Machine zombie
En sécurité informatique, une machine zombie est un ordinateur contrôlé à l'insu de son utilisateur par un cybercriminel. Ce dernier l'utilise alors le plus souvent à des fins malveillantes, par exemple afin d'attaquer d'autres machines en dissimulant sa véritable identité.
Un zombie est souvent infesté à l'origine par un ver ou cheval de Troie.
Origine du terme
Le terme vient du zombie de la mythologie vaudou, un mort-vivant passé sous le contrôle d'un sorcier. En informatique, il est utilisé dans sa forme anglaise.
RĂ©seau de machines zombies
Un réseau de machines zombies peut être constitué et contrôlé par une ou plusieurs personnes, afin d'obtenir une capacité de traitement considérable et d'avoir un impact plus important.
Des « armées de zombies », c'est-à -dire de grandes quantités d'ordinateurs compromis, sont utilisées dans les attaques de type « déni de service » ou des tâches diverses comme les envois en masse de courriers non sollicités (spam).
Certains groupes de crackers en contrôleraient plusieurs centaines de milliers au sein de réseaux de zombies, qu'on appelle botnets à l'instar des réseaux de robots IRC du même nom. Ces botnets peuvent être utilisés pour commettre des délits comme le vol de données bancaires et identitaires à grande échelle. Les botnets sont plus à l'avantage d'organisations criminelles (mafieuses) que de cybercriminels isolés, et peuvent même être loués à des tiers peu scrupuleux.
Un réseau de machines zombies peut aussi être utilisé afin de fournir aux cybercriminels une puissance de calcul phénoménale, leur permettant de déchiffrer un code en un temps considérablement plus court que sur une seule machine.
Proportion de systèmes infectés
Selon Vinton G. Cerf, l'un des pères fondateurs d'Internet, au début de l'année 2007, un ordinateur connecté sur cinq serait un zombie (de 1/6 à 1/4)[1].
Palmarès des pays les plus pollueurs
Le nombre de machines zombies dans un pays peut être évalué à partir de la provenance des pourriels détectés. Le nombre de pourriels en provenance d'un pays par rapport à la quantité globale de pourriels détectés donne donc une indication du nombre de machines zombies d'un pays par rapport à l'ensemble des machines connectées sur le réseau.
Selon Symantec, fin 2004, le parc le plus important de systèmes contaminés se trouve au Royaume-Uni (avec 25,2 %). Les États-Unis décrochent la deuxième place avec 24,6 %. Ils sont suivis respectivement par la Chine (7,8 %), le Canada (4,9 %) et l'Espagne (3,8 %). La France est au sixième rang avec 3,6 %.
Selon Sophos, début 2005[2], la première place est attribuée aux États-Unis (35,7 % de pourriels détectés), suivis de la Corée du Sud et de la Chine, puis de la France avec 3,19 %.
Selon Sophos, début 2007[3], la première place est toujours attribuée aux États-Unis avec 22 %. La deuxième place est cette fois-ci prise par la Chine (incluant Hong Kong) avec 15,9 %, puis par la Corée du Sud avec 7,4 %. La France est toujours quatrième de ce palmarès avec 5,4 %, suivie de près par l'Espagne avec 5,1 % des pourriels détectés.
Les programmes
Le botnet Srizbi est responsable de la transmission de la moitié des pourriels dans le monde.
En 2015 et depuis 2009, le botnet Simda aurait infecté plus de 770 000 ordinateurs[4]. Le , une opération synchronisée globale, faisant appel au FBI, au Cyber Defense Institute, à Microsoft, au NHTCU, à Kaspersky Lab et à Trend Micro, a été coordonnée par Interpol afin de neutraliser le réseau de zombies Simda[5]. Une alerte technique a été émise le . Le botnet Simda a la particularité d'être très discret bien qu'il réussisse à infecter un nombre important d'ordinateurs chaque jour[6]. À la suite de l'événement, Kaspersky Lab a créé une page accessible à tous, checkip.kaspersky.com[7], permettant de savoir si un ordinateur a été infecté.
D'autres botnets comme Storm et Kraken sont aussi responsables de l'infection de millions d'ordinateurs.
Notes et références
- Un quart des PC en ligne seraient des zombies - Le Monde informatique, 2 février 2007
- Les PC zombies français déversent leurs spams - 01net.com, 11 avril 2005
- Sécurité Informatique no 257, 13 février 2007
- (en) « Alert (TA15-105A) », US-CERT,
- (en) Michael Mimoso, « Coordinated Takedown Puts End to Simda Botnet », Threatpost,
- Vitaly Kamluk, « Simda joue à cache-cache : un jeu pour adultes », Viruslist.com/Kaspersky Lab,
- (en) Simda botnet detector - Kaspersky Lab