Botnet
Le terme botnet vient de la contraction des termes « robot » et « network » (réseau). Un botnet est un groupe d'ordinateurs (les « bots ») qui communiquent entre eux et avec leur(s) serveur(s) de commande et contrôle (C&C).
Dans le domaine de la sécurité de l'information, les bots sont des ordinateurs dont les défenses de sécurité ont été violées. Ils exécutent un logiciel malveillant qui permet à un tiers de les contrôler sans le consentement du propriétaire ou de l'opérateur légitime de l'ordinateur. Les ordinateurs personnels sont souvent compromis de cette manière, mais des bots ont été trouvés dans des ordinateurs d'écoles, d'entreprises et de gouvernements. Cependant, dans certains cas, les bots sont des serveurs compromis. Par exemple, les chercheurs d'ESET ont découvert une opération importante et sophistiquée appelée Windigo dans laquelle un groupe organisé de criminels a compromis plus de 25 000 serveurs Linux et UNIX uniques.
Les botnets sont généralement utilisés pour générer du courrier indésirable, propager d'autres logiciels malveillants (y compris des copies d'eux-mêmes) ou inonder un réseau ou un serveur web de demandes excessives pour le faire tomber en panne (attaque par déni de service, DDoS). Les botnets ont également été utilisés pour l'hameçonnage, le transfert de données volées et d'autres délits financiers.
Les plus grands botnets sont constitués de millions d'ordinateurs et représentent une menace sérieuse. Selon les estimations de l'industrie citées par Joseph Demarest, directeur adjoint de la division cybernétique du FBI, lors de sa déclaration devant la commission judiciaire du Sénat, sous-commission sur la criminalité et le terrorisme, le 15 juillet 2014, les botnets ont causé plus de 9 milliards de dollars de pertes aux victimes américaines et plus de 110 milliards de dollars de pertes au niveau mondial. Environ 500 millions d'ordinateurs sont infectés chaque année dans le monde.
C'est pourquoi les organismes nationaux et internationaux chargés de faire respecter la loi collaborent avec les principales entreprises de sécurité pour perturber les réseaux de zombies en saisissant leurs serveurs C&C et leurs domaines. L'action conjointe de nombreuses agences de sécurité, dont le FBI, Interpol, Europol, Microsoft et ESET, contre les botnets Dorkbot en décembre 2015 est un exemple d'une telle perturbation.
ESET utilise la technologie anti-botnet qui recherche dans les communications réseau sortantes des schémas malveillants connus et compare le site distant à une liste noire de sites malveillants. Toute communication malveillante détectée est bloquée, signalée à l'utilisateur et, éventuellement, à ESET.