Académique Documents
Professionnel Documents
Culture Documents
Thème 01
Réalisé par :
M. ADJLANE Tarek Mlle. BOUCHAKAL Thaldja .
Mlle. DAHGANE Katia Mlle. KESSOURI Doua .
Mlle. MAHMOUDI Zohra Mlle. MOUHOUBI Leticia .
Mlle. RABAHI Kamilia M. TIGHIDET Ferhat .
Supervisé par :
Introduction générale
Conclusion générale 29
Table des figures
Depuis la fin des années 1980, Internet a évolué de manière spectaculaire. La dernière étape
est l’utilisation de ce réseau mondial pour la communication avec des objets ou entre objets,
évolution nommée Internet des Objets (IoT pour Internet of Things)[1]. L’évolution de l’IoT
est rapide : En 2022, le marché de l’Internet des objets devrait connaître une croissance de
18 % pour atteindre 14,4 milliards de connexions actives. On s’attend à ce qu’en 2025, alors
il y ait environ 27 milliards de dispositifs IoT connectés.[2] Alors que les fabricants rivalisent
d’ingéniosité dans la course à l’innovation des objets connectés, les activités malveillantes
associées à ces dispositifs se propagent de plus en plus, avec des attaques informatiques
souvent moindre par rapport à d’autres dispositifs informatiques, et pourtant de leur impli-
cation croissante dans des opérations sensibles liées à la sécurité, ces objets deviennent une
cible privilégiée pour les attaquants. Cette réalité souligne la nécessité pressante de repenser
sensibilisation accrue parmi les utilisateurs afin de contrer efficacement cette montée des
menaces dans le domaine des objets connectés. Parmi les multiples menaces qui planent,
les botnets tirent particulièrement profit des vulnérabilités inhérentes à l’Internet des ob-
jets (IoT). Le botnet est un exemple d’utilisation de bonnes technologies pour de mauvaises
intentions. Un botnet n’est rien de plus qu’une chaîne d’ordinateurs connectés coordonnés
ensemble pour effectuer une tâche. Cela peut être le maintien d’une salle de discussion ou
la prise de contrôle de votre ordinateur. Les botnets ne sont qu’un des nombreux dangers
présents sur Internet.[3] Considérant ce constat, nous nous penchons sur les botnets et la
sécurité des données au sein des réseaux de l’Internet des objets (IoT). Notre démarche vise
1
Chapitre 1
1.1 Introduction
La technologie a connu une évolution extraordinaire au fil des années, et l’un des do-
maines les plus marquants de cette transformation est l’Internet des objets également connu
sous le nom d’Internet of Things (IoT) en anglais, est un réseau mondial d’objets qui repose
sur l’idée que tous les objets peuvent être connectés un jour à l’internet, ces objets sont
adressables de manière unique. Tout objet, y compris (des ordinateurs, des capteurs, des
ment de recevoir des commandes. L’IoT ouvre la voie vers une multitude de scénarios basés
matière de sécurité. Les botnets, réseaux de dispositifs infectés par des logiciels malveillants
et contrôlés à distance, exploitent les vulnérabilités de l’IoT pour mener des attaques mas-
sives, perturbant les services en ligne, volant des informations sensibles, et compromettant
la vie privée. La coexistence de la technologie IoT et des botnets soulève des questions cru-
ciales quant à la sécurité et à la nécessité de protéger notre monde de plus en plus connecté.
Dans ce chapitre nous présentons le concept de l’IoT, sa définition, son architecture et do-
maine d’application ainsi que les vulnérabilités qu’on aperçoit dans l’IoT, Nous examinons
aussi les botnets, leurs architecture , le cycle de vie et d’autres caractéristiques observables
Le groupe de travail Internet of Things Global Standards Initiative (IoT-GSI), piloté par
l’Union internationale des télécommunications (UIT) considère l’IoT comme « une infra-
3
Chapitre 1 : Généralités sur les IoT et les BotNets
Le CERP-IDO (Cluster des projets européens de recherche sur l’Internet des Objets) définit l’Internet
des objets comme : «une infrastructure dynamique d’un réseau global. Ce réseau global a
des capacités d’auto-configuration basée sur des standards et des protocoles de commu-
nication interopérables. Dans ce réseau, les objets physiques et virtuels ont des identités,
des attributs physiques, des personnalités virtuelles et des interfaces intelligentes, et ils sont
L’auteur de [6] définit l’IoT comme suit : « Un réseau de réseaux qui permet, via des dispo-
rectement et sans ambiguïté, y compris au travers de l’Internet, avec ces objets connectés
et ainsi de pouvoir récupérer, stocker, transférer et traiter sans discontinuité les données s’y
rattachant ».
