généralités sur les IoT et les BotNets

1.2.4 Vulnérabilités dans l’internet des Objets

Depuis 2010, le nombre d’appareils connectés au réseau a dépassé la population humaine

mondiale. D’après les experts de Cisco, environ 50 milliards d’objets connectés à l’Internet

des objets (IoT) connectés à Internet aujourd’hui [8] . Cependant, un faible niveau de la

sécurité de l’information reste l’un des principaux problèmes liés à l’IoT.

Examinons quelques-unes des vulnérabilités aux quelles les systèmes IoT sont confrontés :

— Interface Web non sécurisée : Les problèmes de sécurité de l’interface web comprennent

la persistance de scripts intersites, une mauvaise gestion des sessions et des identi-

fiants par défaut faibles ou simples (qui peuvent être exploi- tés en énumérant les

comptes jusqu’à ce que l’accès soit accordé) [9]. Pour exploiter cette vulnérabilité, l’at-

taquant tire parti de la faiblesse des informations d’identification ou capture des don-

nées d’authentification en texte brut afin de compromettre l’accès à l’interface Web.

— Service réseau non sécurisé :Des services réseau non sécurisés opérant sur l’appareil

lui-même, surtout ceux accessibles sur Internet, posent des risques pour la confiden-

tialité, l’intégrité, l’authenticité des données, ou permettent un contrôle à distance non

autorisé.

— Mot de passe faible/par défaut : Mots de passe par défaut : De nombreux appareils

IoT sont livrés avec des mots de passe par défaut qui sont souvent faibles et facilement

devinables. Par exemple, 600 000 traceurs GPS fabriqués en Chine avaient un mot de

passe par défaut de ’123456’[10].

— Composants vulnérables : Les composants de base des appareils IoT sont souvent vul-

nérables, ce qui laisse des millions d’appareils intelligents ouverts aux attaques [11].

— Mises à jour non sécurisées :Les mises à jour de logiciels et de micrologiciels sont es-

sentielles pour éliminer les bugs et fermer les failles de sécurité. Cependant, sans mé-

canismes de mise à jour sécurisés, les mises à jour peuvent en fait mettre les appareils

en danger.

7
Chapitre 1 : Généralités sur les IoT et les BotNets

Pour prévenir cela et éliminer une vulnérabilité majeure de l’IoT, les mises à jour de-

vraient être signées numériquement, livrées sur des canaux sécurisés, et la signature

vérifiée avant l’application [12].

— Attaques numériques :Une autre grande vulnérabilité des systèmes IoT est la connexion

sans fil qui est exposée pour les attaquants. Par exemple, les pirates peuvent brouiller

la fonctionnalité d’une passerelle dans les systèmes IoT, ou carrément détruire un des

composants de l’objet, ou encore des attaques de déni de service DDOS...[9].

1.3 Les BotNets

1.3.1 Définition des botnets

Un botnet est un réseau de dispositifs informatiques infectés par des logiciels malveillants,

appelés bots. Ces bots sont contrôlés à distance par un attaquant, souvent appelé "botmas-

ter" ou "command and control server" pour exécuter certaines tâches comme l’envoi de

spams, le vol d’informations ou lancer des Attaques contre d’autres ordinateurs telles que

des attaques par déni de service distribué (DDoS). Les dispositifs infectés peuvent être des

ordinateurs personnels, des serveurs, des routeurs, des objets connectés ou tout autre ap-

pareil connecté à Internet. Le logiciel malveillant des botnets est conçu pour donner à ses

opérateurs le contrôle sur de nombreux ordinateurs en même temps. Ceci permet aux opé-

rateurs de botnets d’utiliser des ressources informatiques et de bande passante à travers de

nombreux réseaux pour des activités malveillantes. [13] [14] la figure 1 montre l’architecture

des botnet.

8
Chapitre 1 : Généralités sur les IoT et les BotNets

F IGURE 1.2 – Architecture d’un reseau de botnet

1.3.2 Le Cycle de vie d’un botnet

L’apprentissage du cycle de vie des botnets est un facteur important dans l’analyse réussie

des systèmes de détection de botnets. Comprendre chaque phase de ce cycle peut aider à

améliorer et à développer un système de détection de botnet efficace. L’hôte doit passer par

six phases pour devenir un bot actif et faire partie d’un botnet.

9
Chapitre 1 : Généralités sur les IoT et les BotNets

1. injection initiale : la contamination va souvent passer par l’installation d’un outil lo-

giciel qui n’est pas nécessairement l’outil final. Les mécanismes d’infection sont alors :

les logiciels malveillants en pièce jointe, les chevaux de Troie, les vulnérabilités infor-

matiques, les fichiers P2P, ou les botnets locaux.

2. L’activation : Une fois infectée, la machine est déclarée comme active et contrôlable à

distance par un centre de commande.

3. La mise à jour : Le botnet peut être mis à jour pour ajouter des fonctionnalités ou

modifier sa signature virale.

4. L’autoprotection : Le botnet tente de se dissimuler en utilisant des rootkits, en modi-

fiant le système, en désactivant des outils de sécurité, ou en supprimant d’autres logi-

ciels malveillants.

5. La propagation : La machine zombie cherche à étendre le botnet en utilisant des mé-

thodes de diffusion virale (spam, liens web, fichiers malveillants) ou en effectuant des

scans pour exploiter des failles ou des backdoors.

