Le réseau zombie Storm Botnet est-il mort ou vif ?

Storm Botnet est-il à l'agonie ou au contraire demeure-t-il toujours aussi puissant ? Sur le nombre d'ordinateurs infectés dans le monde, il n'existe aucune certitude et chaque expert propose sa propre estimation. Certains évoquent le chiffre colossal de 50 millions. Marc Blanchard, directeur de recherche pour Kaspersky Lab estimait les PC zombies infectés par le bot Storm à 20 ou 30 millions dans le monde.

Brandon Enright, un chercheur de l'Université de San Diego tordait le cou à tous ces pronostics en début de semaine dernière. Selon lui, il ne resterait plus que 20 000 PC accessibles aux pirates. Le nombre de machines infectées aurait ainsi été divisé par dix depuis le mois de juillet. Le chercheur se base sur les résultats d'un outil qu'il a développé et qui lui permet de recenser sur les réseaux les ordinateurs compromis.

La force de Storm Botnet continue donc de susciter des interrogations. Avec un mode de propagation diversifié faisant appel à des e-mails, de faux blogs ou des sites légitimes contaminés, les pirates disposent de nombreux vecteurs pour remplacer les ordinateurs zombies perdus. En outre, la migration vers une technologie de contrôle en P2P et non plus via un canal IRC, rend bien plus complexe la désactivation de ce réseau zombie.

"Storm Botnet se compose ainsi de machines hôtes mâles qui vont essayer de trouver 1 000 à 2 000 femelles prêtes à accéder au code géniteur du programme. En outre chaque femelle sera reliée à au minimum 3 machines hôtes. Le maillage est très rapide car les femelles vont essayer également de propager des enveloppes vides à 1.000 à 2.000 autres machines", expliquait Marc Blanchard de kaspersky (Lire l'interview de Marc Blanchard du 18/10/2007).

Si Storm Botnet a pu être ébranlé, les pirates ne sont pas pour autant décidés à jeter l'éponge. Network World rapporte ainsi que des contre-attaques sont lancées par le biais de Storm Botnet contre les chercheurs en sécurité menant des travaux sur le réseau zombie. Des experts s'efforçant d'accéder aux serveurs de contrôle du botnet auraient ainsi fait l'objet d'attaques en déni de service avec pour conséquence de rendre indisponible leur connexion Internet durant plusieurs jours.

De manière automatique ou après analyse de la part des pirates, Storm Botnet identifierait les tentatives des chercheurs et les submergerait en retour de trafic pour les déconnecter de force d'Internet. Les concepteurs du programme malveillant Storm auraient en outre revu leur copie pour le rendre plus sophistiqué. Il disposerait ainsi désormais de la capacité d'interrompre le lancement d'une application. De façon plus sournoise, il pourrait autoriser le boot tout en rendant le logiciel inactif.

Premiers visés par ce mécanisme : les logiciels de sécurité, dont les antivirus. Ceux-ci pourront ainsi apparaitre dans le menu des tâches tout en étant en réalité désactivés. Un leurre pour l'utilisateur qui ne bénéficiera plus de l'analyse en temps réel contrairement à ce qu'il pourrait penser.

Si une part de mythologie entoure Storm Botnet, notamment en ce qui concerne l'ampleur de la contamination, le réseau zombie n'en reste pas moins un outil efficace pour ses propriétaires. Un outil qui pour le moment serait essentiellement exploité par les spammeurs. Ces derniers n'auraient d'ailleurs pas besoin de constituer leur propre réseau d'ordinateurs infectés. Il leur suffit en effet d'en louer l'utilisation à l'heure pour quelques centaines de dollars, en fonction de leurs besoins.

Plusieurs experts soulignent également les risques d'attaques via des botnets. Ainsi des sites de jeu en ligne britanniques ont déjà fait l'objet de chantage. Ces services en ligne étaient menacés d'attaque de type DDoS, les rendant ainsi inaccessibles et par conséquent sans revenus, s'ils ne s'acquittaient pas d'une rançon.

Des cyber-attaques à caractère politique sont aussi évoquées. Toutefois, ces opérations à forte visibilité risquent de s'avérer contre-productifs pour les propriétaires de botnets pour qui ces réseaux sont d'une certaine façon l'outil de travail.