BOTNETS

ET LA SÉCURITÉ DES DONNÉE

 Table of contents
01 02 03
Introduction Generalites sur Generalites sur
les IOT les botnets

04 05 06
Types de botnets Stratégies de techniques de
préventions contre détection des
les Botnets botnets
 Table of contents

07 08
Approches ni Conclusion
aqlqgh ntt3asak a
tarek
 01
Introduction
01.Introduction

● L'Internet des Objets (IoT) a connu une croissance exponentielle depuis les années 1980, avec une prévision de 27 milliards
de dispositifs connectés d'ici 2025.

● La sécurité limitée de ces objets les rend vulnérables aux attaques, notamment les botnets.

● Les botnets exploitent les vulnérabilités de l'IoT, représentant une menace sérieuse.

● Il est impératif de repenser les protocoles de sécurité, renforcer la résilience des dispositifs et sensibiliser les utilisateurs pour
contrer efficacement ces menaces croissantes dans le domaine de l'IoT.
 02
Généralités sur les
IOT
02. Généralités sur les IOT
● L’Internet des Objets est une infrastructure mondiale qui interconnecte des objets physiques et virtuels, permettant leur
communication directe et la gestion continue de leurs données via l'Internet.

● L'Internet des Objets (IoT) implique la connexion d'objets au réseau mondial via des couches clés (perception, réseau,
traitement de données, application), avec la sécurité jouant un rôle crucial pour protéger contre les vulnérabilités et les
attaques.
● L'Internet des Objets (IoT) impactera le transport, la santé, l'industrie, et la domotique, apportant des améliorations notables
dans la sécurité, la gestion du trafic, la santé, et créant de nouvelles interactions homme-machine.

● Les vulnérabilités dans l'Internet des Objets (IoT) incluent des interfaces web non sécurisées, des services réseau exposés,
des mots de passe faibles, des composants vulnérables, des mises à jour non sécurisées et des risques liés aux attaques
numériques, soulignant le besoin urgent de renforcer la sécurité dans le domaine de l'IoT.
 03
Généralités sur les
botnets
03. Généralités sur les botnets
Un botnet est un réseau d'appareils
infectés par des logiciels
malveillants, contrôlés à distance
par un attaquant pour des activités
malveillantes telles que l'envoi de
spams, le vol d'informations ou des
attaques DDoS.
Cycle de vie d’un botnet
Phase01.Injection initiale
● Contamination par logiciels malveillants, chevaux de Troie, vulnérabilités, fichiers P2P ou botnets locaux.

Phase02. L’activation

● Une fois infectée, la machine est déclarée comme active et

contrôlable à distance par un centre de commande.
Cycle de vie d’un botnet
Phase03. La mise à jour
● Le botnet peut être mis à jour pour ajouter des fonctionnalités
ou modifier sa signature virale.

Phase04. L’autoprotection

● Le botnet tente de se dissimuler en utilisant des rootkits, en modifiant le système,

en désactivant des outils de sécurité, ou en supprimant d’autres logiciels
malveillants.
Cycle de vie d’un botnet
Phase05.
●
La propagation
La machine zombie propage le botnet via spam, liens web, fichiers malveillants ou scans pour exploiter des failles ou backdoors.

Phase06. La phase opérationnelle

● Une fois installe, le botnet exécute les ordres donner

par l’attaquant.
 Architecture des botnets
● Architecture Centralisée IRC: Schéma classique des botnets utilisant des serveurs IRC comme canal de commande, mais facilement
repérable et désactivable en neutralisant le salon de discussion.

● Architecture Décentralisée (P2P) : Botnets comme Slapper, Sinit, Phatbot, Storm utilisent une structure sans tête centrale, échangeant
des informations via des réseaux comme Gnutella. La neutralisation théorique est possible, mais le point vulnérable reste
l'enregistrement DNS, supprimant lequel le botnet devient inopérant.

● Architecture basée sur le HTTP : Malwares comme Black Energy, Mocbot sont discrets, utilisant le protocole HTTP sans connexion
permanente au centre de commande, offrant une adaptabilité rapide du serveur de contrôle.

● Architecture Mixte : Certains botnets utilisent IRC pour les commandes initiales et basculent ensuite vers P2P ou HTTP, compliquant
la détection et la neutralisation.

● Architecture Hybride : Certains botnets combinent IRC pour la coordination générale et des communications P2P pour des tâches
spécifiques, bénéficiant ainsi d'une flexibilité accrue.

● Architecture sans Infrastructure (DGA) : Certains botnets utilisent des algorithmes de génération de domaines (DGA) pour des
connexions sans infrastructure fixe de serveurs de commande, rendant leur détection plus complexe.
 04
Types de botnets
04.Types de botnets
● BotMaster: Contrôle centralisé d'un botnet via un serveur individuel, assurant la communication entre les PC. Symptômes :
arrêt soudain, e-mails inhabituels, fichiers corrompus. Exemples : Conficker, Zeus, Mirai.