6. La phase opérationnelle : Une fois installé, le botnet exécute les ordres donnés par

l’attaquant.[15]

1.3.3 Architecture des botnets

1. Architecture Centralisée IRC (Internet Relay Chat) : Cette méthode représente l’ar-

chitecture classique des botnets. Dans ce schéma, un ou plusieurs serveurs ou réseaux

IRC servent de canal de commande et de contrôle (C&C). Une fois infectées, les ma-

chines clientes du botnet, appelées bots ou zombies, se connectent à un serveur IRC

via un canal privé pour signaler leur présence et recevoir des mises à jour ou des ins-

tructions. Cette approche offre une grande commodité au propriétaire du botnet, car il

lui suffit de rejoindre le même salon de discussion que les machines compromises pour

leur transmettre ses consignes. Toutefois, elle est également facile à repérer : le trafic

IRC, qu’il soit légitime ou malveillant, se distingue nettement sur un réseau, parmi les

protocoles plus courants tels que HTTP. Dès qu’il est repéré, la neutralisation du salon

10
Chapitre 1 : Généralités sur les IoT et les BotNets

de discussion entraîne la désactivation du botnet. Certains botnets déclenchent des

mesures de protection si une machine tente de se connecter à un canal sans les au-

torisations nécessaires, ce qui permet au réseau de se protéger automatiquement des

enquêteurs en cybercriminalité.

F IGURE 1.3 – architecture d’un botnet centralisée(IRC)

2. Architecture Décentralisée (P2P) : Dans le cas des botnets utilisant une architecture

décentralisée similaire à celle des réseaux de partage de fichiers, tels que Slapper, Si-

nit, Phatbot et Storm (alias Nugache), les bots ne sont plus interconnectés via une tête

centrale. Au lieu de cela, ils exploitent des réseaux tels que Gnutella pour échanger des

informations. Cependant, il est théoriquement possible de neutraliser ces réseaux éga-

lement. Par exemple, Storm repose sur une "liste" de 22 serveurs de démarrage pouvant

être exclue. Néanmoins, cette liste est dynamique et se met à jour automatiquement, ce

qui rend la tâche de blacklister ces serveurs particulièrement ardue. Malgré le fait que

chaque bot agisse en tant que centre de contrôle pour ses pairs, le botnet dépend tou-

jours d’un enregistrement DNS, constituant ainsi son point vulnérable : en supprimant

la résolution DNS, le botnet devient inopérant.

11
Chapitre 1 : Généralités sur les IoT et les BotNets

F IGURE 1.4 – peer 2 peer architecture.

3. Architecture basée sur HTTP : Les malwares tels que Black Energy ou Mocbot, utilisant

le protocole HTTP, sont bien plus difficiles à repérer. Ils se fondent non seulement dans

le trafic HTTP conventionnel, mais ne nécessitent pas non plus une connexion conti-

nue avec leur centre de commande. Par exemple, Black Energy envoie simplement une

requête POST et reçoit en retour un ordre encodé, qu’il exécute avant de revenir cher-

cher de nouvelles instructions. Pendant ce laps de temps, il ne maintient aucun contact

avec son centre de commande. Cette approche confère aux botnets HTTP une discré-

tion accrue, un avantage que n’offrent pas les versions basées sur IRC ou les protocoles

P2P, qui exigent une connexion permanente et sont donc plus faciles à repérer. Un autre

avantage du protocole HTTP réside dans le fait que le serveur de contrôle peut être

n’importe quel serveur Unix / Linux / BSD compromis à l’occasion, permettant ainsi

au pirate de le changer très rapidement.

12
Chapitre 1 : Généralités sur les IoT et les BotNets

F IGURE 1.5 – HTTP based Botnet Architecture.

4. Architecture Mixte : Certains botnets combinent plusieurs méthodes de communica-

tion pour augmenter leur résilience. Par exemple, un botnet peut utiliser IRC pour les

commandes initiales et basculer vers un mode P2P ou HTTP pour des communications

ultérieures, rendant ainsi la détection et la neutralisation plus complexes.

5. Architecture hybride : Les botnets hybrides combinent différentes techniques de com-

munication et de contrôle pour tirer parti des avantages de chaque méthode. Par exemple,

un botnet peut utiliser IRC pour la coordination générale tout en utilisant des commu-

nications P2P pour des tâches spécifiques, offrant ainsi une flexibilité accrue.

6. Architecture sans Infrastructure (DGA) : Certains botnets utilisent des algorithmes de

génération de domaines (DGA) pour établir des connexions sans avoir besoin d’une

infrastructure de serveurs de commande et de contrôle fixe. Les bots génèrent dynami-

quement des domaines pour communiquer, ce qui rend leur détection plus complexe.

Chaque architecture présente des avantages et des inconvénients en termes de résilience,

de discrétion et de complexité de détection. Les chercheurs en sécurité informatique tra-

vaillent constamment pour comprendre ces architectures et développer des techniques de

détection et de prévention efficaces contre les botnets.

13
Chapitre 1 : Généralités sur les IoT et les BotNets

1.3.4 Les catégories des Botnets

Les botnets offrent un terrain d’étude fascinant pour observer les interactions entre indi-

vidus qui se coordonnent et s’entraident dans la commission d’infractions. Voici quelques

catégories de botnets basées sur leur fonctionnalité ou leur but , ainsi que des exemples

pour chaque catégorie.

