Vue lecture

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.

Histoire des botnets : 20 ans d’évolution de la cybercriminalité

Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).

Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.

Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.

✋
Pour tout savoir sur le fonctionnement d’un botnet, consultez : Les botnets : définition, fonctionnement, types et protection

Les grandes étapes de l’évolution des botnets

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.

La frise ci-dessous résume les principales étapes de cette évolution.

Frise chronologique de l'histoire des botnets 20 ans d'évolution

Les premiers botnets (2000-2006)

Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.

À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.

Le fonctionnement est alors le suivant :

Infographie d'un botnet IRC pour comprendre le fonctionnement

Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Envoyer des campagnes de spam
  • Télécharger et installer d’autres malwares
  • Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés

Parmi les botnets les plus connus de cette période figurent :

BotnetParticularité
GTBotL’un des premiers botnets basés sur IRC.
Agobot (Gaobot)Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS.
SDBotBotnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares.
SpyBotUtilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants.

À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.

Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.

Botnet d'une Backdoor IRC diffusées par MSN

2007-2012 : les grands botnets Windows

Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.

Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.

Les principaux botnets de cette période sont les suivants.

BotnetAnnéeParticularité
Storm2007Premier botnet de très grande ampleur, utilisé pour le spam et les attaques DDoS.
Conficker2008Ver informatique ayant infecté jusqu’à 15 millions d’ordinateurs grâce à une faille Windows et aux supports amovibles.
Rustock2006-2011L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour.
Cutwail (Pushdo)2007Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing.
Waledac2008Botnet de spam utilisant des techniques avancées de communication P2P.
Kelihos2010Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares.

Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :

  • de l’envoi massif de courriers indésirables (spam) ;
  • des campagnes de phishing ;
  • de la diffusion de faux antivirus (rogues) ;
  • de l’installation d’autres malwares.

Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.

👉A lire :

Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.

Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.

À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.

Des botnet gigantesques

Malware / BotnetTaille du botnet (au meilleur)Année
Rustock540 000 à 810 0002006 à 2010 – shutdown : Operation b107
Cutwail (Pushdo / Pandex)1 100 000 à 1 600 0002007 – encore actif
Bagle520 000 à 780 0002004 à 2012
Srizbienviron 450 0002007/2008
Grum (Tedroo)580 000 à 860 0002008 – Takedown 2012
Maazben240 000 à 360 0002009
Bredolab (Oficla)~220 0002009 – down en 2010 par les autorités Allemandes. Le botmaster, un arménien est arreté et condamndé à 4 ans de prison.
Lethic210 000 – 310 0002008 – semi-down en 2010
Festi140 000 à 220 0002009
Donbot (Buzus)~125 0002010 – Sinkhole en 2012 mais revenu
Kelihos (Possible suite de Waledac)~120 0002009 – Voir Waledac
Bobax (Kraken/Oderoor/Hacktool.spammer)110 000 à 160 0002004
Waledac~90 0002008 – 2010 – TD par Microsoft
Retour en 2012
TD début 2017+arrestation
Mega-D (Ozdok)50 000 à 70 0002009 – down en 2009 par FireEye, remis en ligne un mois après.
Gheg (Tofsee/Mondera)50 000 à 70 0002013
Xarvester (Rlsloup/Pixoliz)20 000 à 36 0002010

2010-2015 : la professionnalisation des botnets

À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.

Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :

  • Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
  • Les opérateurs, qui administrent le botnet et les serveurs C2.
  • Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
  • Les affiliés, qui monétisent le botnet via différentes activités criminelles.

Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.

Les botnets les plus emblématiques de cette période sont les suivants.

BotnetAnnéeParticularité
TDSS (Alureon / TDL)2010Botnet reposant sur un rootkit très sophistiqué, utilisé pour le proxy, le click fraud et le téléchargement d’autres malwares.
ZeroAccess (Sirefef)2011Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud).
Citadel2011Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware.
Ponmocup2011L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Necurs2012Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires.

Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :

  • Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
  • Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
  • Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
  • Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
  • Services de proxy, revendant déjà l’accès à des connexions Internet compromises.

Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :

  • Les architectures P2P, afin d’éliminer les points de défaillance uniques.
  • Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
  • Les rootkits, qui masquent le malware et renforcent sa persistance.
  • Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.

ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.

Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.

Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.

En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance

Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.

Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.

2016 : l’arrivée des objets connectés

L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.

