Le d\u00e9mant\u00e8lement des infrastructures C2 porte un nouveau coup dur \u00e0 la lutte contre les botnets IoT men\u00e9e par les forces de l'ordre et modifie, au moins temporairement, l'\u00e9quilibre des forces entre les attaquants, les op\u00e9rateurs de r\u00e9seau et les services qui d\u00e9pendent d'une disponibilit\u00e9 maximale au pire moment. Ce point est crucial, car le probl\u00e8me ne s'arr\u00eate pas \u00e0 la fermeture d'un panneau de contr\u00f4le\u00a0; souvent, il ne fait que changer de phase.<\/p>\n
Les autorit\u00e9s des \u00c9tats-Unis, d'Allemagne et du Canada sont intervenues et ont d\u00e9sactiv\u00e9 l'infrastructure de commande et de contr\u00f4le (C2) utilis\u00e9e par les botnets Aisuru, KimWolf, JackSkid et Mossad, des r\u00e9seaux qui compromettaient des appareils de l'Internet des objets (IoT) pour coordonner des attaques \u00e0 grande \u00e9chelle.<\/p>\n
L'op\u00e9ration ne s'est pas limit\u00e9e aux serveurs virtuels isol\u00e9s. Elle s'est \u00e9tendue aux domaines, aux panneaux d'administration et \u00e0 d'autres points de la cha\u00eene technique permettant aux op\u00e9rateurs d'envoyer des messages. commandes pour des millions d'appareils<\/a> Ce r\u00e9seau aurait \u00e9t\u00e9 d\u00e9tourn\u00e9. Depuis cette base, des centaines de milliers d'attaques par d\u00e9ni de service distribu\u00e9 (DDoS) auraient \u00e9t\u00e9 lanc\u00e9es contre des cibles mondiales, notamment des adresses IP li\u00e9es au r\u00e9seau d'information du d\u00e9partement de la D\u00e9fense (DoDIN). Autrement dit, il ne s'agissait pas d'un simple r\u00e9seau perturb\u00e9, mais d'une plateforme op\u00e9rationnelle capable d'exercer une r\u00e9elle pression sur des infrastructures sensibles.<\/p>\n Selon le minist\u00e8re am\u00e9ricain de la Justice, les dossiers judiciaires attribuent plus de trois millions d'appareils compromis \u00e0 ces r\u00e9seaux (cam\u00e9ras IP, enregistreurs vid\u00e9o et routeurs Wi-Fi, entre autres) et quantifient les ordres d'attaque \u00e9mis par chaque botnet\u00a0: Aisuru, plus de 200\u00a0000\u00a0; KimWolf, plus de 25\u00a0000\u00a0; JackSkid, plus de 90\u00a0000\u00a0; et Mossad, plus de 1\u00a0000. Le minist\u00e8re de la Justice l'a rendu public<\/a>.<\/p>\n Ce chiffre permet de relativiser les choses, mais il est important de ne pas l'interpr\u00e9ter comme signifiant que tous les appareils compromis ont la m\u00eame valeur. Un vaste r\u00e9seau de zombies instable est diff\u00e9rent d'un r\u00e9seau plus petit, persistant, dot\u00e9 d'une bonne rotation des n\u0153uds et d'op\u00e9rateurs qui savent quand frapper. Parfois, le probl\u00e8me ne r\u00e9side pas seulement dans le nombre d'appareils impliqu\u00e9s, mais aussi dans la disponibilit\u00e9 du r\u00e9seau \u00e0 certains moments.<\/p>\n En d\u00e9cembre, Aisuru a atteint un pic de 31,4 Tbit\/s et 200 millions de requ\u00eates par seconde\u00a0; il avait auparavant \u00e9tabli un record \u00e0 29,7 Tbit\/s et, en novembre, il avait \u00e9t\u00e9 li\u00e9 \u00e0 une autre vague ayant atteint 15,72 Tbit\/s, provenant d'environ 500\u00a0000 adresses IP. Ces chiffres sont certes impressionnants, mais l'essentiel ne r\u00e9side pas dans les performances techniques elles-m\u00eames. Ils d\u00e9montrent surtout le seuil de d\u00e9fense n\u00e9cessaire pour absorber ou d\u00e9vier une attaque sans d\u00e9gradation significative du service.