L’Internet des Objets (IoT) implique la connexion d’un grand nombre d’objets au réseau
mondial, de manière tempo- raire ou permanente, tout au long de leur cycle de vie. En rai-
son de cette diversité, il n’existe pas d’architecture uni- forme pour l’IoT. Selon les recom-
la couche réseau et la couche application . Cette architecture est illustrée dans la figure 1 :
4
Chapitre 1 : Généralités sur les IoT et les BotNets
l’environnement.
— La couche de réseau :La couche réseau facilite la communication entre les différents
dispositifs IoT, en transférant les données collectées vers d’autres dispositifs ou sys-
— La couche de traitement de données : : Cette couche gère les services liés à la collecte
collectées.
— La couche application :C’est la couche où les données sont utilisées pour des applica-
tions spécifiques. Cela peut inclure des analyses avancées, des prises de décision auto-
matisées ou des interactions avec les utilisateurs via des applications IoT.
— La couche de sécurité est transverse à toutes les couches de l’Internet des Objets (IoT).
En raison de la diversité des dispositifs et des données circulant dans l’IoT, la sécurité
revêt une importance cruciale pour protéger les systèmes contre les vulnérabilités et
5
Chapitre 1 : Généralités sur les IoT et les BotNets
L’IoT couvrira un large éventail d’applications et touchera à tous les domaines que nous
affrontons au quotidien. Ceci permettra l’émergence d’espaces intelligents autour d’une in-
1. Le transport : Les technologies de l’Internet des Objets (IoT) vont renforcer les initia-
tives existantes dans le secteur du transport, en particulier celles concernant les vé-
l’infrastructure routière. L’IoT agira comme une extension naturelle des "systèmes de
personnels pour le contrôle et le suivi des signes cliniques, notamment pour des per-
sonnes âgées. Ceci permettra ainsi de faciliter la télésurveillance des patients à domi-
ciles, et apporter des solutions pour l’autonomie des personnes à mobilité réduite.
les produits, depuis leur fabrication jusqu’à leur distribution, en contrôlant les condi-
4. La domotique : Les objets connectés sont une réelle révolution, ils permettent de la
rendre connectée, d’où le nom très utilisé de smart home des nombreux dispositifs de
lumineux. L’Internet des Objets change les modalités d’accès au réseau et produit de
6
Chapitre 1 : Généralités sur les IoT et les BotNets
mondiale. D’après les experts de Cisco, environ 50 milliards d’objets connectés à l’Internet
des objets (IoT) connectés à Internet aujourd’hui [8] . Cependant, un faible niveau de la
Examinons quelques-unes des vulnérabilités aux quelles les systèmes IoT sont confrontés :
— Interface Web non sécurisée : Les problèmes de sécurité de l’interface web comprennent
la persistance de scripts intersites, une mauvaise gestion des sessions et des identi-
fiants par défaut faibles ou simples (qui peuvent être exploi- tés en énumérant les
comptes jusqu’à ce que l’accès soit accordé) [9]. Pour exploiter cette vulnérabilité, l’at-
taquant tire parti de la faiblesse des informations d’identification ou capture des don-
— Service réseau non sécurisé :Des services réseau non sécurisés opérant sur l’appareil
lui-même, surtout ceux accessibles sur Internet, posent des risques pour la confiden-
autorisé.
— Mot de passe faible/par défaut : Mots de passe par défaut : De nombreux appareils
IoT sont livrés avec des mots de passe par défaut qui sont souvent faibles et facilement
devinables. Par exemple, 600 000 traceurs GPS fabriqués en Chine avaient un mot de
— Composants vulnérables : Les composants de base des appareils IoT sont souvent vul-
nérables, ce qui laisse des millions d’appareils intelligents ouverts aux attaques [11].
— Mises à jour non sécurisées :Les mises à jour de logiciels et de micrologiciels sont es-
sentielles pour éliminer les bugs et fermer les failles de sécurité. Cependant, sans mé-
canismes de mise à jour sécurisés, les mises à jour peuvent en fait mettre les appareils
en danger.