Les premières victimes sont notamment :

  • Les caméras IP
  • Les routeurs
  • Les enregistreurs vidéo (DVR)
  • Les box Internet
  • Les objets connectés utilisant Linux embarqué

Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.

BotnetAnnéeParticularité
Mirai2016Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives.
Linux/Moose2015Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux.
Rakos2016Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés.

Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.

Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.

Mirai s’est illustré par plusieurs attaques historiques :

  • En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
  • Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
  • En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.

Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.

À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :

  • Ils restent allumés en permanence.
  • Ils sont rarement mis à jour.
  • Ils utilisent encore des mots de passe par défaut.
  • Leurs propriétaires surveillent peu leur activité réseau.

Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.

2017-2020 : les botnets deviennent des plateformes criminelles

À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.

Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.

Parmi les botnets les plus représentatifs de cette période figurent :

BotnetAnnéeParticularité
Emotet2017D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels.
TrickBot2017Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti.
QakBot (Qbot)2018Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware.
NecursJusqu’en 2020L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares.

De nouvelles méthodes d’infections par mail

Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.

Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.

Les fichiers utilisés sont notamment :

  • Des documents Microsoft Word ou Excel contenant des macros malveillantes.
  • Des archives ZIP renfermant des scripts.
  • Des fichiers JavaScript (.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH).
  • Des raccourcis Windows (.lnk), devenus très populaires à partir de 2021.
  • Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.

Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).

Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.

👉 À lire également :

Porte d’entrée aux réseaux d’entreprise

Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.

Une fois un poste compromis, ils peuvent :

  • Télécharger et installer d’autres malwares
  • Déployer un ransomware
  • Voler des identifiants
  • Se propager sur le réseau local
  • Ouvrir un accès distant pour d’autres groupes criminels

Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :

  • certains développent les malwares ;
  • d’autres diffusent les infections ;
  • d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.

Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.

Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.

À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.

Depuis 2020 : les botnets deviennent des plateformes de services

Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.

Cette nouvelle génération se caractérise par plusieurs tendances :

  • Les objets connectés (IoT) deviennent une cible prioritaire.
  • Les proxys résidentiels remplacent progressivement le spam comme source de revenus.
  • Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
  • Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.

Les botnets les plus représentatifs de cette période sont les suivants.

BotnetAnnéeParticularité
Emotet2021 (retour)Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares.
Mozi2020Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés.
Glupteba2020Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience.
BADBOX 2.02025Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels.
Kimwolf2025Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android.

L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :

  • Les Android TV Box
  • Les box IPTV
  • Les téléviseurs connectés
  • Les routeurs
  • Les caméras IP
  • Les NAS
  • Les objets connectés (IoT)

Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.

Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :

  • Fournir des services de proxys résidentiels
  • Effectuer du web scraping à grande échelle
  • Contourner les systèmes anti-bot et les CAPTCHA
  • Réaliser de la fraude publicitaire (Ad Fraud)
  • Distribuer d’autres malwares ou des ransomwares
  • Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)

Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.

Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.

👉 À lire également :

Quelques autres botnets célèbres

BotnetPériodeTaille estimée (au plus fort)Particularité
Zeus2007-2014Plusieurs millions de PCTrojan Banker dont le code source a été publié en 2011, à l’origine de nombreuses variantes.
SpyEye2009-2013Plusieurs centaines de milliers de PCConcurrent direct de Zeus, spécialisé dans le vol d’identifiants bancaires.
TDSS (Alureon / TDL)2010-2013≈ 90 000 bots actifsRootkit très sophistiqué, proxy, téléchargement de malwares et architecture P2P.
Carberp2010-2012Plusieurs dizaines de milliers de PCTrojan Banker visant principalement les établissements bancaires.
Ponmocup2011-20171,2 à 2 millions de PCL’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Bamital2010-2013≈ 120 000 PCSpécialisé dans la fraude publicitaire (Ad Fraud) et la manipulation des résultats de recherche.
Koobface2008-201240 000 à 60 000 PCPropagation via Facebook, MySpace et d’autres réseaux sociaux.
Sality2003-2014Plusieurs centaines de milliers de PCVirus de fichiers devenu un botnet P2P capable de télécharger d’autres malwares.
Gbot (Cycbot)2009-2012Plusieurs dizaines de milliers de PCDownloader utilisé pour distribuer d’autres logiciels malveillants.
RamnitDepuis 2010Plus de 350 000 PC (certaines campagnes)Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données.

Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.

Les principaux démantèlements de botnets

Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.

Le tableau ci-dessous présente les opérations les plus marquantes.

