Profondément enfoui dans sa psyché, c’est un véritable dispositif d’obéissance qui est ainsi mis en place à son insu, au bénéfice d’un sinistre marionnettiste.

Pure fiction? Pas si vite : un Raymond Shaw cohabite peut-être avec vous sous votre toit.

Il peut s’agir de votre ordinateur personnel, d’un serveur, du routeur sans-fil donnant accès à Internet, voire de votre montre intelligente ou thermostat connecté — tous potentiellement infectés par ce même dispositif d’obéissance, qu’en cybersécurité on nomme «bot».

Il suffit pour cela, bien souvent, d’avoir ouvert la pièce jointe d’un courriel non sollicité; téléchargé un logiciel piraté; ou encore d’avoir négligé de mettre à jour votre système d’exploitation.

Sans signes apparents, votre appareil se retrouve alors «zombifié», rejoignant les rangs d’une armée de l’ombre qui peut compter de quelques milliers à plusieurs millions de soldats serviles et recevant ses ordres d’un général : le serveur de commande et contrôle (C&C).

Car c’est bien là l’objectif : rassembler une imposante force de calcul par une mise en réseau de tous ces bots — le botnet — avec à la clé un très large éventail de possibilités grâce à la porte dérobée qui, de l’intérieur, s’ouvre sur l’hôte.

Couteau suisse pour truands

Pour rendre un service en ligne temporairement inaccessible et/ou inopérant, le berger commandera au troupeau de lancer, de concert, des requêtes de connexion par milliards, saturant la cible dans ce qu’on désigne comme une attaque par déni de service distribué (DDoS).

Le botnet Mirai, logé dans des routeurs et caméras de sécurité, est à l’origine de nombreuses attaques du genre, notamment en 2016 contre le site Krebs on Security et l’hébergeur Web français OVH.

Si en revanche l’intention est d’en retirer un bénéfice pécuniaire, le botnet aura plutôt pour ordre de détourner la puissance de calcul des machines zombies afin de générer de la cryptomonnaie; envoyer des courriels non sollicités par milliards; ou automatiser des clics sur des publicités rémunérées à la consultation.

À titre d’exemple, la fraude au clic Methbot, répertoriée en 2016 et capable de générer de faux profils sur les réseaux sociaux, aurait ainsi rapporté à ses maîtres entre 3 et 5 millions $US par jour en clics frauduleux — des pertes estimées à plusieurs centaines de millions pour l’industrie publicitaire.

D’autres botnets enfin, comme le défunt Zeus/Zbot, chercheront à collecter sur chaque machine infectée les informations d’authentification et/ou bancaires pouvant être réutilisées ou vendues ultérieurement. Et si des bots ont su infiltrer une grande entreprise ou une organisation de première nécessité (comme un hôpital), ils pourront tout aussi bien servir à y introduire… un rançongiciel.

Écosystème de prédation et de survie

Comme les «agents dormants» de la série télévisée The Americans, ou encore ceux — bien réels — qui ont infiltré le Canada, les États-Unis et la Grande-Bretagne sous le fameux Programme des Illégaux, les bots cherchent avant tout à ne pas être détectés.

Pour ce faire, ils n’exploitent qu’une fraction de la puissance de calcul des machines infectées et chiffrent les échanges pour leur prise de directives. Plusieurs se camouflent d’ailleurs au travers de protocoles de communication communs comme HTTP (trafic du Web).

En constante évolution pour se soustraire à leurs prédateurs, les botnets voient leur code régulièrement récupéré et amélioré. Ainsi, afin d’éviter qu’une simple désactivation du C&C par les autorités policières suffise à désorienter ses bots, le successeur de Zeus, Gameover Zeus, a instauré un système de communication pair-à-pair (P2P) où chaque machine zombie peut transmettre des ordres aux autres.

Dès lors, couper la tête de Méduse s’avère inopérant.

Sans compter que les botnets s’affrontent également entre eux; il s’agit à la fois pour les bots de ne pas passer aux mains d’un autre maître, mais aussi de compétitionner pour les ressources que sont les machines à zombifier en désinstallant les bots concurrents issus d’une infection antérieure.

Le bon grain de l’ivraie

Bien que les rançongiciels soient désormais au cœur des préoccupations en matière de cybersécurité, les botnets demeurent actifs et présentent toujours une menace. D’autant que le nombre d’ordinateurs et d’objets connectés dans notre environnement ne fait qu’augmenter, élargissant constamment leur terrain de chasse. KPMG note d’ailleurs leur retour en force depuis le premier trimestre de 2022, dont Mirai et Emotet.

Cela dit, convenons que les réseaux de calcul distribué ne sont pas toujours malveillants; il existe de nombreux projets de recherche auxquels on peut volontairement prêter de la puissance de calcul en installant soi-même un logiciel particulier.

À titre d’exemple, le défunt projet SETI@home de l’Université de Californie à Berkeley, en quête d’intelligence extraterrestre par l’analyse massive de signaux en provenance de l’espace et captés par le radiotélescope Arecibo.