● Zombies: Systèmes infectés formant un réseau, propageant des spams, générant de faux clics, téléchargeant des programmes
malveillants. Exemples : StormWorm, Mariposa, Waledac.

● Botnets DDoS: Attaques DDoS utilisant des botnets, comme l'attaque DNS Dyn. Exemples : IoTroop (Reaper), WireX, XOR
DDoS.

● Spamming via botnets: Location de botnets à des spammeurs, infectant des appareils, collectant des adresses e-mail.
Exemples : Kelihos (Hlux), Necurs, Rustock.
 05
Stratégies de préventions
contre les Botnets
05. Stratégies de préventions contre les Botnets
● Utilisation de pare-feu et de systèmes de détection d’intrusion pour bloquer le trafic malveillant, en configurant les pare-feu
pour bloquer les adresses IP hébergeant des botnets et en identifiant les comportements suspects.

● Mise à jour régulière des logiciels et systèmes d’exploitation pour corriger les vulnérabilités connues.

● Sensibilisation et formation des utilisateurs sur la sécurité informatique pour éviter les logiciels malveillants.

● Utilisation de solutions avancées telles que l'apprentissage automatique pour détecter et bloquer les activités suspectes des
botnets.

● Éviter de télécharger des logiciels depuis des sources non fiables, privilégier les sites officiels et vérifier les avis des
utilisateurs.

● Utiliser des mots de passe forts et uniques pour chaque compte en ligne pour éviter les attaques par force brute.
 06
Techniques de détection des
botnets
06. Techniques de détection des botnets
6.1- Détection basée sur des anomalies
• Surveille les comportements du trafic à la recherche d'anomalies, de volumes de données
élevés, de modèles de connexion inhabituels, et d'adresses IP suspectes.

• Les anomalies détectées nécessitent souvent une investigation plus poussée pour
confirmer leur lien éventuel avec des botnets.

6.2- Détection basée sur la signature

• La détection basée sur la signature identifie des modèles de menaces connues en comparant le trafic avec une base de
données.
• Efficace contre les menaces connues, mais impuissante face aux menaces sans signature établie.
• Nécessite des mises à jour régulières de la base de signatures pour rester efficace.
• Minimise les faux positifs mais exige une connaissance approfondie des attaques..
• Doit être utilisée avec d'autres méthodes pour une sécurité réseau plus fiable et précise.
06. Techniques de détection des botnets
6.3- Détection basée sur l’analyse comportementale
• La détection basée sur l’analyse comportementale se concentre sur les comportements des utilisateurs et des entités dans
un environnement.
• Diffère de la détection basée sur des signatures en adoptant une vision globale plutôt qu'une approche de détection de
signatures.
• Efficace contre les menaces connues et inconnues en repérant les changements de comportement.
• Permet de détecter des anomalies même si elles n'ont jamais été observées auparavant.

6.4- Détection basée sur les algorithmes d’apprentissage automatique

• Utilisation d'algorithmes d'apprentissage automatique pour détecter les botnets en collectant des données, notamment du
trafic réseau, pour former un modèle.
• Le modèle apprend les schémas normaux et malveillants du comportement du réseau, détectant les anomalies liées aux
botnets..
• Nécessite une mise à jour régulière des modèles pour rester efficace face à l'évolution des menaces.
• Souvent intégrée à d'autres méthodes de détection pour une précision accrue.
• L'efficacité dépend de la qualité des données d'entraînement et de l'adaptabilité du modèle aux nouveaux schémas
malveillants.
06. Techniques de détection des botnets
6.5- Détection basée sur l’analyse de trafic réseau
• La détection par analyse du trafic réseau surveille et identifie la nature du trafic, détecte
les attaques de sécurité et trouve les goulets d'étranglement de la bande passante.
• Efficace pour repérer les communications entre machines infectées et serveurs de
commande, ainsi que pour détecter des types de trafic nuisibles comme le spam ou les
robots.
• Limitée par la capacité des botnets modernes à résister à la surveillance du trafic, rendant
la détection fiable de la plupart des bots avec des "signatures de trafic" impossible.

• Doit être combinée avec d'autres méthodes (analyse comportementale, apprentissage

automatique) pour une détection plus fiable des botnets.
06. Techniques de détection des botnets
6.6- Détection basée sur le DNS
• Analyse les schémas de communication des botnets en observant les requêtes DNS,
souvent utilisées pour la communication avec les serveurs de commande et de contrôle
• Les botnets peuvent contourner cette méthode en utilisant des techniques d'évitement
telles que l'utilisation de domaines dynamiques ou chiffrés.
 07
La partie n tarek
 08
Conclusion
08.Conclusion

● Les botnets exploitent les failles, agissant comme des boîtes à outils malveillantes.

● La sécurité dépend du maillon le plus faible, souvent des logiciels tiers.

● La professionnalisation croissante des botnets nécessite une meilleure prévention.

● L'évolution vers des technologies Web souligne l'importance de mécanismes de prévention.

● Le jeu du chat et de la souris met en évidence l'engagement de la communauté de sécurité.