AnnéeBotnetOpérationTaille estiméeRésultat
2010WaledacMicrosoft Sinkhole~90 000 botsSaisie des domaines et mise en place d’un sinkhole DNS.
2011RustockOperation b107~800 000 botsSaisie des serveurs C2, forte baisse mondiale du spam.
2012BamitalMicrosoft / Symantec~120 000 botsRedirection des bots vers des serveurs de désinfection.
2013CitadelOperation b54~1 400 sous-botnetsPlus de 4 000 domaines neutralisés.
2013ZeroAccessMicrosoft, Europol, FBI1,9 à 2,2 millions de botsInfrastructures fortement perturbées malgré l’architecture P2P.
2016AvalancheEuropolInfrastructure mondialePlus de 800 000 domaines et serveurs neutralisés.
2019RetadupGendarmerie nationale~850 000 machinesPrise de contrôle du C2 et désinstallation automatique du malware.
2021EmotetEuropol / EurojustPlusieurs centaines de milliers de machinesLes serveurs C2 sont saisis et un désinstalleur est diffusé.
2023QakBotOperation Duck Hunt~700 000 appareilsInfrastructure saisie et malware neutralisé.
2023MoziCollaboration internationalePlusieurs millions d’appareils IoTLes opérateurs diffusent une mise à jour mettant fin au botnet.

Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.

Conclusion

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.

Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.

Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.

Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.

La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.

📖 Ressources utiles et articles liés

L’article Histoire des botnets : 20 ans d’évolution de la cybercriminalité est apparu en premier sur malekal.com.

Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware

De faux CAPTCHA circulent actuellement sur de nombreux sites web et servent à infecter les ordinateurs avec des malwares.

Ces pages frauduleuses imitent des services connus comme :

  • Google reCAPTCHA
  • Cloudflare
  • hCaptcha

afin de pousser l’utilisateur à exécuter une action dangereuse sur son PC.

Les victimes sont généralement invitées à :

  • Ouvrir la fenêtre Exécuter avec Windows + R
  • Copier/coller une commande PowerShell
  • Autoriser des notifications navigateur
  • Télécharger un script malveillant

Dans ce guide, découvrez comment reconnaître un faux CAPTCHA, comprendre le fonctionnement de cette arnaque et protéger votre PC contre ces attaques.

Qu’est-ce qu’un faux CAPTCHA malveillant

Les faux CAPTCHA sont des pages frauduleuses imitant les systèmes de vérification humaine utilisés sur internet, comme :

  • Google reCAPTCHA
  • Cloudflare Turnstile
  • Vérifications anti-bot

Leur objectif n’est pas de vérifier que vous êtes humain, mais de vous pousser à exécuter une action dangereuse sur votre ordinateur afin d’infecter le PC avec un malware.

Contrairement à un vrai CAPTCHA, ces fausses pages demandent souvent :

  • D’ouvrir la fenêtre Exécuter avec Windows + R
  • De copier/coller une commande PowerShell
  • D’autoriser des notifications navigateur
  • Ou d’exécuter un script malveillant

Les cybercriminels utilisent cette technique pour contourner les protections de sécurité et faire exécuter eux-mêmes le malware par l’utilisateur.

A lire :

Comment fonctionne l’arnaque des faux CAPTCHA

Le scénario est généralement le suivant :

ÉtapeAction frauduleuse
1L’utilisateur arrive sur une page compromise ou malveillante
2Un faux CAPTCHA ou faux Cloudflare apparaît
3La page demande d’effectuer une manipulation Windows
4Une commande PowerShell ou script est exécuté
5Le malware est téléchargé et lancé silencieusement

Ces attaques utilisent souvent :

  • PowerShell
  • JavaScript
  • Scripts téléchargés à distance
  • Commandes encodées
  • Chargeurs de malware (“loaders”)
  • Afficher des publicités en bas à droite de l’écran
Faux captcha et malware : schéma explicatif de l'arnaque

Pourquoi les faux CAPTCHA piègent facilement les utilisateurs

Cette arnaque fonctionne très bien car :

  • Les utilisateurs connaissent les CAPTCHA
  • Les faux messages semblent légitimes
  • Les pages imitent des services connus
  • Les victimes pensent résoudre un problème de sécurité ou anti-bot
Exemples d'une victime qui a infecté son PC par un faux captcha

👉Ce guide montre aussi un autre type d’arnaque assez similaire :

À quoi ressemble une page de faux CAPTCHA

Les faux CAPTCHA imitent les systèmes de vérification utilisés par des services connus comme :

  • Google reCAPTCHA
  • Cloudflare
  • hCaptcha
  • Vérifications anti-bot

L’objectif est de donner l’impression qu’il s’agit d’une vérification de sécurité légitime afin de pousser l’utilisateur à effectuer une action dangereuse.

