Histoire des botnets : 20 ans d’évolution de la cybercriminalité
Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).
Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.
Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.
Les grandes étapes de l’évolution des botnets
En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.
La frise ci-dessous résume les principales étapes de cette évolution.

Les premiers botnets (2000-2006)
Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.
À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.
Le fonctionnement est alors le suivant :

Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :
- Lancer des attaques DDoS
- Envoyer des campagnes de spam
- Télécharger et installer d’autres malwares
- Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés
Parmi les botnets les plus connus de cette période figurent :
| Botnet | Particularité |
|---|---|
| GTBot | L’un des premiers botnets basés sur IRC. |
| Agobot (Gaobot) | Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS. |
| SDBot | Botnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares. |
| SpyBot | Utilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants. |
À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.
Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.
2007-2012 : les grands botnets Windows
Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.
Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.
Les principaux botnets de cette période sont les suivants.
| Botnet | Année | Particularité |
|---|---|---|
| Storm | 2007 | Premier botnet de très grande ampleur, utilisé pour le spam et les attaques DDoS. |
| Conficker | 2008 | Ver informatique ayant infecté jusqu’à 15 millions d’ordinateurs grâce à une faille Windows et aux supports amovibles. |
| Rustock | 2006-2011 | L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour. |
| Cutwail (Pushdo) | 2007 | Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing. |
| Waledac | 2008 | Botnet de spam utilisant des techniques avancées de communication P2P. |
| Kelihos | 2010 | Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares. |
Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :
- de l’envoi massif de courriers indésirables (spam) ;
- des campagnes de phishing ;
- de la diffusion de faux antivirus (rogues) ;
- de l’installation d’autres malwares.
Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.
A lire :
Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.
Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.
À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.
Des botnet gigantesques
| Malware / Botnet | Taille du botnet (au meilleur) | Année |
| Rustock | 540 000 à 810 000 | 2006 à 2010 – shutdown : Operation b107 |
| Cutwail (Pushdo / Pandex) | 1 100 000 à 1 600 000 | 2007 – encore actif |
| Bagle | 520 000 à 780 000 | 2004 à 2012 |
| Srizbi | environ 450 000 | 2007/2008 |
| Grum (Tedroo) | 580 000 à 860 000 | 2008 – Takedown 2012 |
| Maazben | 240 000 à 360 000 | 2009 |
| Bredolab (Oficla) | ~220 000 | 2009 – down en 2010 par les autorités Allemandes. Le botmaster, un arménien est arreté et condamndé à 4 ans de prison. |
| Lethic | 210 000 – 310 000 | 2008 – semi-down en 2010 |
| Festi | 140 000 à 220 000 | 2009 |
| Donbot (Buzus) | ~125 000 | 2010 – Sinkhole en 2012 mais revenu |
| Kelihos (Possible suite de Waledac) | ~120 000 | 2009 – Voir Waledac |
| Bobax (Kraken/Oderoor/Hacktool.spammer) | 110 000 à 160 000 | 2004 |
| Waledac | ~90 000 | 2008 – 2010 – TD par Microsoft Retour en 2012 TD début 2017+arrestation |
| Mega-D (Ozdok) | 50 000 à 70 000 | 2009 – down en 2009 par FireEye, remis en ligne un mois après. |
| Gheg (Tofsee/Mondera) | 50 000 à 70 000 | 2013 |
| Xarvester (Rlsloup/Pixoliz) | 20 000 à 36 000 | 2010 |
2010-2015 : la professionnalisation des botnets
À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.
Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :
- Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
- Les opérateurs, qui administrent le botnet et les serveurs C2.
- Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
- Les affiliés, qui monétisent le botnet via différentes activités criminelles.
Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.
Les botnets les plus emblématiques de cette période sont les suivants.
| Botnet | Année | Particularité |
|---|---|---|
| TDSS (Alureon / TDL) | 2010 | Botnet reposant sur un rootkit très sophistiqué, utilisé pour le proxy, le click fraud et le téléchargement d’autres malwares. |
| ZeroAccess (Sirefef) | 2011 | Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud). |
| Citadel | 2011 | Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware. |
| Ponmocup | 2011 | L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares. |
| Necurs | 2012 | Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires. |
Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :
- Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
- Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
- Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
- Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
- Services de proxy, revendant déjà l’accès à des connexions Internet compromises.
Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :
- Les architectures P2P, afin d’éliminer les points de défaillance uniques.
- Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
- Les rootkits, qui masquent le malware et renforcent sa persistance.
- Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.
ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.
Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.
Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.
En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance
Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.
Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.
2016 : l’arrivée des objets connectés
L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.
Les premières victimes sont notamment :
- Les caméras IP
- Les routeurs
- Les enregistreurs vidéo (DVR)
- Les box Internet
- Les objets connectés utilisant Linux embarqué
Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.
| Botnet | Année | Particularité |
|---|---|---|
| Mirai | 2016 | Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives. |
| Linux/Moose | 2015 | Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux. |
| Rakos | 2016 | Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés. |
Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.
Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.
Mirai s’est illustré par plusieurs attaques historiques :
- En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
- Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
- En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.
Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.
À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :
- Ils restent allumés en permanence.
- Ils sont rarement mis à jour.
- Ils utilisent encore des mots de passe par défaut.
- Leurs propriétaires surveillent peu leur activité réseau.
Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.
2017-2020 : les botnets deviennent des plateformes criminelles
À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.
Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.
Parmi les botnets les plus représentatifs de cette période figurent :
| Botnet | Année | Particularité |
|---|---|---|
| Emotet | 2017 | D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels. |
| TrickBot | 2017 | Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti. |
| QakBot (Qbot) | 2018 | Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware. |
| Necurs | Jusqu’en 2020 | L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares. |
De nouvelles méthodes d’infections par mail
Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.
Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.
Les fichiers utilisés sont notamment :
- Des documents Microsoft Word ou Excel contenant des macros malveillantes.
- Des archives ZIP renfermant des scripts.
- Des fichiers JavaScript (
.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH). - Des raccourcis Windows (
.lnk), devenus très populaires à partir de 2021. - Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.
Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).
Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.
À lire également :
- Virus Office (Word, Excel) : comment les macros infectent un PC
- Protéger son PC des scripts VBS, JS, HTA et PowerShell malveillants sur Windows
- Désactiver Windows Script Host (WSH) sur Windows 11/10 pour bloquer les scripts malveillants
Porte d’entrée aux réseaux d’entreprise
Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.
Une fois un poste compromis, ils peuvent :
- Télécharger et installer d’autres malwares
- Déployer un ransomware
- Voler des identifiants
- Se propager sur le réseau local
- Ouvrir un accès distant pour d’autres groupes criminels
Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :
- certains développent les malwares ;
- d’autres diffusent les infections ;
- d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.
Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.
Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.
À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.
Depuis 2020 : les botnets deviennent des plateformes de services
Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.
Cette nouvelle génération se caractérise par plusieurs tendances :
- Les objets connectés (IoT) deviennent une cible prioritaire.
- Les proxys résidentiels remplacent progressivement le spam comme source de revenus.
- Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
- Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.
Les botnets les plus représentatifs de cette période sont les suivants.
| Botnet | Année | Particularité |
|---|---|---|
| Emotet | 2021 (retour) | Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares. |
| Mozi | 2020 | Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés. |
| Glupteba | 2020 | Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience. |
| BADBOX 2.0 | 2025 | Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels. |
| Kimwolf | 2025 | Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android. |
L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :
- Les Android TV Box
- Les box IPTV
- Les téléviseurs connectés
- Les routeurs
- Les caméras IP
- Les NAS
- Les objets connectés (IoT)
Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.
Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :
- Fournir des services de proxys résidentiels
- Effectuer du web scraping à grande échelle
- Contourner les systèmes anti-bot et les CAPTCHA
- Réaliser de la fraude publicitaire (Ad Fraud)
- Distribuer d’autres malwares ou des ransomwares
- Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)
Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.
Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.
