Les réseaux zombies se détectent via leur mode de communication

Par 12 avril 2010
Mots-clés : Smart city, Asie-Pacifique

Pour plus d'efficacité, les logiciels de détection des vers informatiques doivent cibler quel est le protocole qui établit la communication entre les botnets.

Contre les réseaux de PC zombies, il est vain de concentrer ses efforts sur l’origine de l’infection pour la contrer, si aucun travail n’est effectué sur la manière dont les botnets communiquent entre eux, constatent deux chercheurs de l’université des sciences informatiques de Malaisie dans une étude. Selon eux, pour contrecarrer de façon optimale l’attaque à venir, il faut du coup déterminer en amont la manière dont les robots zombies sont connectés. Pour y parvenir, ils ont mis au point un modèle de détection des modes de communication. Pourquoi ? Notamment parce que le réseau est généralement infecté bien avant que la cyber-attaque proprement dite - un envoi massif de spams, par exemple - soit lancée.
Analyser en amont la manière dont les robots zombies sont connectés
Une première phase pour les pirates consistant à prendre le contrôle des ordinateurs, en créant une structure fondée sur un protocole de communication bien déterminé. Mais aussi parce que les modes de propagation évoluent, et que les pirates informatiques ont développé des stratégies pour échapper aux logiciels de protection. Comme la mise au point de systèmes fondés sur des réseaux de communication en pair à pair. "Les botnets en pair à pair ne sont pas construits de la même façon : ils ne sont pas organisés autour de serveurs de commande et de contrôle centralisés", indique l’étude. Or, les logiciels de détection des virus considèrent habituellement que les PC zombies sont reliés autour d’une structure de communication IRC.
Différents protocoles de communication
Pour Internet Relay Chat, ou “discussion relayée par Internet”. Un protocole de communication textuelle qui utilise la Toile de moins en moins utilisé par les “botmasters”. Le système mis au point par les chercheurs vérifie du coup le type de communication à l'œuvre. Pour ce faire, les chercheurs proposent de générer des trafics entre des postes soupçonnés d'être infectés. Et d'observer les flux entre les machines pour déterminer la manière dont celles-ci sont reliées. Cela afin de bloquer l'attaque avant qu'elle ne soit générée.

Mentions légales © L’Atelier BNP Paribas