Exemple d'arnaque de faux captcha

Les éléments typiques des faux CAPTCHA

Élément affichéObjectif des cybercriminels
“Je ne suis pas un robot”Inspirer confiance avec une interface connue
Faux logo Cloudflare ou GoogleFaire croire à une protection officielle
Message “Vérification humaine requise”Créer un sentiment d’urgence ou de sécurité
Demande d’utiliser Windows + RFaire exécuter une commande malveillante
Copier/coller une commandeLancer PowerShell ou un script malware
Demande d’autoriser les notificationsEnvoyer ensuite du spam ou des arnaques
Faux message de sécurité navigateurFaire croire à un blocage légitime

Exemples de faux messages CAPTCHA malveillants

Les faux CAPTCHA utilisent souvent des phrases comme :

  • “Cliquez sur Autoriser pour vérifier que vous êtes humain”
  • “Appuyez sur Windows + R puis collez cette commande”
  • “Cloudflare Security Check”
  • “Votre navigateur nécessite une vérification”
  • “Confirmez que vous n’êtes pas un robot”

Certaines pages affichent également :

  • Une fausse animation de chargement
  • Un faux scan de sécurité
  • Un faux blocage navigateur
  • Des alertes de sécurité alarmantes
Faux captacha Cloudflare qui demande à copier/coller une commande

Quels malwares sont diffusés par les faux CAPTCHA

Les faux CAPTCHA sont aujourd’hui utilisés pour diffuser de nombreux types de malwares. Une fois la commande exécutée ou la permission accordée, le malware peut être téléchargé discrètement sur le PC sans que l’utilisateur s’en aperçoive immédiatement.

Les cybercriminels utilisent souvent :

Voici les principales menaces diffusées via ces faux CAPTCHA :

Type de menaceObjectif du malwareConséquences possibles
InfostealerVoler les mots de passe, cookies et données navigateurComptes Google, Microsoft, Discord, Steam ou réseaux sociaux compromis
Cheval de Troie (Trojan)Ouvrir un accès distant au PCContrôle à distance et installation d’autres malwares
RansomwareChiffrer les fichiers du PCDemande de rançon et perte de données
Malware bancaireIntercepter les données bancairesVol de comptes ou paiements frauduleux
Loader / DownloaderTélécharger d’autres malwaresInfection silencieuse du système
CryptominerUtiliser le PC pour miner de la cryptomonnaiePC lent, forte utilisation CPU/GPU
Notifications navigateur malveillantesEnvoyer du spam, publicités ou fausses alertesPopups, arnaques, redirections dangereuses
AdwareAfficher des publicités ou modifier le navigateurNavigation perturbée et risques supplémentaires

Les faux CAPTCHA et les notifications navigateur malveillantes

De nombreux faux CAPTCHA demandent également :

  • De cliquer sur Autoriser
  • Ou d’accepter les notifications navigateur

Une fois autorisées, ces notifications peuvent ensuite afficher :

  • Des publicités frauduleuses
  • De faux antivirus
  • De fausses alertes Windows
  • Des arnaques au support technique
  • Des liens vers d’autres malwares

Même sans installer de malware directement, ces notifications peuvent devenir très envahissantes et dangereuses.

👉Supprimer les publicités en bas à droite et notification sur Chrome, Firefox, Opera ou Smartphone :

SPAM Publicitaire en bas à droite : comment cela fonctionne

Pourquoi les faux CAPTCHA sont dangereux

Les faux CAPTCHA sont particulièrement efficaces car :

  • L’utilisateur exécute lui-même la commande
  • Certains antivirus détectent difficilement l’attaque au départ
  • L’infection peut rester silencieuse plusieurs heures ou jours

Dans certains cas, les données volées sont revendues ou utilisées très rapidement après l’infection.

Comment reconnaître un faux CAPTCHA

Les faux CAPTCHA cherchent à imiter les systèmes de vérification légitimes afin de pousser l’utilisateur à exécuter une action dangereuse. Certains indices permettent toutefois de repérer rapidement une tentative d’arnaque.