1.3.4.1 Bot Master

Bot Master ou Botnet Herder est un botnet centralisé sous le contrôle de plusieurs PC via

un serveur individuel. Chaque serveur de botnet maintient une communication entre eux

sous le contrôle de Bot Master et maintient le réseau. Les symptômes d’être affecté par Bot

Master comprennent : l’arrêt soudain du système, l’apparition des e-mails étranges dans

votre boîte , des fichiers corrompus et des messages d’erreur inconnus.[16]

Voici quelques exemples de botnets notoires dirigés par des bot masters : Conficker(2008)

, Zeus , Mirai(2016) , Srizbi ....

1.3.4.2 Zombies

Les systèmes infectés par des logiciels malveillants forment un réseau appelé « Zombies

». Se propageant par le biais de spams par e-mail et fonctionnant secrètement en arrière-

plan, ces zombies génèrent de faux clics. Zombies télécharge également des programmes

malveillants pour voler des mots de passe.[16]

On peut en citer des exemples : Storm Worm ; connu sous le nom de Peacomm , Mariposa

, Waledac ...

1.3.4.3 Botnets DDoS (Attaque par déni de service distribué

Les attaques DDoS sont généralement effectuées à l’aide de botnets. La récente attaque

DNS Dyn menée aux États-Unis en est un parfait exemple. Grâce à un réseau de serveurs

14
Chapitre 1 : Généralités sur les IoT et les BotNets

de contrôle contrôlé à distance, le botnet exécute l’attaque DDoS sur les ser ,veurs des sites

Web, rendant les sites Web complètement indisponibles pour les utilisateurs. [16]

On peut en citer par exemples : IoTroop (Reaper) en 2017. WireX(2017) , XOR DDoS(2015).

1.3.4.4 Spamming via des botnets

Au lieu de cibler directement les appareils, certains propriétaires de botnets le louent à

des spammeurs, qui envoient des milliers de messages à partir de machines infectées à des

utilisateurs inconnus, dans un court laps de temps. Ces spams infectent non seulement les

appareils, mais collectent également des adresses e-mail et d’autres informations person-

nelles. À partir des informations ainsi obtenues, Botnet ajoutera de nouvelles adresses e-

mail à sa liste et l’utilisera pour se propager d’un système à l’autre. [16]

Voici quelques exemples de botnets qui ont été associés à des activités de spam :Kelihos

(Hlux), Necurs , Rustock...

15
Chapitre 2

Prévention et détection contre les botnets

Chapitre 2 :Prévention et détection contre les botnets

2.1 Introduction

Dans un monde numérique en constante mutation, la menace que représentent les botnets

constitue un défi de plus en plus complexe pour garantir la sécurité des systèmes informa-

tiques. Ce segment se plonge profondément dans les différentes stratégies visant à anticiper,

repérer et contrer ces réseaux de machines compromises. En passant par une analyse appro-

fondie des mécanismes propres aux botnets jusqu’à l’identification des techniques de dé-

tection les plus avancées, ce chapitre s’attache à fournir une vue d’ensemble exhaustive des

moyens disponibles pour contrer cette menace omniprésente. En explorant les approches

préventives et les méthodes de détection innovantes, notre objectif est de présenter un en-

semble d’outils efficaces afin de protéger les infrastructures contre l’emprise préjudiciable

des botnets.

2.2 Stratégies de préventions contre les Botnets

Pour se prémunir contre les Botnets, il est important d’utiliser des mesures de sécurités

visant à réduire le risque d’infection.Voici quelques stratégies de préventions contre les Bot-

nets :

1. Utilisation de pare-feu et de systèmes de détection d’intrusion pour bloquer le trafic

malveillant provenant de botnets. Les pare-feu peuvent être configurés pour bloquer

les adresses IP connues pour héberger des botnets, tandis que les systèmes de détec-

tion d’intrusion peuvent identifier les comportements suspects associés aux botnets.

2. Mise à jour régulière des logiciels et des systèmes d’exploitation pour corriger les vul-

nérabilités connues qui pourraient être exploitées par les botnets.

3. Sensibilisation et formation des utilisateurs sur la sécurité informatique, y compris sur

la manière d’identifier et d’éviter les logiciels malveillants qui pourraient infecter leurs

appareils et rejoindre un botnet.

4. Utilisation de solutions de sécurité avancées telles que l’apprentissage automatique et

17
Chapitre 2 :Prévention et détection contre les botnets

l’intelligence artificielle pour détecter et bloquer les activités suspectes associées aux

botnets.

5. Surveillance continue du trafic réseau à la recherche d’activités anormales ou suspectes

qui pourraient indiquer la présence d’un botnet.

6. Évite de télécharger des logiciels à partir de sources non fiables. Utilise des sites officiels

et vérifie les avis des utilisateurs avant de télécharger quoi que ce soit.

7. Utilise des mots de passe forts et différents pour chaque compte en ligne. Les botnets

peuvent utiliser des techniques de force brute pour deviner les mots de passe faibles.

2.3 Les techniques de détection des botnets

Les Botnets, souvent utilisés comme passerelle intermédiaire entre les cybercriminels et

leurs victimes, fournissent discrétion, camouflage et rentabilité. Pour contrer ces menaces,

diverses techniques de détection et d’atténuation sont essentielles.

