THÈSE DE DOCTORAT DE L’UNIVERSITÉ PIERRE ET MARIE CURIE Spécialité Informatique École doctorale Informatique, Télécommunications et Électronique (Paris) Présentée par Éric FREYSSINET Pour obtenir le grade de DOCTEUR DE L’UNIVERSITÉ PIERRE ET MARIE CURIE Sujet de la thèse : Lutte contre les botnets : analyse et stratégie Présentée et soutenue publiquement le 12 novembre 2015 devant le jury composé de : Rapporteurs : M. Jean-Yves Marion Professeur, Université de Lorraine M. Ludovic Mé Enseignant-chercheur, CentraleSupélec Directeurs : M. David Naccache Professeur, École normale supérieure de thèse M. Matthieu Latapy Directeur de recherche, UPMC, LIP6 Examinateurs : Mme Clémence Magnien Directrice de recherche, UPMC, LIP6 Mme Solange Ghernaouti-Hélie Professeure, Université de Lausanne M. Vincent Nicomette Professeur, INSA Toulouse Cette thèse est dédiée à M. Celui qui n’empêche pas un crime alors qu’il le pourrait s’en rend complice. — Sénèque Remerciements Je tiens à remercier mes deux directeurs de thèse. David Naccache, officier de réserve de la gendarmerie, contribue au développement de la recherche au sein de notre institution en poussant des personnels jeunes et un peu moins jeunes à poursuivre leur passion dans le cadre académique qui s’impose. Matthieu Latapy, du LIP6, avec qui nous avions pu échanger autour d’une thèse qu’il encadrait dans le domaine difficile des atteintes aux mineurs sur Internet et qui a accepté de m’accueillir dans son équipe. Je voudrais remercier aussi, l’ensemble de l’équipe Réseaux Complexes du LIP6 et sa responsable d’équipe actuelle, Clémence Magnien, qui m’ont accueilli à bras ouverts, accom- pagné à chaque étape et dont j’ai pu découvrir les thématiques et les méthodes de travail au fil des rencontres et des discussions. Je remercie aussi toutes les personnes avec qui j’ai pu échanger, et dont j’ai pu apprendre beaucoup au cours de ces quatre dernières années. En particulier, je remercie pour leurs précieux conseils : les chercheurs du Laboratoire de haute sécurité du LORIA, et notam- ment Jean-Yves Marion, directeur du LORIA, Guillaume Bonfante et Fabrice Sabatier, les chercheurs du laboratoire de la Commission européenne à Ispra (Italie) – Laurent Beslay, Pasquale Stirparo et Apostolos Malatras – ainsi que Charlie Hurel, chercheur indépendant, et Sébastien Larinier de la société Sekoia. Ensuite, je suis reconnaissant à tous les contributeurs de la communauté #botnets.fr dont la bonne humeur et les pistes de réflexion ont nourri mon travail. Parmi eux, l’équipe des volontaires organisateurs de la Botconf m’ont montré qu’il était possible de monter dans la bonne humeur, avec de vrais amis, un véritable projet international qui contribue aux échanges entre les chercheurs qui travaillent à la lutte contre les botnets. Je salue tout particulièrement ma maison d’adoption, la Gendarmerie nationale, au sein de laquelle je m’épanouis, qui accueille des profils scientifiques et leur offre des carrières variées et passionnantes. Sans ce cadre, je n’aurais peut-être jamais replongé dans les études et surtout je n’aurais peut-être jamais pu traiter d’un tel sujet. La Gendarmerie est sans conteste une force humaine, et sans mes camarades, les femmes et les hommes que j’ai côtoyés, avec qui j’ai travaillé et que j’ai commandés, avec qui j’ai enquêté sur des botnets, cette aventure n’aurait pas été possible. Il en va de même pour mes collègues gendarmes, policiers, magistrats, français et d’autres pays ou d’Europol avec qui j’ai pu discuter et parfois travailler sur des cas particuliers. 6 Il m’est impossible de tous les citer, aussi parmi ceux-ci, je salue très respectueusement le général d’armée (2S) Marc Watin-Augouard, qui contribue non seulement à la réflexion sur la lutte contre la cybercriminalité, mais au développement des activités d’enseignement et de recherche sur ces questions. Je salue et je remercie pour leur soutien mes parents, qui m’ont fait découvrir depuis tout petit l’univers de la recherche. J’associe à ces pensées tous les membres de ma famille et en particulier ma grand-mère Vonnette, institutrice, qui m’a montré la nécessité et la force du partage du savoir. Je remercie aussi tous les amis qui m’ont apporté leur soutien et parfois leurs conseils très utiles lors de ces années parfois difficiles. Je suis infiniment reconnaissant à mon patient relecteur, Erwan Abgrall. Enfin, je remercie les rapporteurs et les examinateurs de cette thèse pour l’intérêt qu’ils ont bien voulu porter à mes travaux et pour avoir accepté de participer à mon jury de thèse et ainsi m’apporter leur soutien et leurs conseils. Table des matières Table des matières 7 Résumé 17 Introduction 19 1 Observation et classification 23 1.1 Introduction . 