7
Chapitre 1 : Généralités sur les IoT et les BotNets
Pour prévenir cela et éliminer une vulnérabilité majeure de l’IoT, les mises à jour de-
vraient être signées numériquement, livrées sur des canaux sécurisés, et la signature
— Attaques numériques :Une autre grande vulnérabilité des systèmes IoT est la connexion
sans fil qui est exposée pour les attaquants. Par exemple, les pirates peuvent brouiller
la fonctionnalité d’une passerelle dans les systèmes IoT, ou carrément détruire un des
Un botnet est un réseau de dispositifs informatiques infectés par des logiciels malveillants,
appelés bots. Ces bots sont contrôlés à distance par un attaquant, souvent appelé "botmas-
ter" ou "command and control server" pour exécuter certaines tâches comme l’envoi de
spams, le vol d’informations ou lancer des Attaques contre d’autres ordinateurs telles que
des attaques par déni de service distribué (DDoS). Les dispositifs infectés peuvent être des
ordinateurs personnels, des serveurs, des routeurs, des objets connectés ou tout autre ap-
pareil connecté à Internet. Le logiciel malveillant des botnets est conçu pour donner à ses
opérateurs le contrôle sur de nombreux ordinateurs en même temps. Ceci permet aux opé-
nombreux réseaux pour des activités malveillantes. [13] [14] la figure 1 montre l’architecture
des botnet.
8
Chapitre 1 : Généralités sur les IoT et les BotNets
L’apprentissage du cycle de vie des botnets est un facteur important dans l’analyse réussie
des systèmes de détection de botnets. Comprendre chaque phase de ce cycle peut aider à
améliorer et à développer un système de détection de botnet efficace. L’hôte doit passer par
six phases pour devenir un bot actif et faire partie d’un botnet.
9
Chapitre 1 : Généralités sur les IoT et les BotNets
1. injection initiale : la contamination va souvent passer par l’installation d’un outil lo-
giciel qui n’est pas nécessairement l’outil final. Les mécanismes d’infection sont alors :
les logiciels malveillants en pièce jointe, les chevaux de Troie, les vulnérabilités infor-
2. L’activation : Une fois infectée, la machine est déclarée comme active et contrôlable à
3. La mise à jour : Le botnet peut être mis à jour pour ajouter des fonctionnalités ou
ciels malveillants.
thodes de diffusion virale (spam, liens web, fichiers malveillants) ou en effectuant des
6. La phase opérationnelle : Une fois installé, le botnet exécute les ordres donnés par
l’attaquant.[15]
1. Architecture Centralisée IRC (Internet Relay Chat) : Cette méthode représente l’ar-
IRC servent de canal de commande et de contrôle (C&C). Une fois infectées, les ma-
via un canal privé pour signaler leur présence et recevoir des mises à jour ou des ins-
tructions. Cette approche offre une grande commodité au propriétaire du botnet, car il
lui suffit de rejoindre le même salon de discussion que les machines compromises pour
leur transmettre ses consignes. Toutefois, elle est également facile à repérer : le trafic
IRC, qu’il soit légitime ou malveillant, se distingue nettement sur un réseau, parmi les
protocoles plus courants tels que HTTP. Dès qu’il est repéré, la neutralisation du salon
10
Chapitre 1 : Généralités sur les IoT et les BotNets
mesures de protection si une machine tente de se connecter à un canal sans les au-
enquêteurs en cybercriminalité.
2. Architecture Décentralisée (P2P) : Dans le cas des botnets utilisant une architecture
décentralisée similaire à celle des réseaux de partage de fichiers, tels que Slapper, Si-
nit, Phatbot et Storm (alias Nugache), les bots ne sont plus interconnectés via une tête
centrale. Au lieu de cela, ils exploitent des réseaux tels que Gnutella pour échanger des
lement. Par exemple, Storm repose sur une "liste" de 22 serveurs de démarrage pouvant
être exclue. Néanmoins, cette liste est dynamique et se met à jour automatiquement, ce
qui rend la tâche de blacklister ces serveurs particulièrement ardue. Malgré le fait que
chaque bot agisse en tant que centre de contrôle pour ses pairs, le botnet dépend tou-
jours d’un enregistrement DNS, constituant ainsi son point vulnérable : en supprimant
11
Chapitre 1 : Généralités sur les IoT et les BotNets
3. Architecture basée sur HTTP : Les malwares tels que Black Energy ou Mocbot, utilisant
le protocole HTTP, sont bien plus difficiles à repérer. Ils se fondent non seulement dans
le trafic HTTP conventionnel, mais ne nécessitent pas non plus une connexion conti-
nue avec leur centre de commande. Par exemple, Black Energy envoie simplement une
requête POST et reçoit en retour un ordre encodé, qu’il exécute avant de revenir cher-
avec son centre de commande. Cette approche confère aux botnets HTTP une discré-
tion accrue, un avantage que n’offrent pas les versions basées sur IRC ou les protocoles
P2P, qui exigent une connexion permanente et sont donc plus faciles à repérer. Un autre
avantage du protocole HTTP réside dans le fait que le serveur de contrôle peut être
n’importe quel serveur Unix / Linux / BSD compromis à l’occasion, permettant ainsi
12
Chapitre 1 : Généralités sur les IoT et les BotNets
tion pour augmenter leur résilience. Par exemple, un botnet peut utiliser IRC pour les
commandes initiales et basculer vers un mode P2P ou HTTP pour des communications
munication et de contrôle pour tirer parti des avantages de chaque méthode. Par exemple,
un botnet peut utiliser IRC pour la coordination générale tout en utilisant des commu-
nications P2P pour des tâches spécifiques, offrant ainsi une flexibilité accrue.
