Problématiques éthiques et juridiques de la lutte contre les botnets

Par Vincent HINDERER, Expert en cybercriminalité chez Lexsi, pour le Cercle des Assises

L’augmentation du nombre de démantèlement de botnets vise principalement à juguler l’explosion des malveillances réalisées grâce à ces réseaux de machines compromises. Les ordinateurs infectés (appelés “bots”) représentent en effet une forme de « couteau suisse » du cybercriminel, tant directement (vol d’information, notamment à des fins de fraude) qu’indirectement (pour monétiser des « services » d’envoi de spam, de déni de service, d’anonymisation ou d’hébergement frauduleux, etc).

process botnet

La difficulté d’apporter une réponse judiciaire à la menace des botnets favorise ainsi certaines démarches qui sortent du cadre de la pure réponse pénale : poursuite civile, « sinkholing », etc.

La pratique du sinkholing1, consiste à prendre – normalement légalement – le contrôle d’un botnet, par exemple via l’enregistrement ou la récupération de noms de domaine utilisés par son serveur de commande.

Efficace pour obtenir une visibilité sur les machines infectées voire sur les cybercriminels, la revente d’intelligence obtenue par sinkholing est devenue aujourd’hui un marché à part entière. Mais « sinkholer » un botnet spécifique peut aller au détriment de l’intérêt d’autres entités, et surtout de forces de l’ordre, en train de mener des investigations ou constatations. Des éléments de preuve peuvent même être supprimés ou rendus inexploitables juridiquement.

Quand plusieurs sociétés agissent contre un même botnet simultanément, d’autres problématiques éthiques (par exemple erreur dans l’identification du détenteur du botnet, risque d’alerter le pirate du fait d’une activité « anormale », etc.) voire légales (un cas de corruption ayant par exemple été recensé) peuvent même survenir, dans un contexte juridique international peu clair sur le sujet.

Les recherches en SSI ne sont d’ailleurs à l’heure actuelle pas soumises à des autorisations d’un point de vue éthique comme peuvent l’être certaines recherches scientifiques. Mais différentes voix aux US2 voire en France3 militent pour un meilleur encadrement de ces pratiques. Les initiatives comme celles d’un individu qui s’est amusé à compromettre plus de 400 000 machines pour réaliser un scan de l’ensemble des adresses IPv44 vont apporter des arguments à ces réflexions.

Nettoyer les machines infectées représentant aujourd’hui un coût rédhibitoire, la tentation est grande, y compris pour les autorités, d’utiliser directement des faiblesses du code utilisé pour piloter un botnet afin de le rendre inoffensif. Des fonctionnalités inhérentes de désinstallation ou de propagation virale pourraient en effet être exploitées, mais ne le sont pas pour des raisons juridiques.

Les autorités hollandaises ont cependant mené une action inédite contre un botnet dont ils avaient pris la main en 2010 en alertant les victimes directement via le navigateur des machines infectées5.

internet copsD’autres juges, en particulier américains, ont autorisé certaines actions similaires, mais souvent en limitant le périmètre à leur propre juridiction. En effet, une démarche autorisée localement peut demeurer répréhensible au sein d’un système judiciaire différent.

D’autres risques complexifient les fermetures de botnets par la récupération et/ou le blocage du dispositif de contrôle des machines compromises. Celles-ci ne peuvent donc plus être commandées, mais demeurent généralement infectées. Pire, si celles-ci étaient en train de mener une malveillance (exemple : un déni de service) à ce moment, cette dernière peut dans certains cas être impossible à arrêter !

Et dans de nombreux cas les auteurs (ou d’autres pirates) ont été en mesure de reprendre la main sur leurs botnets et les effets des fermetures se révèlent souvent au mieux temporaires.

Les cybercriminels ont dès lors introduit divers mécanismes, notamment cryptographiques, pour se protéger contre la récupération indue ou le démantèlement de leurs « outils de travail » par des concurrents, forces de l’ordre ou experts en SSI. On assiste cependant à une réduction des efforts consentis par les cybercriminels pour garder la main sur leurs botnets.

D’une part, les botnets ont été de plus en plus fractionnés en réseaux plus petits. Un des objectifs est éviter d’attirer l’attention des autorités et des éditeurs de solutions de sécurité sur un seul botnet, et limiter l’impact sur leurs activités en cas d’action contre celui-ci.

worldwide connectionD’autre part, les cybercriminels ne cherchent plus systématiquement à conserver ou reprendre la main à tout prix sur leurs réseaux de bots.  Ils les considèrent pour ainsi dire comme jetables, du fait de la simplicité et du risque moindre de les recréer de zéro ou du faible coût pour racheter un botnet.

Il n’y a effectivement pas de pénurie de machines compromises, bien au contraire, en particulier grâce aux vulnérabilités applicatives de logiciels très répandus.

La « guérilla » contre les botnets ne fait donc que commencer. Un effort de coordination des actions entre acteurs public et privé doit cependant être mené à l’échelle internationale pour ne pas gaspiller nos forces inutilement ni menacer des actions en cours. Car les cybercriminels ont régulièrement un coup d’avance et déjà commencé à anticiper nos tentatives pour assécher les ressources à l’origine de leurs lucratives activités illicites.

1 http://www.trendmicro.co.uk/media/misc/lessons-learned-virusbulletin-conf-en.pdf
2 http://www.cyber.st.dhs.gov/wp-content/uploads/2011/12/MenloPrinciplesCORE-20110915-r560.pdf
3 Proposition 4: http://www.strategie.gouv.fr/content/na324-cybersecurite-lurgence-dagir
4 http://internetcensus2012.bitbucket.org/paper.html
5 http://www.pcworld.com/article/208825/article.html

Source : Le Cercle