Type de menace
Botnet

Un Botnet (contraction de robot network) est un réseau d'ordinateurs, de serveurs ou d'objets connectés (caméras, routeurs) qui ont été infectés par un malware et placés sous le contrôle d'un attaquant (le Botmaster).
Les propriétaires légitimes de ces machines ne remarquent généralement pas qu'elles sont infectées. L'attaquant peut envoyer une commande silencieuse pour que des millions de machines exécutent une action coordonnée simultanément.
En quoi cela menace-t-il les données ?
Traditionnellement connus pour réaliser des attaques par déni de service distribué (DDoS) visant à faire tomber des sites web, les botnets sont de plus en plus utilisés pour le vol et la compromission de données :
- Attaques par force brute : Le botmaster ordonne à 100 000 machines d'essayer un seul mot de passe sur le portail d'une entreprise. Ainsi, l'entreprise voit 100 000 tentatives provenant d'adresses IP différentes et ne peut pas simplement bloquer une IP. C'est l'une des causes majeures des fuites de bases de données (Credential Stuffing).
- Hébergement d'infrastructures criminelles : Les botnets servent de proxy pour masquer l'origine d'un attaquant lorsqu'il exfiltre les données d'une organisation compromise, rendant l'attribution extrêmement complexe pour la police.
- Location de l'accès : Les opérateurs de botnets (comme Emotet ou TrickBot par le passé) revendent souvent l'accès aux machines infectées à d'autres groupes criminels (comme des groupes de Ransomware).
L'écosystème commercial
Le Botnet est un service à part entière. Sur le dark web, un attaquant n'a pas besoin de créer son propre virus : il peut louer une heure d'accès à un Botnet de 50 000 machines pour quelques dizaines de dollars.
C'est pourquoi la plupart des grandes fuites de données impliquent, à un moment de la chaîne d'attaque, un botnet (que ce soit pour forcer l'entrée ou pour exfiltrer les gigaoctets de données).
Se prémunir contre les Botnets
Pour éviter que votre entreprise ne soit compromise par une attaque de botnet, ou que vos machines n'en fassent partie :
- Ne jamais laisser de mots de passe par défaut : Particulièrement sur l'IoT (objets connectés), les routeurs et les pare-feux.
- Solutions anti-DDoS et WAF : Utiliser un pare-feu applicatif web (WAF) capable d'identifier les comportements de robots et de bloquer le Credential Stuffing.
- Surveillance des flux sortants : Détecter si un serveur interne communique avec une adresse IP connue pour appartenir à l'infrastructure de commande et de contrôle (C2) d'un botnet.
Sources : ANSSI (Ménaces et Incidents) · Europol (Cybercrime)
Dernières fuites liées
Aucune fuite recensée pour le moment.