Comment une machine devient-elle membre d'un botnet ?

Plusieurs voies d'infection sont courantes. Pour les ordinateurs : pièces jointes malveillantes, téléchargements depuis des sites piratés, exploitation de vulnérabilités dans le navigateur ou les plugins. Pour les objets connectés (caméras, routeurs, DVR) : scan Internet automatisé pour détecter les appareils avec identifiants par défaut (admin/admin, root/root), puis infection massive. Pour les serveurs : exploitation de vulnérabilités non patchées (Log4j, Apache, etc.) ou identifiants faibles sur SSH/RDP. Une fois infectée, la machine télécharge un agent bot qui établit un canal de communication avec l'infrastructure de commande et attend les instructions.

Combien de machines dans les plus gros botnets ?

Certains botnets historiques ont dépassé le million de machines. Emotet a culminé à environ 1,6 million de nœuds avant son démantèlement en 2021 puis sa reprise. Mirai a infecté au pic environ 600 000 appareils. Conficker (2008-2009) aurait dépassé les 10 millions de machines — plus grand botnet historique documenté. En 2026, les plus gros botnets actifs (Mirai variants, 911 S5, DDoSia) sont de l'ordre de quelques centaines de milliers à 1 million de machines. Les botnets résidentiels (proxies via routeurs infectés) sont en forte croissance avec parfois plus d'un million de nœuds.

Quelle différence entre botnet et malware ?

Un malware est un logiciel malveillant en général — virus, cheval de Troie, ransomware, spyware. Un botnet est spécifiquement un réseau d'appareils compromis coordonnés à distance par un attaquant. Les deux sont liés : la construction d'un botnet passe par l'infection de machines avec un malware de type "bot", puis le contrôle coordonné de l'ensemble. Le malware est l'outil, le botnet est l'infrastructure qu'il construit. Certains malwares ne constituent pas de botnet (ransomware isolé par exemple), d'autres sont purement dédiés à la construction de botnets (Mirai, Emotet, QakBot).

Peut-on démanteler un botnet ?

Oui, et les opérations coordonnées internationales se multiplient. Les techniques classiques : saisie des serveurs C2 (command and control) par les autorités, sinkhole (détournement du trafic bot vers un serveur contrôlé par les chercheurs pour étudier et neutraliser), arrestations des opérateurs, demandes aux hébergeurs et registrars de désactiver les infrastructures. Démantèlements notables : Emotet (janvier 2021), Trickbot (partiellement 2020-2022), Cyclops Blink (2022), Qakbot (août 2023), IPStorm (2023), 911 S5 (mai 2024, record historique avec 19 millions d'adresses IP). Mais certains botnets renaissent après démantèlement (Emotet réapparu fin 2021, toujours actif en 2026) — le combat est permanent.

Botnet : définition, fonctionnement et usages criminels

Famille: Infrastructure criminelle
Taille typique: Milliers à plusieurs millions d'appareils
Cible d'infection: PC · serveurs · IoT · smartphones
Contrôle: Centralisé (C2) ou P2P (pair-à-pair)
Usages: DDoS · spam · credential stuffing · minage · proxy

01 — DéfinitionQu'est-ce qu'un botnet ?

Un botnet (contraction de « robot network ») est un réseau d'appareils informatiques (ordinateurs personnels, serveurs, objets connectés, smartphones) infectés par un logiciel malveillant spécifique et contrôlés à distance par un attaquant à travers une infrastructure de commande et contrôle (C2). Chaque appareil compromis devient un « bot » ou « zombie », capable d'exécuter les instructions envoyées par l'opérateur sans que son propriétaire légitime ne s'en rende compte.

Le botnet constitue l'une des infrastructures d'attaque les plus précieuses de l'écosystème cybercriminel. Sa force vient de la combinaison de :

Échelle : des milliers à des millions d'IP sources distinctes, impossibles à bloquer individuellement.
Répartition géographique : machines dans tous les pays, tous les opérateurs.
Légitimité apparente : le trafic provient d'IP résidentielles ou professionnelles « normales ».
Capacité coordonnée : exécution simultanée d'une action sur tout le réseau.