2.3.1 Détection basée sur des anomalies

Cette technique surveille les comporte- ments du trafic réseau à la recherche d’anoma-

lies, de schémas de communi- cation inhabituels ou de déviations par rapport aux modèles

de trafic normaux.[17] Cela peut inclure des volumes de données anormalement élevés, des

modèles de connexion inhabituels, des protocoles non standard, des adresses IP suspectes,

etc. Les anomalies détectées peuvent nécessiter une analyse plus approfondie pour confir-

mer si elles sont liées à des botnets ou non.

2.3.2 Détection basée sur la signature

La détection basée sur la signature repose sur l’identification de modèles ou de signatures

spécifiques associés à des menaces connues. Cette méthode fonctionne en comparant le

trafic entrant avec une base de données de signatures ou de modèles connus, et en prenant

18
Chapitre 2 :Prévention et détection contre les botnets

les mesures appropriées si une correspondance est trouvée .[18] Elle est efficace pour détec-

ter les menaces connues, mais elle ne peut pas détecter les menaces pour lesquelles aucune

signature n’a été établie. De plus, la détection basée sur des signatures nécessite des mises

à jour régulières de la base de signatures pour rester efficace.[19] Bien qu’elle produise peu

de faux positifs, une bonne connaissance des différentes attaques est nécessaire pour les

décrire dans la base de signature.

En fin de compte, bien que la détection basée sur des signatures continue de jouer un rôle

important dans la sécurité des réseaux modernes, elle doit être utilisée en conjonction avec

d’autres méthodes de détection pour une détection plus fiable et précise.

2.3.3 Détection basée sur l’analyse comportementale

La détection basée sur l’analyse comportementale est une méthode qui se concentre sur

la compréhension des comportements des utilisateurs et des entités (serveurs, partage de

fichiers, etc.) au sein d’un environnement, ainsi que des comportements de vos adversaires,

notamment leurs motivations et leurs méthodes .Cette approche diffère de la détection ba-

sée sur des signatures traditionnelle car elle utilise une vision d’ensemble de l’environne-

ment plutôt qu’une vue rapprochée lorsque l’on se concentre uniquement sur la détection

de signatures. L’analyse comportementale est efficace pour les menaces inconnues en plus

de celles connues, car les changements de comportement peuvent indiquer que quelque

chose ne va pas même si ce dernier n’a jamais été observé auparavant.[20]

2.3.4 Détection basée sur les algorithmes d’apprentissage automatique

(Machine Learning)

L’auteur de l’article [20] affirme que l’utilisation d’algorithmes d’apprentissage automa-

tique pour détecter les botnets implique la collecte de données, notamment du trafic ré-

seau, pour entraîner un modèle. Ce modèle apprend les schémas normaux et malveillants

du comportement du réseau. En détectant les anomalies, il peut repérer des activités sus-

19
Chapitre 2 :Prévention et détection contre les botnets

pectes liées aux botnets, comme des modèles de communication inhabituels. Il est crucial

de maintenir et de mettre à jour régulièrement ces modèles pour rester efficace face à l’évo-

lution des menaces.

Cette approche est souvent intégrée à d’autres méthodes de détection pour une meilleure

précision. Bien que prometteuse, l’efficacité dépend de la qualité des données d’entraîne-

ment et de la capacité du modèle à s’adapter à de nouveaux schémas malveillants.

2.3.5 Détection basée sur l’analyse de trafic réseau

La détection basée sur l’analyse du trafic réseau est une méthode de surveillance, de cap-

ture et de rapport des modèles de trafic pour identifier la nature du trafic, mettre en évidence

d’éventuelles attaques de sécurité et trouver la cause première des goulets d’étranglement

de la bande passante. Cette méthode peut être efficace pour détecter les communications

entre les machines infectées et leurs serveurs de commande et de contrôle, ainsi que pour

suivre les types de trafic nuisibles, tels que le spam ou les robots.[21]

Cependant, cette technique peut être limitée par la capacité des botnets modernes à ré-

sister à la surveillance du trafic, rendant une détection fiable de la majorité des bots avec

des "signatures de trafic" impossible.

En conséquence, la détection basée sur l’analyse du trafic réseau doit être utilisée en

conjonction avec d’autres méthodes de détection, telles que l’analyse comportementale et

les algorithmes d’apprentissage automatique, pour une détection plus fiable et précise des

botnets.

2.3.6 Détection basée sur le DNS

La détection des botnets basée sur le DNS repose sur l’analyse du trafic DNS pour dé-

tecter des schémas ou des comportements suspects liés aux botnets ,qui utilisent fréquem-

ment des noms de domaine pour interagir avec leurs commandes et contrôles (C&C). Les

20
Chapitre 2 :Prévention et détection contre les botnets

techniques couramment utilisées incluent l’analyse des requêtes DNS anormales, l’analyse

comportementale des flux DNS, l’analyse de la réputation des domaines et l’analyse des flux

de données DNS. Ces méthodes permettent de repérer les activités malveillantes des bot-

nets, tels que les schémas de requêtes inhabituelles, les comportements anormaux du trafic

DNS et l’utilisation de domaines suspects. Ces techniques aident à identifier les botnets et à

prendre des mesures de sécurité appropriées.