génération de domaines (DGA) pour établir des connexions sans avoir besoin d’une
quement des domaines pour communiquer, ce qui rend leur détection plus complexe.
13
Chapitre 1 : Généralités sur les IoT et les BotNets
Les botnets offrent un terrain d’étude fascinant pour observer les interactions entre indi-
catégories de botnets basées sur leur fonctionnalité ou leur but , ainsi que des exemples
Bot Master ou Botnet Herder est un botnet centralisé sous le contrôle de plusieurs PC via
un serveur individuel. Chaque serveur de botnet maintient une communication entre eux
sous le contrôle de Bot Master et maintient le réseau. Les symptômes d’être affecté par Bot
Master comprennent : l’arrêt soudain du système, l’apparition des e-mails étranges dans
Voici quelques exemples de botnets notoires dirigés par des bot masters : Conficker(2008)
1.3.4.2 Zombies
Les systèmes infectés par des logiciels malveillants forment un réseau appelé « Zombies
plan, ces zombies génèrent de faux clics. Zombies télécharge également des programmes
On peut en citer des exemples : Storm Worm ; connu sous le nom de Peacomm , Mariposa
, Waledac ...
Les attaques DDoS sont généralement effectuées à l’aide de botnets. La récente attaque
DNS Dyn menée aux États-Unis en est un parfait exemple. Grâce à un réseau de serveurs
14
Chapitre 1 : Généralités sur les IoT et les BotNets
de contrôle contrôlé à distance, le botnet exécute l’attaque DDoS sur les ser ,veurs des sites
Web, rendant les sites Web complètement indisponibles pour les utilisateurs. [16]
On peut en citer par exemples : IoTroop (Reaper) en 2017. WireX(2017) , XOR DDoS(2015).
des spammeurs, qui envoient des milliers de messages à partir de machines infectées à des
utilisateurs inconnus, dans un court laps de temps. Ces spams infectent non seulement les
appareils, mais collectent également des adresses e-mail et d’autres informations person-
nelles. À partir des informations ainsi obtenues, Botnet ajoutera de nouvelles adresses e-
Voici quelques exemples de botnets qui ont été associés à des activités de spam :Kelihos
15
Chapitre 2
2.1 Introduction
Dans un monde numérique en constante mutation, la menace que représentent les botnets
constitue un défi de plus en plus complexe pour garantir la sécurité des systèmes informa-
tiques. Ce segment se plonge profondément dans les différentes stratégies visant à anticiper,
repérer et contrer ces réseaux de machines compromises. En passant par une analyse appro-
fondie des mécanismes propres aux botnets jusqu’à l’identification des techniques de dé-
tection les plus avancées, ce chapitre s’attache à fournir une vue d’ensemble exhaustive des
moyens disponibles pour contrer cette menace omniprésente. En explorant les approches
préventives et les méthodes de détection innovantes, notre objectif est de présenter un en-
semble d’outils efficaces afin de protéger les infrastructures contre l’emprise préjudiciable
des botnets.
Pour se prémunir contre les Botnets, il est important d’utiliser des mesures de sécurités
visant à réduire le risque d’infection.Voici quelques stratégies de préventions contre les Bot-
nets :
malveillant provenant de botnets. Les pare-feu peuvent être configurés pour bloquer
les adresses IP connues pour héberger des botnets, tandis que les systèmes de détec-
tion d’intrusion peuvent identifier les comportements suspects associés aux botnets.
2. Mise à jour régulière des logiciels et des systèmes d’exploitation pour corriger les vul-
la manière d’identifier et d’éviter les logiciels malveillants qui pourraient infecter leurs
17
Chapitre 2 :Prévention et détection contre les botnets
l’intelligence artificielle pour détecter et bloquer les activités suspectes associées aux
botnets.
6. Évite de télécharger des logiciels à partir de sources non fiables. Utilise des sites officiels
et vérifie les avis des utilisateurs avant de télécharger quoi que ce soit.