Un botnet peut être utilisé par ses créateurs ou loué à des tiers via des marchés criminels. Cette commercialisation alimente toute une économie : DDoS-as-a-service, spam-as-a-service, proxy résidentiel vendu à des fraudeurs, hébergement de phishing, relais de credential stuffing.

Le terme a émergé à la fin des années 1990 avec les premiers réseaux de machines IRC contrôlées à distance. Les premiers gros botnets documentés datent du début des années 2000 (Bagle, Storm Worm). Depuis, leur sophistication n'a cessé de croître, tant dans les techniques d'infection que dans les architectures de contrôle et de résilience.

Un botnet n'est pas une attaque en soi — c'est un outil. La puissance d'un botnet se mesure à sa taille, sa diversité géographique, sa résilience aux démantèlements, et sa capacité à rester discret sur les machines infectées.

02 — ArchitectureComment fonctionne techniquement un botnet

Les composants

Le botmaster (ou herder) : l'opérateur humain qui contrôle le botnet. Il envoie les instructions, gère l'infrastructure, monétise les capacités.
Le serveur C2 (Command and Control) : infrastructure qui distribue les commandes aux bots et reçoit les données exfiltrées.
Les bots : les machines infectées qui exécutent les commandes.
Le malware bot : l'agent installé sur chaque machine compromise.

Architectures de contrôle

Architecture centralisée (C2 classique)

Modèle historique et toujours dominant pour les botnets modestes. Les bots se connectent à un ou plusieurs serveurs C2 et récupèrent leurs instructions. Protocoles utilisés : HTTP/HTTPS (mimique du trafic web légitime), IRC (historique), protocoles custom sur ports standards, DNS tunneling pour cas avancés.

Avantages : simple à mettre en place, contrôle précis. Inconvénients : point unique de défaillance — saisir les serveurs C2 neutralise le botnet.

Architecture décentralisée (P2P)

Les bots communiquent entre eux en pair-à-pair, sans serveur central. Chaque bot connaît un nombre limité de pairs et peut relayer des commandes. Famille emblématique : Storm Worm (2007) et ses successeurs.

Avantages : très résilient aux démantèlements. Inconvénients : complexe à développer, latence dans la diffusion des commandes.

Architecture hybride et DGA

Modèles modernes combinant C2 centralisé avec des mécanismes de résilience. Technique phare : les DGA (Domain Generation Algorithms), algorithmes qui génèrent chaque jour des centaines de noms de domaine pseudo-aléatoires. Les bots tentent de résoudre ces domaines pour trouver le C2. L'attaquant n'a qu'à enregistrer à l'avance le domaine du jour. Pour les défenseurs, il est très difficile de bloquer une liste tournante de milliers de domaines.

Fast-flux DNS

Technique de résilience où le domaine C2 change d'IP toutes les quelques minutes, en rotation sur des centaines de bots servant de proxy. Rend la saisie d'une IP individuelle inefficace.

Cycle de vie d'une infection

Propagation : scan Internet pour trouver des cibles vulnérables, envoi de phishing, exploitation de vulnérabilités, téléchargement par un autre malware (dropper).
Installation : exécution du code malveillant, persistance (tâche planifiée, clé de registre, service système).
Contact initial : le bot tente de joindre son C2 via méthode prédéfinie ou DGA.
Enregistrement : le bot s'identifie auprès du C2 (OS, version, IP, localisation, capacités matérielles).
Attente : le bot reste en sommeil jusqu'à recevoir une instruction.
Exécution : DDoS, spam, minage, scan, exfiltration — selon l'ordre reçu.
Mise à jour : réception de nouvelles versions du malware pour évoluer.

Techniques de discrétion

Persistance : mécanismes qui assurent la survie du malware au redémarrage.
Anti-analyse : détection de sandbox, machines virtuelles, outils de débogage.
Chiffrement des communications : TLS ou chiffrement custom pour masquer le contenu.
Domain fronting : cacher la destination réelle derrière un CDN légitime (Cloudflare, AWS, Fastly).
Usage limité de ressources : CPU et bande passante réduits pour passer inaperçu sur la machine victime.