Type Detection de Detection bot Indépendant Détection en Faibles Faux

Botnets Chiffré du Proto- Temps Réel Positifs
cole/Structure
Basée sur les ano- Oui Non Oui Non Non
malies
Basée sur les signa- Non Non Non Non Oui
tures
Basée sur l’analyse Oui Oui Oui Oui Oui
comportementale
Basée sur les algo- Oui Oui Oui Oui Oui
rithmes d’apprentis-
sage automatique
Basée sur l’analyse Oui Oui Oui Non Non
de trafic réseau
Basée sur le DNS Oui Oui Non Non Non

TABLE 2.1 – Comparaison des Méthodes de Détection de Botnets

Il est important de souligner que la détection des botnets est un domaine en constante

évolution, et les botnets eux-mêmes évoluent rapidement pour échapper à la détection. Par

conséquent, les chercheurs en sécurité et les professionnels de la lutte contre les botnets

doivent continuer à développer de nouvelles techniques et à mettre à jour leurs méthodes

de détection pour rester efficaces dans la prévention et la lutte contre les botnets.

2.4 Vulnerabilitées des attaques Botnets

Les botnets peuvent être redoutables. Mais comme toute arme, ils ont leurs faiblesses. On

étudie donc ces vulnérabilités et ces faiblesses pour qu’on puisse les exploiter pour contrer

ces attaques :

21
Chapitre 2 :Prévention et détection contre les botnets

2.4.1 Dépendance aux protocoles :

Les botnets communiquent avec les ordinateurs zombies via des protocoles comme IRC

ou HTTP. Ces protocoles peuvent contenir des failles permettant d’intercepter les commu-

nications, de les perturber ou de les bloquer.

On trouve comme exemples de failles de protocoles pouvant être exploitées pour contrer

les attaques par botnet :

1. Failles dans le protocole IRC :Le protocole IRC est souvent utilisé par les botnets pour

communiquer entre eux. En 2016, une faille de sécurité dans le protocole IRC a été

découverte. Cette faille permettait aux attaquants de prendre le contrôle des bots IRC

et de les utiliser pour lancer des attaques par déni de service.

2. Failles dans le protocole HTTP : Le protocole HTTP est souvent utilisé par les bot-

nets pour télécharger des logiciels malveillants ou des commandes. En 2017, une faille

de sécurité dans le protocole HTTP a été découverte. Cette faille permettait aux atta-

quants de modifier le contenu des pages web, ce qui pouvait être utilisé pour tromper

les utilisateurs et les inciter à télécharger des logiciels malveillants.

3. Failles dans le protocole SMTP : Le protocole SMTP est souvent utilisé par les botnets

pour envoyer des spams. En 2018, une faille de sécurité dans le protocole SMTP a été

découverte. Cette faille permettait aux attaquants de prendre le contrôle des serveurs

SMTP et de les utiliser pour envoyer des spams massifs.

Les fournisseurs d’accès à Internet (FAI) peuvent utiliser des filtres pour bloquer les com-

munications suspectes liées aux protocoles de botnet. Les développeurs de logiciels de sé-

curité peuvent concevoir des outils capables de détecter et de bloquer les activités mal-

veillantes des botnets. Les particuliers et les entreprises peuvent mettre à jour leurs logiciels

et adopter des pratiques de sécurité informatique rigoureuses.

Par exemple, les FAI peuvent utiliser des filtres pour bloquer les connexions IRC provenant

de sources suspectes. Les développeurs de logiciels de sécurité peuvent concevoir des outils

22
Chapitre 2 :Prévention et détection contre les botnets

capables de détecter les requêtes HTTP malveillantes, telles que les requêtes HTTP utilisées

pour télécharger des logiciels malveillants. Les particuliers et les entreprises peuvent mettre

à jour leurs logiciels pour corriger les failles de sécurité connues.

2.4.2 Logiciels vulnérables

Les logiciels obsolètes ou mal configurés sont des portes d’entrée pour les malwares de bot-

net. En encourageant la mise à jour et la configuration sécurisée des logiciels, on réduit la

surface d’attaque.

On trouve que les logiciels les plus vulnérables à ce type d’attaques sont :

1. Systèmes d’exploitation :Les systèmes d’exploitation sont souvent les cibles privilé-

giées des attaquants, car ils contrôlent l’ensemble du système. Les vulnérabilités des

systèmes d’exploitation peuvent être exploitées pour prendre le contrôle complet d’un

système, y compris les données et les applications.

2. Logiciels applicatifs : Les logiciels applicatifs, tels que les navigateurs Web, les logiciels

de messagerie et les logiciels de bureau, peuvent également être vulnérables aux bot-

nets. Les vulnérabilités des logiciels applicatifs peuvent être exploitées pour prendre le

contrôle d’un système ou pour installer un malware de botnet.

3. Logiciels réseau : Les logiciels réseau, tels que les routeurs, les commutateurs et les

pare-feu, peuvent également être vulnérables aux botnets. Les vulnérabilités des lo-

giciels réseau peuvent être exploitées pour prendre le contrôle d’un réseau ou pour

lancer des attaques par déni de service.

En sachant ces faits, les utilisateurs peuvent réduire le risque d’infection par les botnets

en mettant à jour régulièrement leurs logiciels et en utilisant des logiciels de sécurité fiables.

Les entreprises doivent également mettre en œuvre des mesures de sécurité supplémen-

taires, telles que des pare-feu et des systèmes de détection des intrusions (IDS), pour proté-

ger leurs réseaux contre les attaques par botnets.