Les signes d’un faux CAPTCHA malveillant

Élément suspectPourquoi c’est dangereux
Demande d’utiliser Windows + RUn vrai CAPTCHA ne demande jamais d’ouvrir la fenêtre Exécuter
Copier/coller une commande PowerShellTechnique utilisée pour lancer un malware
Demande d’exécuter une commande systèmeAucun service légitime ne demande cela via une page web
Faux message Cloudflare ou GoogleLes cybercriminels imitent souvent des services connus
Bouton “Autoriser” pour les notificationsPeut déclencher du spam navigateur et des arnaques
Message alarmant ou urgentTechnique de manipulation pour pousser à agir rapidement
URL étrange ou inconnueLes faux CAPTCHA utilisent souvent des domaines suspects
Téléchargement automatiqueUn CAPTCHA ne doit jamais télécharger un fichier
Page plein écran bloquéeSouvent utilisée pour empêcher l’utilisateur de quitter la page

Les faux CAPTCHA imitent des services connus

Les cybercriminels copient souvent :

  • Google reCAPTCHA
  • Cloudflare
  • hCaptcha
  • Vérifications anti-bot

Les pages peuvent sembler très crédibles avec :

  • Logos officiels
  • Animations de chargement
  • Messages de sécurité
  • Interface proche des vrais CAPTCHA

L’objectif est de donner confiance afin que l’utilisateur :

  • Exécute une commande
  • Autorise des notifications
  • Télécharge un script malveillant

Que faire si vous avez exécuté une commande d’un faux CAPTCHA

Si vous avez exécuté la commande demandée par le faux CAPTCHA, il est possible que le PC ait été infecté par un malware, même si aucun fichier visible n’a été téléchargé.

Dans ce cas, il est recommandé d’agir rapidement afin de limiter les risques :

  • Déconnectez le PC d’internet
  • Fermez le navigateur
  • Lancez une analyse antivirus complète
  • Vérifiez les extensions du navigateur
  • Changez les mots de passe importants depuis un appareil sain
  • Contrôlez les sessions Google, Microsoft, Steam ou réseaux sociaux

Même si le PC semble fonctionner normalement, une infection peut rester discrète pendant plusieurs heures ou jours.

👉 Guide complet pour supprimer un virus et désinfecter le PC :

Comment éviter les faux CAPTCHA et les pages malveillantes

Les faux CAPTCHA exploitent principalement la méfiance limitée des utilisateurs et les poussent à exécuter eux-mêmes des actions dangereuses. Quelques bonnes pratiques permettent toutefois d’éviter la grande majorité de ces arnaques.

Les règles de sécurité contre les faux CAPTCHA

Bonne pratiquePourquoi c’est important
Ne jamais exécuter une commande depuis une page webUn vrai CAPTCHA ne demande jamais cela
Ne jamais utiliser Windows + R à la demande d’un siteTechnique fréquemment utilisée pour lancer des malwares
Refuser les notifications suspectesÉvite le spam navigateur et les arnaques
Vérifier l’adresse du site webLes faux CAPTCHA utilisent souvent des domaines suspects
Maintenir Windows et le navigateur à jourCorrige les failles de sécurité exploitées par les pirates
Utiliser un antivirus à jourPermet de bloquer certaines attaques et scripts malveillants
Utiliser un bloqueur de publicités ou scriptsRéduit les risques de redirections vers des pages frauduleuses
Se méfier des messages alarmantsLes cybercriminels utilisent souvent l’urgence pour manipuler les victimes

👉Pour aller plus loin :

Ce qu’un vrai CAPTCHA ne fera jamais

Un vrai CAPTCHA ne demandera jamais :

  • D’ouvrir PowerShell
  • D’utiliser Windows + R
  • De copier/coller une commande
  • De télécharger ou installer un logiciel
  • De désactiver l’antivirus
  • D’autoriser des notifications pour continuer

Si une page web demande ce type d’action, il s’agit presque toujours d’une tentative d’infection ou d’arnaque visant à exécuter un malware sur votre PC

Sécuriser Windows et son navigateur contre les faux CAPTCHA

Pour limiter les risques :

  • Maintenez Windows Update actif
  • Utilisez Microsoft Defender ou un antivirus fiable
  • Vérifiez régulièrement les extensions navigateur
  • Désactivez les notifications suspectes
  • Utilisez un navigateur à jour

👉 Guide complet :


📖 Ressources utiles et articles liés

L’article Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware est apparu en premier sur malekal.com.

❌