Alertes de sécurité en cours Discussion Discussion
Faire un lien Lien
Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée Assiste.com - Sécurité informatique - Décontamination - Antivirus - Protection - Protection de la Vie Privée


BotNet Rustock

Dernière mise à jour : 2016-12-03T00:00 - 03.12.2016 - 00h00
26.03.2014 - 00h00 - Paris - (Assiste - Pierre Pinard) - Mise à jour

BotNet Rustock

BotNet RustockBotNet RustockBotNet Rustock

BotNet Rustock
Le botNet Rustock est resté en activité de 2006 au 16 mars 2011. Le 16 mars 2011, ce botNet a été démantelé grâce à Microsoft, aux autorités fédérales américaines, à la société Fireeye et à l'University of Washington. Selon les sources, il aurait infecté 150.000 PC à son commencement pour finir avec 2.400.000 machines compromises (zombifiées) lors de son démantèlement. Le botNet Rustock est considéré comme le plus gros diffuseur de spams à travers le monde. A un million d'ordinateurs infectés, il était capable d'envoyer 30 milliards de spams par jour (plus de 60 milliards de spams par jour au plus fort de sa taille). Outre le fait qu'il envoyait des spams pour le compte d'annonceurs publicitaires ou d'opérations de phishing, il piégeait les spams avec la diffusion de son propre parasite de zombification des machines, augmentant constamment la taille de son botNet, piloté par 19 serveurs (dit C&C - Command and Control - Commande et Contrôle). Il utilisait des techniques de furtivité et de privilèges élevés (ring 0 - privilèges de niveau système) propres aux rootkits. Ses communications entre les machines compromises (zombies) et ses serveurs étaient sécurisées et chiffrées (cryptées - SSL).

Lors d'une première fermeture de ce BotNet, le 11 novembre 2008, le spam mondial diminua de 75% d'un coup, le jour même ! Cette première fermeture fut obtenue de manière détournée : les fournisseurs de télécommunication et de bande passante Global Crossing et Hurricane Electric fermèrent le robinet (les " tuyaux " d'Internet) du principal hébergeur des serveurs de C&C de Rustock (le FAI (Fournisseur d'Accès Internet) McColo - un FAI basé en Californie, à San Jose, fondé par un hacker russe connu sous le nom de Nikolai et dont le pseudo était " Kolya McColo ").

Effet de la première fermeture du BotNet Rustock, le 11 novembre 2008, sur le spam mondial - Sondes SpamCop
Effet de la première fermeture du BotNet Rustock,
le 11 novembre 2008, sur le spam mondial
Sondes SpamCop
Effet de la première fermeture du BotNet Rustock, le 11 novembre 2008, sur le spam mondial - Sondes SpamCop
Effet de la première fermeture du BotNet Rustock,
le 11 novembre 2008, sur le spam mondial
Sondes SpamCop

On observa, après la fermeture de McColo, une remise en service de ses serveurs durant quelques heures avec un trafic mesuré à 15 MO/s vers la Russie (The Register) - pour une très probable sauvegarde de toutes les données du botNet Rustock sur de nouveaux serveurs. Dans les semaines qui suivirent, le spam mondial remonta de 60%. Aujour'hui (2012), le spam mondial, après la disparition définitive de Rustock, ne représente plus que 3 fois la correspondance par e-mail "normale" (légitime).

Comment je me fais avoirComment je me fais avoirComment je me fais avoir

Essentiellement à cause de failles de sécurité non corrigées ou par ouverture d'une pièce jointe d'un eMail (dans ce dernier cas, c'est le virus PEBCAK qui est en cause).

  • Janvier 2007
    Selon Vinton Cerf, l'un des pères fondateurs d'Internet, président de l'ICANN, et co-inventeur du protocole de communication Internet TCP/IP, dans une déclaration de fin janvier 2007 à Davos, le problème des BotNet (réseaux cachés faits à partir de la prise de contrôle de votre ordinateur (zombification et zombies) par un cybercriminel) serait désormais d'ordre pandémique : un quart de tous les ordinateurs connectés au réseau Internet (soit cent cinquante millions des six cent millions d'ordinateurs connectés à l'Internet en 2007, trois cents millions des 1,2 milliard d'ordinateurs connectés à l'Internet fin 2012) appartiendraient, avant leurs propriétaires légitimes, à des pirates qui en ont le contrôle total et les mettent en "Réseaux de Robots" (BotNets), pour cracher du Spam à longueur de journée ou lancer des attaques en Déni de service distribue (DDoS) contre des serveurs et demander des rançons à leurs propriétaires (les faire payer pour leur "protection") ou encore pour lancer des arnaques bancaires, par Spam, en Phishing, et pour implanter des Adwares (logiciels publicitaires) pour lesquels ils perçoivent une commission au nombre d'Adwares implantés, etc. ... Il ne s'agit donc pas d'un simple problème technique de virus et de failles de sécurité, mais d'un problème de macro-économie planétaire.

  • Février 2011
    Les dix premiers botnets représentent, à eux seuls, 57% des infections mondiales de PCs. Une étude de la société Pingdom, spécialisée dans les conseils et services Internet, donne le chiffre de 1,97 milliard d'utilisateurs dans le monde. Il y aurait donc, en 2010, plus d'un milliard d'ordinateurs utilisés, à l'insu de leurs propriétaires, dans un BotNet !

  • Mars 2011
    La progression des ordinateurs infectés, se retrouvant zombifiés et noyés dans un BotNet, est explosive. Le rapport Damballa pour le 1er semestre 2011 fait état, en Amérique du nord, de plus de 58% des ordinateurs zombifiés avec au moins 5 BotNets comportant chacun plus de 1 million de zombies. Microsoft, dans The Microsoft Securiry Chronicles du 03 mars 2011, fait état d'une progression de 654% des machines zombifiées entre début et fin 2010 !

Contre mesuresContre mesures" Contre mesures "

Lorsque votre machine est pénétrée et contaminée, vous pensez être une victime ? Oui, peut-être, mais si votre machine est utilisée en relais pour lancer une attaque (faire "tomber" un site gouvernemental ou militaire, ou demander une rançon, etc. ...), vous pouvez être recherché, juridiquement, pour complicité, à cause de votre laxisme à protéger votre machine (le principe de poursuites et d'amendes pour piratage d'œuvres soumises à droits, par " Hadopi ", repose sur le même principe : machine mal protégée = laxisme coupable du propriétaire).

Utilisez des outils et réglages de protection mais :

  • N'empilez pas trop d'outils, vous risqueriez l'effet inverse (incompatibilité, blocages mutuels, etc. ...)
  • Ne jamais vous reposer sur vos outils, au risque de vous laisser aller, baisser votre niveau de vigilance, voire le perdre.
  • Réfléchissez d'abord, cliquez ensuite.

Contre-mesures préventives : Maintenir sa machine intègre, impénétrable, efficiente :

Contre-mesures curatives - Décontaminer, éventuellement, sa machine :

RéférencesRéférences" Références "

RessourcesRessources" Ressources "

 Requêtes similairesRequêtes similaires" Requêtes similaires "