23
Chapitre 2 :Prévention et détection contre les botnets

2.4.3 Maillon humain

Le comportement des utilisateurs est parfois le talon d’Achille. Cliquer sur des liens sus-

pects, ouvrir des pièces jointes malveillantes ou désactiver les protections de sécurité peut

infecter un appareil et le transformer en soldat du botnet. Sensibiliser les utilisateurs et pro-

mouvoir des pratiques sûres est crucial.

2.4.4 Dissimulation imparfaite

Les botnets tentent de se camoufler pour échapper aux radars. Mais leurs techniques d’obs-

curcissement ne sont pas infaillibles. Des analyses approfondies du trafic réseau et des com-

portements suspects peuvent démasquer ces ennemis cachés.

Quelques exemples de techniques de dissimulation utilisées par les botnets :

1. Le cryptage :Les botnets peuvent utiliser le cryptage pour obscurcir leurs communica-

tions. Cependant, le cryptage peut être cassé par des outils de décryptage.

2. Le camouflage de l’adresse IP : Les botnets peuvent utiliser des techniques de proxy

ou de tunneling pour masquer leur adresse IP d’origine. Cependant, ces techniques

peuvent être détectées par des outils d’analyse du trafic réseau.

3. L’utilisation de noms de domaine malveillants : Les botnets peuvent utiliser des noms

de domaine malveillants pour héberger leurs serveurs de contrôle. Cependant, ces noms

de domaine peuvent être détectés par des outils de surveillance du DNS.

Les analystes de sécurité peuvent utiliser des outils d’analyse du trafic réseau pour dé-

tecter des anomalies dans le trafic réseau qui pourraient indiquer la présence d’un botnet.

Par exemple, les analystes peuvent rechercher des pics soudains dans le trafic réseau, des

connexions à des serveurs malveillants ou des comportements inhabituels des machines

infectées.

24
Chapitre 2 :Prévention et détection contre les botnets

Les systèmes de sécurité peuvent également être configurés pour bloquer les communi-

cations avec des adresses IP ou des noms de domaine malveillants.

En 2017, des chercheurs en sécurité de l’Université de Californie à Berkeley ont développé

un outil appelé Botsniffer qui utilise l’analyse du trafic réseau pour détecter les botnets.

Botsniffer a été utilisé pour détecter des centaines de botnets, dont certains étaient utilisés

pour lancer des attaques par déni de service.

En 2018, les chercheurs en sécurité de la société de sécurité informatique FireEye ont dé-

couvert une faille dans le protocole IRC qui pouvait être exploitée pour détecter les botnets.

Cette faille a été utilisée pour développer un outil appelé BotHunter qui peut détecter les

botnets IRC avec une précision de plus de 90

2.4.5 Manque de centralisation

Contrairement à un individu unique, un botnet est une entité dispersée. Son contrôle re-

pose souvent sur quelques serveurs centraux. Ce manque de centralisation rend difficile

pour les attaquants de contrôler tous les serveurs. Ce qui donne chance à neutraliser ses

serveurs et en neutralisant ces centres névralgiques, on peut paralyser le réseau entier, ainsi

les attaquants vont perdre le contrôle du botnet.

Un autre moyen pour exploiter cette vulnérabilité est par l’isolement des bots : Si les bots

peuvent être isolés les uns des autres, ils ne pourront plus communiquer entre eux et seront

donc inutiles aux attaquants.

En 2016, les autorités américaines ont réussi à neutraliser le botnet Mirai, qui était utilisé

pour lancer des attaques par déni de service. Les autorités ont réussi à identifier les serveurs

de contrôle du botnet et à les mettre hors service.

En 2017, des chercheurs en sécurité de l’Université de Californie à Berkeley ont déve-

loppé un outil appelé Botsniffer qui utilise l’analyse du trafic réseau pour détecter les bot-

25
Chapitre 2 :Prévention et détection contre les botnets

nets. Botsniffer peut être utilisé pour identifier les bots connectés à des serveurs de contrôle

connus.

2.5 ContraBot

ContraBot est une approche collaborative de détection de botnets et un projet de re-

cherche visant à développer un système de détection de botnets collaboratif. Il vise à sur-

monter les limitations des méthodes de détection existantes en combinant plusieurs ap-

proches et principes de détection (déjà mentionné).

ContraBot est toujours en cours de développement et ses recherches se poursuivent. Ce-

pendant, il a montré des résultats prometteurs dans sa capacité à détecter les botnets avec

une précision et une efficacité accrues.[22]

2.6 Approche de détection et de lutte contre les botnets

Une des approches utilisées par le collaboratif ContraBot pour la détection des attaques

par botnets est l’analyse du trafic réseau où ContraBot analyse les modèles de trafic réseau

pour identifier les anomalies pouvant indiquer une activité de botnet.

Mais cette approche est susceptible de générer des faux positifs et des faux négatifs. Les

faux positifs sont des détections erronées de botnets. Ils peuvent se produire lorsque le trafic

réseau normal est mal interprété comme étant du trafic de botnet. Les faux positifs peuvent

entraîner des alertes inutiles et des interventions manuelles des analystes de sécurité. En

revanche les faux négatifs sont des échecs à détecter des botnets. Ils peuvent se produire

lorsque le trafic de botnet est bien dissimulé ou lorsque le système de détection n’est pas

correctement configuré. Les faux négatifs peuvent permettre aux attaquants de lancer des

attaques par botnet sans être détectés.

