L’IoT et le développement de la « menace botnet » : le C3N sur le front

« Plus de 1,3 million de bots neutralisés. » : la lieutenant-colonelle Lopez commandant le C3N (Centre de lutte contre les criminalités numériques) exposait à l’occasion du FIC 2020, l’ampleur du réseau botnet « Retadup » démantelé par son service en 2019. Créé en 2016, ce botnet a permis de capturer des données médicales d’un hôpital israélien ou encore de générer de la cryptomonnaie par des activités de minage de grande envergure. En multipliant les attaques en déni de service, les réseaux d’appareils infectés sont les principaux vecteurs du « Crime as a Service » (CaaS)¹.

Par Simon DOUAGLIN

Les réseaux botnets : une cybermenace internationale majeure

Les « portes dérobées » et failles applicatives sont autant de faiblesses qui sont exploitées par les attaquants pour compromettre l’intégrité des machines et en faire des relais botnets. Dans le cas de « Retadup » ce sont simplement les appareils peu ou non-protégés qui sont visés : « 85% des appareils infectés ne possédaient pas d’anti-virus et 15% n’avait pas d’anti-virus mis à jour ou activé. » avance le lieutenant-colonel Lesobre, représentant le C3N à l’occasion de la 12e édition du FIC.

Au mois de mars 2019, le fournisseur d’anti-virus Avast alerte sur les activités d’un puissant botnet dont le serveur C&C (Command and Control) se trouve en France, sous la juridiction de la Gendarmerie Nationale, aussitôt saisie par la parquet de Paris.

La dissémination du réseau botnet à travers le monde a rendu son démantèlement difficile. Les gendarmes ont remplacé physiquement le serveur pirate C&C par un serveur créé de toute pièce par les équipes de la Gendarmerie Nationale, permettant de paralyser les malwares à distance. Le serveur de substitution transmettaient aux bots des mises à jour « vides » permettant d’écraser le malware présent dans chacun des bots, devenant aussitôt inopérant. Le C3N a également collaboré avec le FBI afin de détourner les noms de domaines utilisés par « Retadup » et ainsi d’empêcher les bots de se mettre en contact avec le serveur central.

Une information judiciaire a été ouverte par le TGI de Paris. Les investigations se poursuivent.

Cette infection informatique planétaire aurait pris sa source en Amérique du sud ou en Amérique centrale par le biais d’un support de stockage amovible. « Le malware qui se comporte comme un ver informatique, s’est développé et propagé à travers le monde dans 168 pays. » explique la lieutenante-colonelle Lopez. Une région du monde particulièrement en proie aux cybermenaces compte tenu d’un manque d’hygiène informatique certain. Et le le lieutenant-colonel Lesobre de prévenir « Un botnet de l’ampleur de « Retadup » pourrait déstabiliser tout un pays. »

Le défi du développement des objets connectés sous la menace botnet

Le manque général de sécurité des objets connectés en font les maillons faibles de la cybersécurité. Si l’impact d’un nombre réduit de ces objets est dérisoire quant à la sécurité des installations, c’est la capacité d’en fédérer un nombre important qui peut permettre de mener des attaques de grandes envergure à l’image des réseaux de botnets issus du malware « Miraï ». La puissance de ces réseaux a d’ailleurs été décuplée par le biais du créateur qui a rendu public le code source permettant d’étendre les réseaux. Parmi ceux-ci, certains sont mis à disposition pour la location dans le cadre du phénomène de « Crime as a Service ».

S’appuyant sur les appareils de surveillance tels que des caméras ou alarmes connectées, des malwares toujours plus performants font peser la menace sur l’ensemble des réseaux informatiques et dorénavant sur les réseaux de distribution de l’électricité. La « Manipulation de la demande via l’IoT » (MadIoT), représente une nouvelle menace majeure. En fédérant des appareils connectés à fort ampérage tels que des climatiseurs ou chauffages, un attaquant peut perturber le réseau d’alimentation électrique en influençant la demande générale jusqu’à provoquer une perturbation totale du circuit électrique. « Nous étudions cinq variantes des attaques MadIoT et évaluons leur efficacité à l’aide de simulateurs de pointe sur des modèles de réseaux électriques du monde réel. Les résultats de ces simulations montrent que les attaques MadIoT peuvent entraîner des coupures de courant locales et, dans le pire des cas, des pannes à grande échelle. En outre, nous montrons que ces attaques peuvent être utilisées pour augmenter le coût d’exploitation du réseau au profit de quelques entreprises du marché de l’électricité. Ce travail met en lumière l’interdépendance entre la vulnérabilité de l’IoT et celle des autres réseaux tels que le réseau électrique dont la sécurité requiert l’attention des communautés de la sécurité des systèmes et de l’ingénierie électrique. » expliquent Saleh Soltan, Prateek Mittal et Vincent Poor, chercheurs à Princeton University². La force des botnets est leur organisation en réseau P2P permettant à la fois une forte résilience et une certaine mobilité face à des défenses réseaux résilientes.

La sécurisation de l’internet des objets représente un enjeu majeur. Comme le rappelait Frédéric Julhes, PDG d’Airbus Cybersecurity, lors de la dernière édition de l’European Cyber Week : « La formation dans le numérique est un enjeu majeur et nous constatons un important besoin de techniciens et d’experts pour accompagner la sécurisation et le développement de ces nouvelles technologies. Ainsi, deux options s’offrent à nous : accélérer la formation de jeunes talents ou bien freiner le développement du numérique ».

Les objets connectés ont déjà envahis notre quotidien, et leur nombre devrait s’accroitre considérablement dans les prochaines années. Porteurs de belles opportunités, facilitateurs ou utiles, reculer n’est pas une option. Reste donc à penser et intégrer une sécurité by design dans ces objets sans quoi Rabelais serait susceptible de nous prévenir : « Objets connectés sans cybersécurité n’est que ruine de l’âme ».

1^ Voir la thèse d’Eric Freyssinet « Lutte contre les botnets : analyse et stratégie »

2^ BlackIoT: IoT Botnet of High Wattage Devices Can Disrupt the Power Grid