En injectant volontairement un ver informatique dans un espace virtuel contrôlé, une équipe de chercheurs franco-canadienne est parvenu à analyser son mode d'action et ses habitudes d'intrusion

Infecter un réseau fermé pour mieux faire face aux bots informatiques

Pour comprendre le fonctionnement des logiciels malveillants autant s'y confronter. Tel est le postulat d'une équipe de chercheurs de l'école polytechnique de Montréal*. Ces derniers ont mis en place un réseau d'ordinateurs à grande échelle qu'ils ont confronté à une attaque de type Botnets. Ce système d'infection en réseau consiste à envoyer des emails et à attaquer des sites Internet par le biais d'ordinateurs piratés à l'insu de leurs propriétaires. Il est donc difficile de lutter contre eux sans affecter les ordinateurs de propriétaires innocents. Un environnement de cyberattaques contrôlé permet aux spécialistes"de trouver des parades de protections efficaces et surtout d'apprendre à détecter ce genre d'infections", expliquent les chercheurs. Techniquement, plus de 3 000 copies de Windows XP ont été installées sur une centaine de serveurs internes à l'école Polytechnique.

Comprendre comment les ordinateurs sont contrôlés

Chaque système informatique fut équipé d'un logiciel imitant la connexion individuelle d'un ordinateur à Internet ou la connexion à un réseau local, mais sans les relier vraiment à Internet. Ce, "afin d'assurer la mise en quarantaine du système malveillant", ajoutent-ils. Les chercheurs ont alors infecté parallèlement leurs différents systèmes à l'aide d'un logiciel déjà connu qui, début 2010, contrôlait des centaines de milliers d'ordinateurs et envoyait plus de 1,5 milliards de spams par jour, selon les estimations de Microsoft. Résultats : l'expérience a permis aux chercheurs de mieux comprendre les contraintes des pirates. Par exemple, la faiblesse du cryptage protégeant la communication entre les ordinateurs infectés et le serveur central est en fait volontaire et due à la taille considérable des réseaux d'ordinateurs zombies. "Le centre de commande de notre Botnet s'est vite trouvé submergé par la masse de données à cryptographier", expliquent les chercheurs.

Les serveurs débordés par le processus de cryptographie des données

En se mettant ainsi dans la peau de pirates informatiques, les chercheurs se trouvent donc mieux à-mêmes de comprendre leurs contraintes... et leurs faiblesses. Point important : l'équipe de chercheurs a également effectué une attaque qui consiste à ajouter de faux programmes informatiques sur le réseau pour influencer le comportement du système malveillant en réseau. Une technique qui si l'on en croit les chercheurs "pourrait arrêter les spams envoyés par le processus pirate". Toutefois, un Botnet contrôlé et mis en quarantaine dans le cadre d'une expérience n'agit jamais exactement comme lors d'une véritable cyberattaque. Tout ne peut pas être reproduit. D'ailleurs, "un Botnet contient entre 50 000 à 100 000 ordinateurs infectés et son comportement varie en fonction du trafic sur la Toile et de différentes sources non prises en compte par la simulation", rappellent les chercheurs.

* en collaboration avec l'université de Nancy et l'université de Carlton au Canada 

Rédigé par Joy Cordier