7. Utilise des mots de passe forts et différents pour chaque compte en ligne. Les botnets
peuvent utiliser des techniques de force brute pour deviner les mots de passe faibles.
Les Botnets, souvent utilisés comme passerelle intermédiaire entre les cybercriminels et
leurs victimes, fournissent discrétion, camouflage et rentabilité. Pour contrer ces menaces,
Cette technique surveille les comporte- ments du trafic réseau à la recherche d’anoma-
lies, de schémas de communi- cation inhabituels ou de déviations par rapport aux modèles
de trafic normaux.[17] Cela peut inclure des volumes de données anormalement élevés, des
modèles de connexion inhabituels, des protocoles non standard, des adresses IP suspectes,
etc. Les anomalies détectées peuvent nécessiter une analyse plus approfondie pour confir-
trafic entrant avec une base de données de signatures ou de modèles connus, et en prenant
18
Chapitre 2 :Prévention et détection contre les botnets
les mesures appropriées si une correspondance est trouvée .[18] Elle est efficace pour détec-
ter les menaces connues, mais elle ne peut pas détecter les menaces pour lesquelles aucune
signature n’a été établie. De plus, la détection basée sur des signatures nécessite des mises
à jour régulières de la base de signatures pour rester efficace.[19] Bien qu’elle produise peu
de faux positifs, une bonne connaissance des différentes attaques est nécessaire pour les
En fin de compte, bien que la détection basée sur des signatures continue de jouer un rôle
important dans la sécurité des réseaux modernes, elle doit être utilisée en conjonction avec
La détection basée sur l’analyse comportementale est une méthode qui se concentre sur
fichiers, etc.) au sein d’un environnement, ainsi que des comportements de vos adversaires,
notamment leurs motivations et leurs méthodes .Cette approche diffère de la détection ba-
sée sur des signatures traditionnelle car elle utilise une vision d’ensemble de l’environne-
ment plutôt qu’une vue rapprochée lorsque l’on se concentre uniquement sur la détection
de signatures. L’analyse comportementale est efficace pour les menaces inconnues en plus
de celles connues, car les changements de comportement peuvent indiquer que quelque
(Machine Learning)
tique pour détecter les botnets implique la collecte de données, notamment du trafic ré-
seau, pour entraîner un modèle. Ce modèle apprend les schémas normaux et malveillants
du comportement du réseau. En détectant les anomalies, il peut repérer des activités sus-
19
Chapitre 2 :Prévention et détection contre les botnets
pectes liées aux botnets, comme des modèles de communication inhabituels. Il est crucial
de maintenir et de mettre à jour régulièrement ces modèles pour rester efficace face à l’évo-
Cette approche est souvent intégrée à d’autres méthodes de détection pour une meilleure
précision. Bien que prometteuse, l’efficacité dépend de la qualité des données d’entraîne-
La détection basée sur l’analyse du trafic réseau est une méthode de surveillance, de cap-
ture et de rapport des modèles de trafic pour identifier la nature du trafic, mettre en évidence
de la bande passante. Cette méthode peut être efficace pour détecter les communications
entre les machines infectées et leurs serveurs de commande et de contrôle, ainsi que pour
suivre les types de trafic nuisibles, tels que le spam ou les robots.[21]
Cependant, cette technique peut être limitée par la capacité des botnets modernes à ré-
sister à la surveillance du trafic, rendant une détection fiable de la majorité des bots avec
En conséquence, la détection basée sur l’analyse du trafic réseau doit être utilisée en
les algorithmes d’apprentissage automatique, pour une détection plus fiable et précise des
botnets.
La détection des botnets basée sur le DNS repose sur l’analyse du trafic DNS pour dé-
tecter des schémas ou des comportements suspects liés aux botnets ,qui utilisent fréquem-
ment des noms de domaine pour interagir avec leurs commandes et contrôles (C&C). Les
20
Chapitre 2 :Prévention et détection contre les botnets
techniques couramment utilisées incluent l’analyse des requêtes DNS anormales, l’analyse
comportementale des flux DNS, l’analyse de la réputation des domaines et l’analyse des flux
de données DNS. Ces méthodes permettent de repérer les activités malveillantes des bot-
nets, tels que les schémas de requêtes inhabituelles, les comportements anormaux du trafic
DNS et l’utilisation de domaines suspects. Ces techniques aident à identifier les botnets et à
Il est important de souligner que la détection des botnets est un domaine en constante
évolution, et les botnets eux-mêmes évoluent rapidement pour échapper à la détection. Par
conséquent, les chercheurs en sécurité et les professionnels de la lutte contre les botnets
de détection pour rester efficaces dans la prévention et la lutte contre les botnets.