À lire également :
Quelques autres botnets célèbres
| Botnet | Période | Taille estimée (au plus fort) | Particularité |
|---|---|---|---|
| Zeus | 2007-2014 | Plusieurs millions de PC | Trojan Banker dont le code source a été publié en 2011, à l’origine de nombreuses variantes. |
| SpyEye | 2009-2013 | Plusieurs centaines de milliers de PC | Concurrent direct de Zeus, spécialisé dans le vol d’identifiants bancaires. |
| TDSS (Alureon / TDL) | 2010-2013 | ≈ 90 000 bots actifs | Rootkit très sophistiqué, proxy, téléchargement de malwares et architecture P2P. |
| Carberp | 2010-2012 | Plusieurs dizaines de milliers de PC | Trojan Banker visant principalement les établissements bancaires. |
| Ponmocup | 2011-2017 | 1,2 à 2 millions de PC | L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares. |
| Bamital | 2010-2013 | ≈ 120 000 PC | Spécialisé dans la fraude publicitaire (Ad Fraud) et la manipulation des résultats de recherche. |
| Koobface | 2008-2012 | 40 000 à 60 000 PC | Propagation via Facebook, MySpace et d’autres réseaux sociaux. |
| Sality | 2003-2014 | Plusieurs centaines de milliers de PC | Virus de fichiers devenu un botnet P2P capable de télécharger d’autres malwares. |
| Gbot (Cycbot) | 2009-2012 | Plusieurs dizaines de milliers de PC | Downloader utilisé pour distribuer d’autres logiciels malveillants. |
| Ramnit | Depuis 2010 | Plus de 350 000 PC (certaines campagnes) | Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données. |
Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.
Les principaux démantèlements de botnets
Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.
Le tableau ci-dessous présente les opérations les plus marquantes.
| Année | Botnet | Opération | Taille estimée | Résultat |
|---|---|---|---|---|
| 2010 | Waledac | Microsoft Sinkhole | ~90 000 bots | Saisie des domaines et mise en place d’un sinkhole DNS. |
| 2011 | Rustock | Operation b107 | ~800 000 bots | Saisie des serveurs C2, forte baisse mondiale du spam. |
| 2012 | Bamital | Microsoft / Symantec | ~120 000 bots | Redirection des bots vers des serveurs de désinfection. |
| 2013 | Citadel | Operation b54 | ~1 400 sous-botnets | Plus de 4 000 domaines neutralisés. |
| 2013 | ZeroAccess | Microsoft, Europol, FBI | 1,9 à 2,2 millions de bots | Infrastructures fortement perturbées malgré l’architecture P2P. |
| 2016 | Avalanche | Europol | Infrastructure mondiale | Plus de 800 000 domaines et serveurs neutralisés. |
| 2019 | Retadup | Gendarmerie nationale | ~850 000 machines | Prise de contrôle du C2 et désinstallation automatique du malware. |
| 2021 | Emotet | Europol / Eurojust | Plusieurs centaines de milliers de machines | Les serveurs C2 sont saisis et un désinstalleur est diffusé. |
| 2023 | QakBot | Operation Duck Hunt | ~700 000 appareils | Infrastructure saisie et malware neutralisé. |
| 2023 | Mozi | Collaboration internationale | Plusieurs millions d’appareils IoT | Les opérateurs diffusent une mise à jour mettant fin au botnet. |
Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.
Conclusion
En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.
Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.
Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.
Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.
La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.
- Sécurité informatique : tous les guides complets
- Les virus informatiques : fonctionnement et protections
- Comment les virus informatiques sont distribués
- Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc
- Comment fonctionnent les trojans : les explications
- Trojan Stealer (InfoStealer) : le malware qui vole des données
- Les keylogger ou enregistreur de frappes clavier
- Les virus PowerShell : fonctionnement, dangers et protection
- Vers informatiques (worms) : description et fonctionnement
- Les botnets : définition, fonctionnement, types et protection
- Comment vos appareils connectés peuvent être détournés pour servir de proxy résidentiel
- Business malwares : le Pourquoi des infections informatiques
- Comment les virus informatiques sont distribués.
- La sécurité de son PC, c’est quoi ?
- Trojan Banker : botnet spécialisé dans le vol de compte bancaire
- Savoir si on a un virus sur son PC : 9 signes d’une infection par un malware
L’article Histoire des botnets : 20 ans d’évolution de la cybercriminalité est apparu en premier sur malekal.com.