03 — UsagesÀ quoi servent concrètement les botnets

Attaques DDoS

Usage emblématique. La capacité DDoS d'un botnet est directement proportionnelle à sa taille et à la bande passante des bots. Les botnets IoT ont révolutionné le secteur : les caméras IP et routeurs ont souvent une bande passante sortante bien supérieure aux PC, permettant des attaques de plusieurs térabits par seconde avec « seulement » quelques dizaines de milliers d'appareils.

Envoi de spam

Historique. Les botnets de spam envoient des millions d'emails par jour : publicité, phishing, arnaques, escroqueries nigériennes, promotion de médicaments contrefaits. Chaque bot envoie depuis une IP résidentielle, contournant les blocklists basées sur réputation serveur. Spammers historiques : Cutwail, Rustock, Grum, Storm.

Credential stuffing et force brute

Les botnets testent des listes d'identifiants volés contre les services en ligne. Voir fiche credential stuffing. Avantage clé du botnet : la diversité d'IP rend les tentatives quasi impossibles à bloquer par simple filtrage.

Fraude publicitaire (ad fraud)

Les bots simulent des clics sur des publicités, des vues de vidéos, des impressions, générant des revenus frauduleux pour les opérateurs de sites complices. Le secteur de la fraude publicitaire représente plusieurs dizaines de milliards de dollars par an selon les estimations d'association WFA et HUMAN Security. Les botnets Methbot (2016) et 3ve (2018) ont montré l'ampleur du phénomène.

Minage de cryptomonnaies (cryptojacking)

Les bots minent discrètement du Monero (crypto anonyme et minée avec CPU standard). Revenus modestes par machine mais cumulés sur des centaines de milliers de machines, lucratifs. Cible privilégiée : serveurs cloud avec forte puissance CPU (AWS EC2, Kubernetes exposés). Familles connues : LemonDuck, WatchDog, TeamTNT.

Proxies résidentiels

Usage en forte croissance. Les bots fournissent des adresses IP résidentielles légitimes utilisées comme proxies pour :

Scraping massif : contourner les limitations des sites cibles.
Fraude de localisation : contourner les géoblocages.
Credential stuffing : attaques depuis IP légitimes.
Fraude bancaire : se connecter depuis l'IP habituelle de la victime pour contourner les détections de fraude.

Le démantèlement du botnet 911 S5 en mai 2024 par le FBI a exposé l'ampleur du phénomène : 19 millions d'adresses IP dans plus de 190 pays utilisées comme proxies pour toute une gamme d'activités frauduleuses, dont la fraude aux aides COVID-19 américaines.

Vol de données et infostealer

Certains botnets sont principalement orientés vers la collecte d'identifiants et données sensibles. Les bots exfiltrent en continu : mots de passe navigateur, cookies de session, portefeuilles crypto, données bancaires. Ces données alimentent les marchés de combolists et les attaques de credential stuffing (cycle vertueux pour les attaquants).

Relais pour autres attaques

Un botnet peut servir de tremplin : attaques de ransomware déployées via un accès initial obtenu par le botnet. Les opérateurs de ransomware achètent régulièrement des « accès initiaux » à des opérateurs de botnet (TrickBot, Emotet, QakBot historiquement), qui infectent les cibles en masse puis revendent les accès aux réseaux d'entreprise.

04 — FamillesGrandes familles historiques

Conficker (2008-2009)

Plus grand botnet historique documenté, estimé à plus de 10 millions de machines à son pic. Exploitait une vulnérabilité Windows (MS08-067) et se propageait via partages réseau et clés USB. Reste encore actif résiduellement en 2026 sur des machines non patchées — certains systèmes industriels vieillissants sont toujours infectés.

Zeus (2007+)

Botnet emblématique de vol d'identifiants bancaires via injection dans les navigateurs. Code source publié en 2011, déclenchant une explosion de variantes (Citadel, Gameover Zeus, ICE IX). Démantèlement partiel de Gameover Zeus par Operation Tovar en 2014.

Emotet (2014-2021, puis 2021+)

Initialement cheval de Troie bancaire, devenu plateforme de distribution de malware la plus prolifique entre 2019 et 2020. Pic estimé à 1,6 million de machines. Spécialisé dans la distribution de TrickBot, QakBot et ransomwares (Ryuk, Conti). Démantelé en janvier 2021 par une opération internationale coordonnée (FBI, Europol, polices allemande, ukrainienne, néerlandaise). Réapparu en novembre 2021 avec une nouvelle infrastructure, toujours actif en 2026 mais à échelle réduite.