23 1.2 Définitions . 23 1.2.1 Les programmes malveillants (ou malwares)............... 24 1.2.2 Quelques particularités des logiciels malveillants . 25 1.2.2.1 Variétés de logiciels malveillants . 25 1.2.3 Les botnets . 26 1.2.3.1 Définitions possibles . 26 1.2.3.2 Proposition de définitions complètes . 27 1.2.3.3 Problématique des botnets à usage “légal” . 28 Calcul distribué. 28 Botnets utilisés à des fins incertaines. 28 Captation de données autorisée par la loi. 29 Des victimes parfois consentantes. 29 Logiciels potentiellement indésirables . 30 1.2.3.4 Définitions des typologies de logiciels malveillants et de leurs fonctionnalités . 31 8 Table des matières Typologies principales de logiciels malveillants . 31 Principales caractéristiques rencontrées dans les logiciels mal- veillants . 31 1.2.3.5 Composantes d’un botnet . 34 1.2.3.6 Classes, instances et compartiments d’un botnet . 35 1.2.3.7 Architectures possibles pour les systèmes de commande et de contrôle . 38 Architecture centralisée. 38 Architecture décentralisée. 39 Architectures hybrides. 41 Architecture aléatoire. 41 Sens des communications. 42 Modalités persistantes et périodiques. 43 Profiter d’une autre architecture. 43 Plates-formes mobiles. 45 1.2.3.8 Cycle de vie . 46 Exemple du botnet Gameover. 46 Modèles issus de la littérature. 47 Proposition d’un modèle détaillé de cycle de vie des botnets. 48 1.2.3.9 Utilisation des serveurs DNS. 51 Algorithmes de génération de noms de domaines (DGA). 51 Fast-flux DNS. 52 Le DNS comme canal caché. 53 1.2.3.10 Taille d’un botnet et autres mesures . 53 Distinguer les bots. 55 Initiatives de mesure. 55 Mesurer dans les réseaux de distribution . 58 Conclusion sur la mesure. 58 1.2.4 Vecteurs de distribution . 59 1.2.4.1 Exemple d’installation d’un code malveillant de botnet . 59 Diffusion du botnet Dridex en août 2015. 59 1.2.4.2 Typologies de méthodes et d’acteurs . 61 Installation physique. 61 Table des matières 9 Ver. ................................. 61 Spam. 62 Par téléchargement et exécution volontaires. 63 Drive-by-download. 63 Traffic distribution services (TDS). 64 Exploit kits. 64 Via un autre botnet. 68 Synthèse sur les vecteurs de distribution. 68 1.2.5 Autres acteurs de l’écosystème . 68 1.3 Conclusion du premier chapitre . 70 2 Collecte d’informations 71 2.1 Wiki sémantique . 71 2.1.1 Définition . 71 2.1.2 Structure de données . 72 2.1.3 Stratégie d’alimentation . 73 À partir des publications et actualités. 73 Documentation systématique sur une menace. 73 2.1.4 Partage de données . 74 2.1.5 Quelques éléments statistiques . 74 2.2 Autres modèles de données structurées . 75 2.2.1 Bases de connaissances des éditeurs de solutions de sécurité . 75 2.2.1.1 Référentiels de détection par les produits de sécurité . 75 Le rançongiciel policier “Reveton” chez Microsoft. 75 2.2.1.2 Bases d’échantillons . 76 Bases d’échantillons spécialisées. 77 2.2.1.3 Nommage des logiciels malveillants . 77 2.2.1.4 Les blogs . 78 Blogs de chercheurs indépendants. 78 Blogs des éditeurs de sécurité. 79 2.2.2 Formats d’échanges du MITRE . 80 2.2.2.1 MAEC . 80 MAEC Bundle. 81 10 Table des matières MAEC Package. 81 MAEC Container. 81 Vocabulaires. 81 2.2.2.2 STIX . 83 L’architecture de STIX comporte huit constructeurs : . 83 Confrontation à notre problématique de l’investigation des botnets. 83 2.2.3 Autres formats de données . 84 2.2.3.1 YARA . 84 2.2.4 Propositions d’évolution . 84 2.3 Catégories de botnets (et autres menaces) . 85 2.3.1 Proposition de catégorisation . 85 2.3.2 Quelles méthodes pour classifier ? . 87 2.3.3 Conclusion sur la classification des botnets . 89 2.4 Confrontation à des cas concrets . 89 2.4.1 Rançongiciels policiers . 89 2.4.2 Les botnets et campagnes d’espionnage . 91 2.4.3 Botnets bancaires . 93 2.4.4 Les botnets de terminaux de point de vente . 94 2.4.5 Prospective sur les objets connectés . 96 2.5 Conclusion du second chapitre . 97 3 Méthodes de lutte contre les botnets 99 3.1 Introduction . 99 3.2 Détection . 99 3.2.1 Détection passive . 100 3.2.1.1 Inspection de flux et de paquets . 100 3.2.1.2 Observation du protocole DNS . 101 3.2.1.3 Cas particulier des réseaux pair-à-pair . 102 3.2.1.4 Analyse des données liées au spam . 102 Collecte et analyse du spam. 103 Détecter les abus liés à son infrastructure. 103 3.2.1.5 Retour des éditeurs de sécurité et de solutions antivirus . 105 3.2.1.6 Analyse des journaux d’activité . 105 Table des matières 11 3.2.2 Pots de miel (honeypots) et simulations . 106 3.2.3 Détection active . 107 3.2.3.1 Sinkholing ............................ 107 3.2.3.2 Infiltration . ..