Les botnets transforment discrètement des millions d’ordinateurs Zombies, prêts à envoyer des spams ou à participer à des attaques informatiques, sans que les utilisateurs ne s’en aperçoivent. Dès lors, comment savoir si un ordinateur est un Zombie ?
Un Zombie est un ordinateur infecté par un code malicieux, qui attend patiemment d’être activé à distance par son auteur, le « bot master ». En attendant, le malware hiberne sur la machine, et n’éveille aucun soupçon aux yeux de l’utilisateur. Un PC Zombie en lui-même est assez insignifiant, mais il fait généralement partie d’une armée d’ordinateurs infectés (botnet). Lorsqu’elle est activée, cette armée peut participer à l’envoi massif de mails (spams), héberger des sites frauduleux, générer une attaque par DDoS sur un site Web ciblé, et surtout voler vos informations confidentielle au passage.
Il est tout à fait possible que l’ordinateur qui trône sur votre bureau participe à ces méfaits!
Bien que 99% des ordinateurs infectés sont des PC avec windows comme système d’exploitation, Telnet permet aussi de contrôler facilement un ordinateur mac mal configurer. Il n’est donc pas impossible d’être infecté. Et dans ce cas il est plus difficile de détecter le problème pour un utilisateur peu vigilant, car les symptômes peuvent être inexistant sur ce système d’exploitation
Comment éviter que mon ordinateurs ne devienne un zombie ?
La meilleure prévention, c’est d’abord un utilisateur vigilant, notamment lorsqu’il est sur Internet. La fréquentation de sites louches ou le téléchargement de fichiers incertains peut suffire à installer un malware en moins de 5 secondes. Techniquement, d’autres précautions sont également indispensables :
- Maintenir son système d’exploitation à jour (Surtout Windows)
- Utiliser un pare-feu (firewall), un antivirus et une solution anti-spyware/malware, et les tenir à jour
- Eventuellement adopter une solution de filtrage des URL (vérification des adresses Web fréquentées)
- Sur mac un Firewall inversé de Type « Littlsnitch » et redoutable
La prévention, c’est indispensable. Mais s’il est déjà trop tard, comment savoir si mon PC appartient à un botnet ?
Comment savoir si mon ordinateur est un Zombie ?
Lorsqu’un ordinateur est infecté par un spyware ou un malware, certaines activités suspectes peuvent être détectées :
- Le ventilateur démarre à pleine vitesse lorsque l’ordinateur est inactif
- L’ordinateur prend beaucoup de temps pour arrêter
- Vos amis reçoivent des courriels avec votre adresse mail que vous n’avez pas envoyés
- L’accès à Internet est très lent
- Des pop-ups publicitaires s’ouvrent de façon intempestive, même lorsque votre navigateur Web est fermé
Comment dénicher précisément l’infection ?
L’infection s’installe en créant une porte dérobée (backdoor) sur le système. Trouvez cette porte dérobée, et vous aurez le malware. Voici comment faire :
Sur Windows:
- Télécharger TCPView, un logiciel gratuit qui permet de surveiller et d’analyser précisément l’activité TCP/IP du système
- Décompresser le fichier, et l’exécuter (aucune installation n’est demandée)
- La fenêtre qui apparaît présente tous les échanges réseaux entre le PC et le monde extérieur
- Chercher les références Telnet et Netcat (cf. capture ci-dessous)
- Si ces références ne sont pas de votre fait, s’en débarrasser en un clic
- Ensuite contacter une personne compétente pour sécuriser votre machine, car le pirate peut facilement se reconnecter.
Sur Mac os X:
- Ouvrez l’utilitaire réseaux (/application/utilitaire/)
- Afficher l’onglet netstat
- Afficher les informations du tableau de routage
- Verifier la destination de chaque connexion…
Telnet est un protocole réseau qui peut autoriser la création d’une session sur une machine distante, et Netcat est un utilitaire qui permet d’ouvrir des connexions réseaux, de transférer des fichiers, d’ouvrir une backdoor, d’établir un serveur proxy basique, etc.
Attention toutefois, assurez-vous que les processus supprimés ou désactivés ne sont pas essentiels au bon fonctionnement de votre ordinateur !