Les botnets peuvent être redoutables. Mais comme toute arme, ils ont leurs faiblesses. On
étudie donc ces vulnérabilités et ces faiblesses pour qu’on puisse les exploiter pour contrer
ces attaques :
21
Chapitre 2 :Prévention et détection contre les botnets
Les botnets communiquent avec les ordinateurs zombies via des protocoles comme IRC
ou HTTP. Ces protocoles peuvent contenir des failles permettant d’intercepter les commu-
On trouve comme exemples de failles de protocoles pouvant être exploitées pour contrer
1. Failles dans le protocole IRC :Le protocole IRC est souvent utilisé par les botnets pour
communiquer entre eux. En 2016, une faille de sécurité dans le protocole IRC a été
découverte. Cette faille permettait aux attaquants de prendre le contrôle des bots IRC
2. Failles dans le protocole HTTP : Le protocole HTTP est souvent utilisé par les bot-
nets pour télécharger des logiciels malveillants ou des commandes. En 2017, une faille
de sécurité dans le protocole HTTP a été découverte. Cette faille permettait aux atta-
quants de modifier le contenu des pages web, ce qui pouvait être utilisé pour tromper
3. Failles dans le protocole SMTP : Le protocole SMTP est souvent utilisé par les botnets
pour envoyer des spams. En 2018, une faille de sécurité dans le protocole SMTP a été
découverte. Cette faille permettait aux attaquants de prendre le contrôle des serveurs
Les fournisseurs d’accès à Internet (FAI) peuvent utiliser des filtres pour bloquer les com-
munications suspectes liées aux protocoles de botnet. Les développeurs de logiciels de sé-
curité peuvent concevoir des outils capables de détecter et de bloquer les activités mal-
veillantes des botnets. Les particuliers et les entreprises peuvent mettre à jour leurs logiciels
Par exemple, les FAI peuvent utiliser des filtres pour bloquer les connexions IRC provenant
de sources suspectes. Les développeurs de logiciels de sécurité peuvent concevoir des outils
22
Chapitre 2 :Prévention et détection contre les botnets
capables de détecter les requêtes HTTP malveillantes, telles que les requêtes HTTP utilisées
pour télécharger des logiciels malveillants. Les particuliers et les entreprises peuvent mettre
Les logiciels obsolètes ou mal configurés sont des portes d’entrée pour les malwares de bot-
surface d’attaque.
On trouve que les logiciels les plus vulnérables à ce type d’attaques sont :
1. Systèmes d’exploitation :Les systèmes d’exploitation sont souvent les cibles privilé-
giées des attaquants, car ils contrôlent l’ensemble du système. Les vulnérabilités des
systèmes d’exploitation peuvent être exploitées pour prendre le contrôle complet d’un
2. Logiciels applicatifs : Les logiciels applicatifs, tels que les navigateurs Web, les logiciels
de messagerie et les logiciels de bureau, peuvent également être vulnérables aux bot-
nets. Les vulnérabilités des logiciels applicatifs peuvent être exploitées pour prendre le
3. Logiciels réseau : Les logiciels réseau, tels que les routeurs, les commutateurs et les
pare-feu, peuvent également être vulnérables aux botnets. Les vulnérabilités des lo-
giciels réseau peuvent être exploitées pour prendre le contrôle d’un réseau ou pour
En sachant ces faits, les utilisateurs peuvent réduire le risque d’infection par les botnets
en mettant à jour régulièrement leurs logiciels et en utilisant des logiciels de sécurité fiables.
Les entreprises doivent également mettre en œuvre des mesures de sécurité supplémen-
taires, telles que des pare-feu et des systèmes de détection des intrusions (IDS), pour proté-
23
Chapitre 2 :Prévention et détection contre les botnets
Le comportement des utilisateurs est parfois le talon d’Achille. Cliquer sur des liens sus-
pects, ouvrir des pièces jointes malveillantes ou désactiver les protections de sécurité peut
Les botnets tentent de se camoufler pour échapper aux radars. Mais leurs techniques d’obs-
curcissement ne sont pas infaillibles. Des analyses approfondies du trafic réseau et des com-
1. Le cryptage :Les botnets peuvent utiliser le cryptage pour obscurcir leurs communica-
tions. Cependant, le cryptage peut être cassé par des outils de décryptage.
3. L’utilisation de noms de domaine malveillants : Les botnets peuvent utiliser des noms
de domaine malveillants pour héberger leurs serveurs de contrôle. Cependant, ces noms
Les analystes de sécurité peuvent utiliser des outils d’analyse du trafic réseau pour dé-
tecter des anomalies dans le trafic réseau qui pourraient indiquer la présence d’un botnet.