TrickBot (2016-2022)

Successeur de Dyre, devenu cheval de Troie majeur. Infrastructure modulaire, spécialisation dans le vol d'identifiants, la reconnaissance interne de réseaux d'entreprise, et l'installation de ransomwares (Conti notamment). Démantèlement partiel par Microsoft en 2020. Fusion avec Conti en 2022, disparition progressive.

Mirai (2016+)

Révolution technique : premier botnet IoT massif. Cible les objets connectés avec identifiants par défaut (admin/admin, root/root). Code source publié en octobre 2016, générant d'innombrables variantes (Mozi, Satori, Masuta, Owari, Okiru…). À l'origine des premiers DDoS dépassant le Tbps (Krebs on Security, OVH, Dyn, octobre 2016). Toujours dominant en 2026 via ses variantes.

QakBot / QBot (2008-2023, puis 2023+)

Autre cheval de Troie bancaire évoluant en plateforme de distribution. Particulièrement actif contre les entreprises européennes. Démantelé en août 2023 par Operation Duck Hunt (FBI). Réapparu fin 2023 mais à échelle moindre.

Necurs (2012-2020)

Botnet de spam majeur, culminant à plusieurs millions de machines. Principalement utilisé pour diffuser ransomware (Locky) et spam pharmaceutique. Démantelé en mars 2020 par Microsoft et des partenaires internationaux.

911 S5 (2014-2024)

Plus grand botnet de proxies résidentiels documenté. 19 millions d'IP dans 190 pays. Démantelé en mai 2024 par le FBI — un des plus gros démantèlements de l'histoire. Son opérateur, un citoyen chinois résidant à Dubaï, a été arrêté.

Botnets actifs 2025-2026

Variantes Mirai : dark.IoT, RapperBot, HinataBot, BotenaGo.
DDoSia (NoName057(16)) : botnet « volontaire » pro-russe où des sympathisants installent activement le client.
Gafgyt : famille de botnets IoT persistants.
AndroxGh0st : cible les applications web mal configurées (fichiers .env exposés).
Socks5Systemz : botnet proxy résidentiel actif.

05 — IoTLe phénomène des botnets d'objets connectés

Pourquoi les IoT sont des cibles idéales

Volume colossal : 15+ milliards d'objets connectés en 2026 selon IoT Analytics.
Sécurité par conception faible : identifiants par défaut rarement changés, firmwares rarement mis à jour, fonctionnalités de sécurité absentes ou désactivables.
Exposés Internet : caméras IP, routeurs, DVR, NAS — souvent configurés pour accès distant sans protection adéquate.
Bande passante importante : connexions fibre ou 5G modernes permettant des attaques massives.
Toujours allumés : contrairement aux PC, les IoT fonctionnent 24/7.
Peu ou pas de supervision : personne ne remarque qu'une caméra consomme anormalement du trafic.

Modus operandi type

Le bot principal scanne Internet sur les ports classiques des IoT (23 Telnet, 2323, 80, 8080, 5555, 7547).
Pour chaque cible répondante, tentative de connexion avec une liste d'identifiants par défaut (plusieurs dizaines de combinaisons testées).
Si connexion réussie, téléchargement et exécution du binaire bot adapté à l'architecture (ARM, MIPS, x86, etc.).
Le nouveau bot s'enregistre auprès du C2 et scanne à son tour pour propagation virale.
Le cycle continue jusqu'à saturation des cibles vulnérables sur Internet.

Cas d'école — Mirai (octobre 2016)

Le code Mirai, dévoilé en septembre 2016, a démontré l'ampleur du problème. Trois attaques massives en quelques semaines :

Septembre 2016 : 620 Gbps contre Krebs on Security, forçant Akamai à cesser sa protection gratuite du site.
Septembre 2016 : 1,1 Tbps contre OVH — record à l'époque.
Octobre 2016 : attaque contre Dyn DNS provoquant l'indisponibilité de Twitter, GitHub, Netflix, Reddit, Airbnb, PayPal, Spotify, Airbnb et d'autres sites majeurs pendant plusieurs heures.

