Un botnet désigne un ensemble d'ordinateurs mis en réseau, placé sous le contrôle d'un administrateur (botmaster) et commandé à distance. Cette association est réalisée à l’insu des propriétaires des ordinateurs. Ces machines infectées sont appelées des zombies. Pour voir les statistiques en temps réel du nombre de zombies actifs, rendez-vous sur la page Statistiques.

Constitution d’un botnet

Pour constituer un botnet, les cybercriminels disposent d’un arsenal complet de malwares. Les trojans, vers et virus sont aujourd’hui très largement utilisés à des fins d’espionnage, de vol de données et/ou de prise de contrôle de l’ordinateur.
La diffusion de ces codes nuisibles se réalise par l’intermédiaire de courriers électroniques infectés (méthode privilégiée des virus), d’applications soi-disant inoffensives, mais intégrant un code nuisible (méthode privilégiée des trojans), ou de sites Internet infectés par des pirates (méthode privilégiée par les vers via la technique du drive by download). Les failles de sécurité du système d'exploitation ou d’un logiciel (faille 0Day) sont aussi des vecteurs d’infection non négligeables.
Une fois dans l’ordinateur, le code nuisible ouvre les ports nécessaires à la communication avec des serveurs distants. Il lui reste ensuite à attendre les ordres du cybercriminel.

Utilisation d’un botnet

Le propriétaire du réseau, le botmaster, accède à l'ordinateur infecté comme s'il se trouvait physiquement devant le système. Ses possibilités d’actions sont ainsi pratiquement illimitées :

Vol de données
Des enregistreurs de frappes (keylogger) peuvent être installés sur l’ordinateur de la victime. Ainsi, toutes les données qu’elle saisit au clavier sont automatiquement collectées et stockées sur le serveur du pirate. Le pirate peut aussi accéder au disque dur de l’ordinateur infecté et copier l’ensemble des données intéressantes. Identifiants et mots de passe de toutes sortes sont alors revendus sur un marché parallèle. 

Camouflage d’identité
Les ordinateurs victimes peuvent être utilisées comme serveur proxy, autrement dit le pirate se sert de l’ordinateur infecté comme d’un relais. Il peut pratiquer des infractions qui seront interprétées comme provenant de l’ordinateur zombie. Selon la taille du réseau de robots, le malfaiteur peut changer son adresse IP en l'espace de quelques secondes afin de rendre la remontée vers son ordinateur totalement impossible.

Envoi de spam
Les ordinateurs commandés à distance sont également utilisés pour la transmission des codes dangereux ou pour l'envoi massif de spam. Chaque ordinateur infecté pouvant servir de relais à l’envoi de milliers de courriers indésirables par minute, un botnet de plusieurs milliers d’ordinateurs peut se révéler très lucratif. Ainsi, l’envoi d’un million de spams peut rapporter entre 150 et 500 euros au propriétaire du réseau. Avec 20.000 PC Zombies, un envoi d’un million de spams nécessite 25 secondes...

Attaque par déni de service
Surcharger un serveur Internet de connexions simultanées dans le but de le rendre inaccessible est une autre utilisation possible d’un botnet. Ces attaques appelées DDoS (Distributed Denial of Service) peuvent avoir différentes finalités. Elles peuvent par exemple être le reflet de l’Hacktivisme : le site Internet d’une société ou d’un service d’Etat est attaqué par un pirate souhaitant manifester son mécontentement. Mais elles peuvent aussi avoir des buts financièrement beaucoup plus intéressés. Les cybercriminels peuvent recourir au chantage afin de recevoir de l’argent de sociétés qui ne souhaiteraient pas que leur site Internet soit attaqué.

Hébergement Web
L'utilisation des ordinateurs zombies en tant que serveur Web ou FTP est aussi une démarche très courante. Avec des ordinateurs connectés en haut, voire très haut débit, la pratique est techniquement intéressante. Des sites infectés ou d’hameçonnage peuvent ainsi être hébergés sur des ordinateurs personnels. L’archivage de contenu pornographique, de copies pirates ou de tout autre contenu illégal peut aussi être pratiqué.

Contrôle des botnets

L'administration et la coordination des ordinateurs zombies peuvent être réalisées de différentes manières. Les premiers réseaux de robots étaient dirigés par des serveurs de commande et de contrôle centralisés. Pour mettre hors d’état le botnet il suffisait alors de mettre hors ligne le serveur de commande. C’est pourquoi aujourd’hui, de plus en plus de structures de communication sont décentralisées, un peu à l’image d’un réseau P2P (poste à poste). Ceci complique la fermeture des réseaux de robots. Les zombies communiquent directement les uns avec les autres, ce qui donne au réseau de robots une efficacité plus élevée face aux coupures.

Avenir des botnets

Les réseaux de robots sont devenus l'une des plus importantes sources de revenus illégaux sur Internet. Au-delà des actions possibles citées ci-dessus, la location du botnet est une autre source de revenus. Autrement dit, un réseau de botnet n’est pas seulement accessible à son créateur. Ce dernier peut le louer à n’importe quelle personne souhaitant réaliser des opérations illégales sur Internet.