Et si votre box, votre TV ou votre smartphone participait à une cyberattaque sans que vous le sachiez ? C’est ce qu’il se passe lorsqu’un botnet prend le contrôle d’un de vos appareils. Grâce à un nouvel outil gratuit de GreyNoise, vous pouvez en quelques secondes vérifier si vos appareils n’ont pas rejoint un réseau de terminaux compromis. On vous explique comment.
Ces derniers mois, les botnets ont fait des ravages dans le monde entier. Le mois dernier, les chercheurs de QiAnXin XLab ont découvert que le botnet Kimwolf est parvenu à s’emparer de plus de 1,8 millions d’appareils Android. Quelques semaines plus tôt, c’est le botnet Badbox 2.0 qui faisait des ravages en piratant plus de 30 000 appareils sous Android.
A lire aussi : Un des plus puissants botnets « ayant jamais existé » a été démantelé
C’est quoi un botnet ?
Pour ceux qui ne le savent pas encore, un botnet désigne un réseau d’appareils piratés par un virus. Contrôlés à distance par des hackers, les appareils peuvent ensuite servir à orchestrer des opérations criminelles. Le mot botnet provient de la contraction entre « robot », et« network », à savoir réseau en anglais. Ordinateurs, smartphones, box Internet, caméras IP, TV connectées, objets IoT, serveurs… Tous les appareils connectés à Internet sont susceptibles de se retrouver dans le viseur d’un botnet.
Pour prendre le contrôle d’un de ces appareils, les pirates s’appuient généralement sur des failles de sécurité. Les hackers à l’origine d’un botnet visent spécifiquement les appareils en fin de vie ou obsolètes. Privés de mises à jour de sécurité, ils sont criblés de failles de sécurité laissés béantes, à la portée du premier attaquant venu. Très souvent, les attaques d’un botnet exploitent également la négligence des utilisateurs. Un mot de faible, et facile à deviner, fait partie des erreurs qui ouvrent grand la porte aux botnets.
À lire aussi : Le botnet Badbox 2.0 continue de croitre et touche des « millions d’appareils », alerte le FBI
Les botnets, les rois des attaques DDoS
Une fois sous la coupe des cybercriminels, les appareils compromis peuvent être utilisés dans le cadre d’activités illicites. Parmi les cas d’usage privilégiés par les pirates, on trouve les attaques par déni de service distribué, ou Distributed Denial of Service (DDoS). Ces cyberattaques consistent à inonder un site, un serveur ou un service en ligne de requêtes pour le ralentir ou le rendre totalement inutilisable.
En parallèle de l’explosion des botnets, les attaques de type DDoS se sont accrues et sont devenues de plus en plus puissantes. Plus un botnet dispose d’appareils sous sa coupe, plus ses assauts seront intenses… et susceptibles de faire planter un service tout entier. Cloudflare a d’ailleurs enregistré une succession d’attaques DDoS de plus en plus puissantes depuis le milieu de l’année dernière. Les attaques ont même battu tous les records. L’attaque DDoS la plus puissante de tous les temps remonte au mois de décembre. Elle est l’œuvre du botnet Aisuru, un virus redoutable dérivé du célèbre botnet Mirai, apparu il y a une dizaine d’années. Le même virus est à l’origine de la dernière cyberattaque géante qui a frappé les serveurs de Microsoft Azure.
Comment débusquer un botnet qui a pris le contrôle de vos appareils ?
Dans ce contexte, GreyNoise, une société de cybersécurité et de renseignement, a mis en ligne un outil qui permet de vérifier si des objets connectés ont été piratés par un botnet. Entièrement gratuit, l’outil va se pencher sur votre adresse IP, à savoir l’adresse numérique unique qui identifie chaque appareil connecté à Internet.
En quelques secondes, vous saurez si l’adresse IP de votre réseau Internet est impliquée dans les activités menées par un réseau d’appareils piratés. Vous pourrez donc vérifier, en un seul clic, l’intégralité des appareils connectés à votre réseau, qu’il s’agisse de votre box, de votre smartphone, de votre tablette, de votre téléviseur ou d’un accessoire connecté. Sur un réseau domestique, tous vos appareils sortent sur la même adresse IP publique. Si l’adresse IP est impliquée dans un botnet, c’est qu’au moins un équipement a été compromis.
Concrètement, le scanner de GreyNoise va comparer votre adresse IP avec la liste des adresses IP utilisées par des botnets. La société dispose en effet d’une base de données sur les adresses IP qui mènent des cyberattaques. Une alerte apparaîtra si l’IP en question a été prise en flagrant délit d’activité malveillante dans les 90 jours avant le scan. Pour chaque IP connue, GreyNoise garde en effet en mémoire ses observations pendant une période de 90 jours.
« GreyNoise surveille le bruit de fond d’Internet : le flux incessant de scanners, de bots et de sondes qui ciblent chaque adresse IP de la planète. Nous avons catalogué des milliards de ces interactions », explique GreyNoise, soulignant que ses capteurs sont « au cœur de ces attaques, collectant des données télémétriques précieuses lors de leurs interactions ».
Pour tester votre adresse IP, il suffit de se rendre sur le site mis en ligne par GreyNoise, à savoir GreyNoise IP Check. Dès que vous ouvrez le site, le scan va démarrer. Quelques secondes plus tard, une bannière verte va apparaître si votre adresse IP a été mise hors de cause.
Votre adresse IP « n’a pas été observée lors de l’analyse d’Internet ni répertoriée dans l’ ensemble de données Common Business Services », à savoir la liste d’adresses IP utilisées par de grands services en ligne légitimes, explique Greynoise sur son site. En clair, elle n’a pas été impliquée dans une cyberattaque et elle n’appartient pas à un gros service Internet (VPN, entreprise ou cloud). Pour réaliser le scan, il faut évidemment désactiver votre éventuel VPN.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.