26
Chapitre 2 :Prévention et détection contre les botnets

En théorie on peut concevoir un système de détection de botnets par analyses de trafic

de réseaux complet ou en théorie toujours parfait mais pour que cela soit possible il faudra

prendre en compte de nombreux facteurs tels que la complexité du trafic réseau, l’utilisation

de techniques de dissimulation par les attaquants et la nécessité de réduire les faux positifs

et négatifs.

Quelques éléments à prendre en compte lors de la conception d’un système de détection

de botnets par analyse de trafic de réseau sont :

1. Utiliser une variété de techniques de détection : Les systèmes de détection de botnets

doivent utiliser une variété de techniques de détection pour réduire le risque de faux

positifs et négatifs. Certaines techniques courantes de détection de botnets par analyse

de trafic de réseau incluent :

(a) Analyse des modèles de trafic : Les systèmes de détection peuvent analyser les

modèles de trafic réseau pour identifier les anomalies pouvant indiquer une ac-

tivité de botnet. Par exemple, un système de détection peut surveiller le nombre

de connexions TCP établies par un appareil donné ou la taille des paquets trans-

mis. Pour arriver à faire cela il faut utiliser ce qu’on appelle une corrélation croisée

dans l’analyse de réseau qui est un outil analytique puissant qui permet aux ana-

lystes du trafic réseau de découvrir des modèles et des relations entre différents

réseaux ou appareils , les analystes utilisent pour ça une technique mathématique

qui mesure la similarité entre deux signaux en fonction du décalage temporel qui

les sépare pour enfin déterminer si le pic soudain de trafic est une anomalie ou

non.[23]

(b) Analyse des signatures : Les systèmes de détection peuvent utiliser des signatures

de botnets pour identifier le trafic de botnet. Les signatures sont des modèles de

trafic connus qui sont associés à des botnets spécifiques.

(c) Apprentissage automatique : Les systèmes de détection peuvent utiliser l’appren-

tissage automatique pour identifier le trafic de botnet. L’apprentissage automa-

tique permet aux systèmes de détection de s’entraîner sur des données historiques

27
Chapitre 2 :Prévention et détection contre les botnets

pour apprendre à identifier les modèles de trafic associés à des botnets. Cette tech-

nologie peut identifier si les attaques sont aléatoires ou bien ciblées, qui va per-

mettre de prévoir les prochaines victimes de ces attaques.[24]

2. Analyser le trafic réseau à plusieurs niveaux : Les systèmes de détection de botnets

doivent analyser le trafic réseau à plusieurs niveaux pour réduire le risque de faux po-

sitifs et négatifs. Les systèmes de détection peuvent analyser le trafic réseau au niveau

du paquet, du flux ou les protocoles du réseau.

3. Utiliser des techniques de détection probabiliste : Les systèmes de détection de bot-

nets doivent utiliser les techniques de détection probabiliste qui fonctionnent en at-

tribuant une probabilité à chaque événement. Les événements qui ont une probabilité

élevée d’être indésirables sont considérés comme suspects. Ces techniques prennent

aussi en compte la probabilité qu’un événement soit mal interprété comme étant un

événement indésirable pour réduire le risque de faux positifs. Certaines techniques

courantes incluent :

(a) La détection par seuil : La détection par seuil est une technique simple qui attri-

bue une probabilité à chaque événement. Les événements qui ont une probabilité

supérieure à un certain seuil sont considérés comme suspects. Un système de dé-

tection peut utiliser la détection par seuil pour identifier les événements qui ont

une probabilité supérieure à 95 % d’être des connexions TCP malveillantes.

(b) La détection par bayésianisme : La détection par bayésianisme est une technique

plus sophistiquée qui utilise la théorie des probabilités pour identifier les événe-

ments indésirables. Un système de détection peut utiliser la détection par bayésia-

nisme pour identifier les événements qui sont plus probables de se produire dans

le contexte d’une attaque par botnet.

(c) La détection par machine learning : La détection par machine learning est une

technique qui utilise des algorithmes d’apprentissage automatique pour apprendre

à identifier les événements indésirables. Un système de détection peut utiliser l’ap-

prentissage automatique pour apprendre à identifier les modèles de trafic qui sont

28
Chapitre 2 :Prévention et détection contre les botnets

associés à des botnets.

4. Utiliser des techniques de réduction des faux positifs : Les systèmes de détection de

botnets doivent utiliser des techniques de réduction des faux positifs pour réduire le

nombre d’alertes inutiles. Les techniques de réduction des faux positifs peuvent in-

clure la mise en œuvre de mécanismes de filtrage ou de priorisation des alertes. Et

pour cela on utilise La corrélation des événements qui est l’analyse des événements

déclenchés par un ou plusieurs IDSs (intrusion détection system) afin de fournir une

vue synthétique et de haut niveau des événements malveillants(attaques botnets) inté-

ressants ciblant le système d’information. Voici un exemple d’un système de détection

d’intrusion basé sur la corrélation des événements. (figure suivante).

F IGURE 2.1 – Un système de détection d’intrusion basé sur la corrélation des événements.