L'ensemble était alimenté par environ 100 000 à 600 000 caméras IP et DVR infectés. La publication du code source Mirai a ensuite démocratisé les botnets IoT — quiconque avec des compétences modestes pouvait construire le sien.

Évolution 2020-2026

Les botnets IoT continuent d'évoluer :

Exploitation de vulnérabilités 0-day ou N-day sur les firmwares (et plus seulement des mots de passe par défaut).
Intégration dans la chaîne d'approvisionnement (firmwares malveillants préinstallés sur des appareils bon marché).
Ciblage de routeurs enterprise (Cisco, Fortinet, Asus, TP-Link) en plus du grand public.
Usage hybride : certains appareils servent à la fois pour DDoS, proxy résidentiel et minage.
Démantèlements récurrents mais pas de solution systémique.

06 — DémantèlementsOpérations et défis

Techniques de démantèlement

Saisie des serveurs C2 : coordination avec les hébergeurs et autorités judiciaires pour saisir physiquement ou légalement les serveurs.
Sinkhole : détournement des communications bot vers des serveurs contrôlés par chercheurs/autorités, permettant d'étudier le botnet et de l'empêcher de recevoir ses instructions.
Désactivation des domaines DGA : enregistrement préventif et blocage des domaines générés par les algorithmes DGA.
Arrestation des opérateurs : identifier et interpeller les botmasters via traces financières et opérationnelles.
Saisie des infrastructures financières : gel des comptes bancaires, saisie des cryptomonnaies.
Distribution de correctifs : dans certains cas, les autorités peuvent injecter du code pour désinfecter les machines (controversé, rarement utilisé).

Opérations marquantes

Emotet (janvier 2021) : opération Ladybird, coordination Europol, FBI, polices allemande, ukrainienne, néerlandaise. Saisie de centaines de serveurs, arrestations en Ukraine.
QakBot (août 2023) : Operation Duck Hunt, FBI. Saisie de 8,6 millions de dollars en crypto. Désactivation réussie de l'infrastructure.
911 S5 (mai 2024) : plus grand démantèlement historique. Arrestation de YunHe Wang, opérateur chinois résidant à Dubaï. Saisie de 29 propriétés, 21 biens de luxe.
Cyclops Blink (2022) : botnet attribué à Sandworm (GRU russe), démantelé par le FBI avec une opération d'injection de code.
LockBit (2024) : opération Cronos, disruption majeure du groupe ransomware qui utilisait des infrastructures de type botnet.

Limites et défis

Résilience : beaucoup de botnets reviennent après démantèlement (Emotet, QakBot).
Juridictions : les opérateurs résident souvent dans des pays non coopératifs (Russie, certains pays ex-soviétiques).
Infections persistantes : même botnet démantelé, les machines infectées restent vulnérables jusqu'à intervention du propriétaire.
Coût : les opérations demandent des mois de préparation, des ressources juridiques et techniques substantielles.
Diplomatie : les démantèlements nécessitent souvent une coopération internationale complexe.

07 — ProtectionÉviter de devenir membre d'un botnet

Pour les particuliers et PME

Mettre à jour systèmes, navigateurs, applications régulièrement.
Changer tous les mots de passe par défaut sur les appareils réseau : routeur, caméras IP, NAS, imprimantes, IoT.
Désactiver l'accès distant (Telnet, SSH, interface web) sur les appareils grand public sauf nécessité absolue.
Antivirus à jour sur les postes de travail.
Ne pas télécharger de logiciels piratés — source fréquente d'infection.
Méfiance sur les pièces jointes et liens dans les emails suspects.
Sur les objets connectés : privilégier les marques qui maintiennent les firmwares dans la durée.

Pour les entreprises

EDR/XDR sur tous les endpoints pour détecter les comportements suspects.
Segmentation réseau pour isoler IoT (caméras, imprimantes) du reste du SI.
Micro-segmentation pour limiter les communications internes.
DNS filtrant (Cisco Umbrella, Zscaler, NameShield) pour bloquer les résolutions vers des domaines C2 connus.
Surveillance du trafic sortant anormal (flux massif vers IPs inhabituelles).
Inventaire exhaustif des appareils connectés au réseau d'entreprise.
Mises à jour régulières de tous les firmwares (routeurs, switches, équipements sécurité).
Formation des collaborateurs contre le phishing.