Par exemple, les analystes peuvent rechercher des pics soudains dans le trafic réseau, des
infectées.
24
Chapitre 2 :Prévention et détection contre les botnets
Les systèmes de sécurité peuvent également être configurés pour bloquer les communi-
un outil appelé Botsniffer qui utilise l’analyse du trafic réseau pour détecter les botnets.
Botsniffer a été utilisé pour détecter des centaines de botnets, dont certains étaient utilisés
En 2018, les chercheurs en sécurité de la société de sécurité informatique FireEye ont dé-
couvert une faille dans le protocole IRC qui pouvait être exploitée pour détecter les botnets.
Cette faille a été utilisée pour développer un outil appelé BotHunter qui peut détecter les
Contrairement à un individu unique, un botnet est une entité dispersée. Son contrôle re-
pose souvent sur quelques serveurs centraux. Ce manque de centralisation rend difficile
pour les attaquants de contrôler tous les serveurs. Ce qui donne chance à neutraliser ses
serveurs et en neutralisant ces centres névralgiques, on peut paralyser le réseau entier, ainsi
Un autre moyen pour exploiter cette vulnérabilité est par l’isolement des bots : Si les bots
peuvent être isolés les uns des autres, ils ne pourront plus communiquer entre eux et seront
En 2016, les autorités américaines ont réussi à neutraliser le botnet Mirai, qui était utilisé
pour lancer des attaques par déni de service. Les autorités ont réussi à identifier les serveurs
loppé un outil appelé Botsniffer qui utilise l’analyse du trafic réseau pour détecter les bot-
25
Chapitre 2 :Prévention et détection contre les botnets
nets. Botsniffer peut être utilisé pour identifier les bots connectés à des serveurs de contrôle
connus.
2.5 ContraBot
monter les limitations des méthodes de détection existantes en combinant plusieurs ap-
pendant, il a montré des résultats prometteurs dans sa capacité à détecter les botnets avec
Une des approches utilisées par le collaboratif ContraBot pour la détection des attaques
par botnets est l’analyse du trafic réseau où ContraBot analyse les modèles de trafic réseau
Mais cette approche est susceptible de générer des faux positifs et des faux négatifs. Les
faux positifs sont des détections erronées de botnets. Ils peuvent se produire lorsque le trafic
réseau normal est mal interprété comme étant du trafic de botnet. Les faux positifs peuvent
entraîner des alertes inutiles et des interventions manuelles des analystes de sécurité. En
revanche les faux négatifs sont des échecs à détecter des botnets. Ils peuvent se produire
lorsque le trafic de botnet est bien dissimulé ou lorsque le système de détection n’est pas
correctement configuré. Les faux négatifs peuvent permettre aux attaquants de lancer des
26
Chapitre 2 :Prévention et détection contre les botnets
de réseaux complet ou en théorie toujours parfait mais pour que cela soit possible il faudra
prendre en compte de nombreux facteurs tels que la complexité du trafic réseau, l’utilisation
de techniques de dissimulation par les attaquants et la nécessité de réduire les faux positifs
et négatifs.
doivent utiliser une variété de techniques de détection pour réduire le risque de faux
(a) Analyse des modèles de trafic : Les systèmes de détection peuvent analyser les
modèles de trafic réseau pour identifier les anomalies pouvant indiquer une ac-
de connexions TCP établies par un appareil donné ou la taille des paquets trans-
mis. Pour arriver à faire cela il faut utiliser ce qu’on appelle une corrélation croisée
dans l’analyse de réseau qui est un outil analytique puissant qui permet aux ana-
lystes du trafic réseau de découvrir des modèles et des relations entre différents
qui mesure la similarité entre deux signaux en fonction du décalage temporel qui
les sépare pour enfin déterminer si le pic soudain de trafic est une anomalie ou
non.[23]
(b) Analyse des signatures : Les systèmes de détection peuvent utiliser des signatures
de botnets pour identifier le trafic de botnet. Les signatures sont des modèles de
tique permet aux systèmes de détection de s’entraîner sur des données historiques
27
Chapitre 2 :Prévention et détection contre les botnets
pour apprendre à identifier les modèles de trafic associés à des botnets. Cette tech-
nologie peut identifier si les attaques sont aléatoires ou bien ciblées, qui va per-
doivent analyser le trafic réseau à plusieurs niveaux pour réduire le risque de faux po-
sitifs et négatifs. Les systèmes de détection peuvent analyser le trafic réseau au niveau
nets doivent utiliser les techniques de détection probabiliste qui fonctionnent en at-
tribuant une probabilité à chaque événement. Les événements qui ont une probabilité
élevée d’être indésirables sont considérés comme suspects. Ces techniques prennent
aussi en compte la probabilité qu’un événement soit mal interprété comme étant un
courantes incluent :
(a) La détection par seuil : La détection par seuil est une technique simple qui attri-
bue une probabilité à chaque événement. Les événements qui ont une probabilité
tection peut utiliser la détection par seuil pour identifier les événements qui ont
(b) La détection par bayésianisme : La détection par bayésianisme est une technique
plus sophistiquée qui utilise la théorie des probabilités pour identifier les événe-
nisme pour identifier les événements qui sont plus probables de se produire dans
(c) La détection par machine learning : La détection par machine learning est une
prentissage automatique pour apprendre à identifier les modèles de trafic qui sont
28
Chapitre 2 :Prévention et détection contre les botnets
4. Utiliser des techniques de réduction des faux positifs : Les systèmes de détection de
botnets doivent utiliser des techniques de réduction des faux positifs pour réduire le
nombre d’alertes inutiles. Les techniques de réduction des faux positifs peuvent in-
pour cela on utilise La corrélation des événements qui est l’analyse des événements
déclenchés par un ou plusieurs IDSs (intrusion détection system) afin de fournir une
F IGURE 2.1 – Un système de détection d’intrusion basé sur la corrélation des événements.