29
Conclusion générale

Les botnets font malheureusement aujourd’hui partie du paysage informatique, exploi-

tant les failles de sécurité et agissant comme des outils malveillants. Ils visent à générer des

revenus en profitant de leur flexibilité et de leur adaptation aux failles de sécurité. Il est cru-

cial de distinguer le mode de propagation, un simple vecteur d’attaque, des capacités de

l’outil installé sur une machine compromise, agissant comme une boîte à outils furtive pour

l’attaquant.

La croissance des botnets et l’évolution vers des formes plus sophistiquées soulignent une

tendance vers la professionalisation de cette activité. Bien que la sécurité des systèmes d’ex-

ploitation contribue à réduire les risques, la vulnérabilité des logiciels tiers comme Firefox,

Flash, Java ou Adobe Reader reste un défi. Les botnets pourraient évoluer vers les techno-

logies Web ou des rootkits mode utilisateur avec l’application efficace des mécanismes de

prévention d’exploitation.

Le jeu du chat et de la souris entre les attaquants et la communauté sécurité devient de

plus en plus visible, démontrant l’intérêt de la communauté pour le problème et ses efforts

pour trouver des solutions. Malgré les avancées dans la détection et l’éradication, la menace

des botnets reste une préoccupation majeure.

30
Bibliographie

[1] accédé le 3 décembre 2023. URL : https://www.techniques-%20ingenieur.fr/base-

documentaire/technologies-de-l-information-th9/systemes-embarques-

%2042588210/introduction-a-l-internet-des-objets-h8050/.

[2] accédé le 3 décembre 2023. URL : https://www.m2m.fr/iot/iot- 2022/%20le%2003.

12.2023.

[3] LALA A MINA. L’utilisation de l’apprentissage automatique pour la detection des botnets dans L’IOT. 2020/2021.

[4] Melle Laaras M ELISSA et Melle Khalfouni D JAMILA . Défis de sécurité de l’internat des objets Problèmes et

solutions , en vue de l’obtention de Master académique en informatique. Option systèmes informatiques,

2018/2019.

[5] Christophe B ALAND et al. la sécurité de lInternet des Objets. livre blanc.

[6] Pierre-Jean B ENGHOZI, Sylvain B UREAU et Françoise M ASSIT-F OLLÉA. L’INTERNET DES OBJETS.

[7] M. G IGLI et S. KOO. “Internet of Things : Services and Applications Categorization,” Advances in Internet

of Things. 2011.

[8] D. E VANS. “How the Next Evolution of the Internet Is Changing Every- thing”. 2011.

[9] accédé le 1er novembre 2023. URL : https://www.sciencedirect.com/getaccess/pii/

S0267364916301169/purchase.

[10] accédé le 1er novembre 2023. URL : https://securityintelligence.com/articles/

will-weak-passwords-doom-the-internet-of-things-%20iot/.

[11] accédé le 1er novembre 2023. URL : https://www.fortinet.com/resources/cyberglossary/

iot-device-vulnerabilities.

[12] accédé le 1er novembre 2023. URL : https://www.intertrust.com/blog/owasps-top-

10-iot-vulnerabilities-and-what-you-can-do/.

31
Bibliographie

[13] accédé le 1er novembre 2023. URL : https://us.norton.com/blog/malware/what-is-

a-botnet..

[14] accédé le 1er novembre 2023. URL : https://www.avast.com/fr-fr/c-botnet.

[15] accédé le 1er novembre 2023. URL : https://www.journaldunet.com/solutions/dsi/

1445982-le-botnet-et-les-phases-deson-cycle-de-vie/.

[16] accédé le 24 novembre 2023. URL : https://cyware.com/news/types- of- botnets-

and-how-they-affect-you-d4d52b95.

[17] I. F OSIC et al. “Network traffic verification based on a public dataset for IDS systems and machine lear-

ning classification algorithms”. In : 45th Jubilee International Convention on Information, Communica-

tion and Electronic Technology (MIPRO). 2022.

[18] accédé le 25 novembre 2023. URL : https://fastercapital.com/fr/contenu/Detection-

basee-sur-la-signature--la-puissance-de-%20ladetection-basee-sur-

la-signature-dans-IPS.html.

[19] David M UDZINGWA et Rajeev A GRAWAL. A study of Methodologies used in Intrusion Detection and Pre-

vention Systems (IDPS). 2012.

[20] Ph.D. ParisTech D I S S E R T A T I O N In Partial Fulfillment of the Requirements for the Degree of Doctor

of Philosophy from TELECOM ParisTech Specialization « Internet and System’s Security » presented and

defended by Leyla BILGE on the 15th of December 2011.

[21] accédé le 25 novembre 2023. URL : https://blogs.manageengine.com/fr/2023/03/

22/analyse- du- trafic- reseau- un- rapport- concis- %20surune- methode-

efficace-de-surveillance-de-la-performance-du-reseau.html..

[22] A Collaborative Approach to Botnet Protection. Consulté le 12-12-2023. 2017. URL : https://inria.

hal.science/hal-01542425.

[23] Analyse du trafic réseau. Consulté le 12-12-2023. 2023. URL : https://fastercapital.com/

fr/startup-sujet/Analyse-du-trafic-reseau.html.

[24] Botnets et apprentissage automatique. Consulté le 12-12-2023. 2023. URL : https://www.solutions-

magazine.com/botnets-apprentissage-automatique/.

32