Pour les hébergeurs et cloud

Scan automatique des nouvelles instances cloud pour détecter configurations dangereuses (ports ouverts, mots de passe faibles).
Détection et suspension automatique des instances utilisées pour DDoS sortant ou minage.
Limitation des scans sortants massifs au niveau réseau.
Notification des clients compromis.
Collaboration avec les CERT nationaux et internationaux pour signalements.

Signes qu'un appareil pourrait faire partie d'un botnet

Ralentissements inhabituels, CPU élevé sans raison apparente.
Consommation réseau anormale (surtout en upload).
Température élevée des appareils (cryptominage).
Ventilateurs qui tournent à fond alors que l'appareil semble inactif.
Connexions sortantes vers des IPs ou domaines inhabituels.
Apparition de processus inconnus.
Antivirus qui se désactive ou ne se met plus à jour.
Email reçu de votre FAI ou hébergeur signalant un comportement suspect.

08 — FAQQuestions fréquentes

Peut-on construire légalement un botnet ?

Non. Contrôler à distance des machines sans le consentement de leurs propriétaires est illégal dans toutes les juridictions — en France, c'est une infraction pénale au titre de l'article 323-1 et suivants du Code pénal (accès frauduleux à un système de traitement automatisé de données, peines jusqu'à 5 ans de prison et 150 000 € d'amende). Les « botnets volontaires » où les participants installent consciemment le client (DDoSia de NoName057(16), SETI@home historiquement) existent mais leur usage offensif reste illégal.

Combien coûte la location d'un botnet ?

Les services booter/stresser commerciaux proposent des attaques DDoS pour 5 à 500 $ selon la durée et l'intensité. L'accès à des botnets de phishing et credential stuffing se négocie différemment : 50 à 500 $ pour une campagne, parfois avec partage des résultats. Les infrastructures complètes « malware-as-a-service » avec dashboard, support et mises à jour se louent entre 500 et 5 000 $ par mois. Les loueurs de proxies résidentiels proposent des offres à 1 à 20 $ par Go de trafic, provenant d'IP issues de botnets.

Comment savoir si mon entreprise héberge involontairement des bots ?

Plusieurs approches : surveiller le trafic sortant pour identifier des flux vers des IPs ou domaines catalogués C2 (threat intelligence), surveiller les pics de CPU inexpliqués (cryptominage), scanner régulièrement le parc avec EDR à jour, recevoir les notifications des CERT et des listes noires, examiner les rapports d'abuse envoyés par des tiers. Les PME peuvent utiliser Cybermalveillance.gouv.fr ou leur CSIRT régional pour accompagnement. Des outils gratuits comme Shadowserver Foundation envoient des alertes automatiques aux organisations dont le réseau montre des signes d'infection.

Les smartphones peuvent-ils faire partie d'un botnet ?

Oui, mais c'est plus rare et moins efficace. Les systèmes iOS et Android modernes limitent considérablement la persistance des malwares et leur capacité à utiliser des ressources en arrière-plan. Quelques familles de malwares Android (Hummer, Geost) ont construit des botnets mobiles. Les smartphones rootés/jailbreakés sont plus vulnérables. La croissance des usages mobiles et la puissance croissante des téléphones modernes en fait une cible d'intérêt croissant pour les attaquants, mais les constructeurs et OS adaptent leurs défenses en parallèle.

Mon ancien IoT est-il forcément compromis ?

Pas forcément mais statistiquement à risque s'il est exposé Internet avec des identifiants par défaut. La meilleure approche pragmatique : changer tous les mots de passe par défaut, mettre à jour le firmware si possible, isoler l'IoT sur un réseau séparé (VLAN invité), ne pas l'exposer directement Internet (pas de port forwarding inutile), vérifier les paramètres d'accès distant. Pour les appareils dont l'éditeur ne maintient plus les mises à jour, envisager un remplacement — les vieux routeurs et caméras sans patch sont particulièrement à risque.