29
Conclusion générale
tant les failles de sécurité et agissant comme des outils malveillants. Ils visent à générer des
revenus en profitant de leur flexibilité et de leur adaptation aux failles de sécurité. Il est cru-
l’outil installé sur une machine compromise, agissant comme une boîte à outils furtive pour
l’attaquant.
La croissance des botnets et l’évolution vers des formes plus sophistiquées soulignent une
tendance vers la professionalisation de cette activité. Bien que la sécurité des systèmes d’ex-
ploitation contribue à réduire les risques, la vulnérabilité des logiciels tiers comme Firefox,
Flash, Java ou Adobe Reader reste un défi. Les botnets pourraient évoluer vers les techno-
logies Web ou des rootkits mode utilisateur avec l’application efficace des mécanismes de
prévention d’exploitation.
plus en plus visible, démontrant l’intérêt de la communauté pour le problème et ses efforts
pour trouver des solutions. Malgré les avancées dans la détection et l’éradication, la menace
30
Bibliographie
documentaire/technologies-de-l-information-th9/systemes-embarques-
%2042588210/introduction-a-l-internet-des-objets-h8050/.
12.2023.
[3] LALA A MINA. L’utilisation de l’apprentissage automatique pour la detection des botnets dans L’IOT. 2020/2021.
[4] Melle Laaras M ELISSA et Melle Khalfouni D JAMILA . Défis de sécurité de l’internat des objets Problèmes et
2018/2019.
[5] Christophe B ALAND et al. la sécurité de lInternet des Objets. livre blanc.
[6] Pierre-Jean B ENGHOZI, Sylvain B UREAU et Françoise M ASSIT-F OLLÉA. L’INTERNET DES OBJETS.
[7] M. G IGLI et S. KOO. “Internet of Things : Services and Applications Categorization,” Advances in Internet
of Things. 2011.
[8] D. E VANS. “How the Next Evolution of the Internet Is Changing Every- thing”. 2011.
S0267364916301169/purchase.
will-weak-passwords-doom-the-internet-of-things-%20iot/.
iot-device-vulnerabilities.
10-iot-vulnerabilities-and-what-you-can-do/.
31
Bibliographie
a-botnet..
1445982-le-botnet-et-les-phases-deson-cycle-de-vie/.
and-how-they-affect-you-d4d52b95.
[17] I. F OSIC et al. “Network traffic verification based on a public dataset for IDS systems and machine lear-
basee-sur-la-signature--la-puissance-de-%20ladetection-basee-sur-
la-signature-dans-IPS.html.
[19] David M UDZINGWA et Rajeev A GRAWAL. A study of Methodologies used in Intrusion Detection and Pre-
[20] Ph.D. ParisTech D I S S E R T A T I O N In Partial Fulfillment of the Requirements for the Degree of Doctor
of Philosophy from TELECOM ParisTech Specialization « Internet and System’s Security » presented and
efficace-de-surveillance-de-la-performance-du-reseau.html..
[22] A Collaborative Approach to Botnet Protection. Consulté le 12-12-2023. 2017. URL : https://inria.
hal.science/hal-01542425.
fr/startup-sujet/Analyse-du-trafic-reseau.html.
magazine.com/botnets-apprentissage-automatique/.
32