<\/p>\n Lorsque ces pics de charge surviennent, le d\u00e9bat passe de \u00ab Est-ce dangereux ? \u00bb \u00e0 \u00ab Qui peut y r\u00e9sister, pendant combien de temps et \u00e0 quel prix ? \u00bb. Pour les op\u00e9rateurs de taille moyenne ou les services dot\u00e9s d'une architecture moins distribu\u00e9e, la r\u00e9ponse n'est pas toujours simple. Dans certains environnements, une telle attaque ne paralyse pas l'ensemble du syst\u00e8me, mais elle rend le service intermittent, impr\u00e9visible ou tr\u00e8s co\u00fbteux \u00e0 maintenir. Et cela, d'un point de vue op\u00e9rationnel, constitue d\u00e9j\u00e0 une victoire partielle pour l'attaquant.<\/p>\n Lorsqu'un r\u00e9seau de zombies op\u00e8re \u00e0 cette \u00e9chelle, la menace cesse d'\u00eatre un \u00e9v\u00e9nement ponctuel. Elle devient un risque syst\u00e9mique\u00a0: congestion du r\u00e9seau, d\u00e9gradation prolong\u00e9e, mesures d'att\u00e9nuation co\u00fbteuses et \u00e9quipes techniques occup\u00e9es \u00e0 \u00e9teindre des incendies au lieu de s'attaquer \u00e0 la vuln\u00e9rabilit\u00e9 sous-jacente.<\/p>\n Ces r\u00e9seaux de zombies exploitaient une combinaison bien connue dans les environnements IoT\u00a0: des appareils dot\u00e9s d\u2019interfaces expos\u00e9es, d\u2019identifiants par d\u00e9faut ou non corrig\u00e9s, et d\u2019un logiciel de gestion accessible depuis Internet. L\u2019infrastructure C2 joue le r\u00f4le de \u00ab\u00a0cerveau\u00a0\u00bb du r\u00e9seau\u00a0: elle re\u00e7oit les commandes de l\u2019op\u00e9rateur et les traduit en actions distribu\u00e9es aux agents pr\u00e9sents sur chaque appareil compromis.<\/p>\n Cela para\u00eet simple en th\u00e9orie, mais en pratique, le v\u00e9ritable probl\u00e8me r\u00e9side souvent dans la persistance du d\u00e9sordre. Un routeur oubli\u00e9, une cam\u00e9ra install\u00e9e il y a des ann\u00e9es, un enregistreur que personne ne met \u00e0 jour car \u00ab il fonctionne encore \u00bb. C'est l\u00e0 que ces r\u00e9seaux trouvent leur continuit\u00e9. Ils n'ont pas besoin d'une sophistication irr\u00e9prochable \u00e0 chaque n\u0153ud\u00a0; ils se contentent de nombreux points faibles entretenus par la routine, la n\u00e9gligence ou le manque d'inventaire.<\/p>\n De plus, le march\u00e9 de l'acc\u00e8s \u2013 le mod\u00e8le de \u00ab cybercriminalit\u00e9 en tant que service \u00bb mentionn\u00e9 dans les d\u00e9clarations \u2013 amplifie les d\u00e9g\u00e2ts. Les op\u00e9rateurs autres que le d\u00e9veloppeur du logiciels malveillants<\/a> Ils peuvent louer l'acc\u00e8s \u00e0 ces r\u00e9seaux pour lancer des campagnes d'extorsion ou de saturation. Cela change radicalement la donne\u00a0: on n'est plus d\u00e9pendant d'un seul groupe d\u00e9sireux d'exploiter intensivement le botnet, car le r\u00e9seau devient un service et circule. Plus rentable pour eux, plus difficile \u00e0 anticiper pour tous les autres.<\/p>\nQue disent les documents judiciaires ?<\/h3>\n
Pourquoi les pics de trafic signal\u00e9s sont importants<\/h2>\n
Interpr\u00e9tation technique du mode op\u00e9ratoire<\/h3>\n
Implications op\u00e9rationnelles et limites de l'intervention polici\u00e8re<\/h2>\n