Botnet : les 10 réseaux infectés qui ont marqué l’histoire

Qu’est-ce qu’un Botnet ?

Contraction de « robot » et de « network », un botnet est un réseau d’appareils informatiques piratés (des « ordinateurs zombies ») et contrôlés à distance par un pirate (aussi appelé « éleveur de bots » ou « bot herder »).

Mais pourquoi créer ces réseaux ? Parce que les moyens d’un hacker seul ou d’un groupe de hackers ne sont pas infinis, ce qui limite l’ampleur potentielle de leurs attaques. Mais avec un réseau d’ordinateurs zombies sous leur contrôle, ils peuvent mener des cyberattaques d’envergure.

Des botnets ont ainsi été à l’origine de certaines des cyberattaques les plus dévastatrices. Et lorsqu’on sait que près d’un quart du trafic web mondial leur est attribué*, on comprend mieux l’ampleur du danger…

*Selon un rapport publié par Akamai en 2024, plus de 27 % du trafic web mondial serait dû à des botnets (42 % du trafic total étant lié à des bots, dont 65 % étant malveillants).

Quels appareils peuvent être intégrés à un Botnet ?

N’importe quel appareil pouvant se connecter à Internet peut être intégré à un botnet. Cela inclut notamment :

• Les ordinateurs, ciblés depuis la création des tout premiers réseaux d’ordinateurs zombies.  
• Les appareils mobiles comme les smartphones et les tablettes, qui ont commencé à être de plus en plus attaqués à mesure qu’ils se multipliaient.  
• Les objets connectés (on parle alors de botnets IoT), comme les accessoires connectés, les objets domotiques, les caméras de surveillance… Ils sont devenus une cible privilégiée car ils sont généralement peu sécurisés.  
• Les infrastructures Internet, notamment les routeurs et les serveurs Internet, qui peuvent également être infectés et intégrés à un botnet.

Pourquoi les hackers exploitent-ils un réseau d’ordinateurs infectés ?

Les motifs qui poussent les hackers à utiliser un botnet sont généralement les mêmes que ceux qui donnent vie au cybercrime :

• Vol de données personnelles.  
• Extorsion financière.  
• Accélération du farming de cryptomonnaies en utilisant la puissance de calcul des appareils infectés.  
• Sabotage, qui peut conduire jusqu’à l’arrêt des activités d’une organisation.  
• Création d’un service pour d’autres cybercriminels, certains hackers créant des botnets pour en louer l’accès.

La différence avec une attaque classique ? L’ampleur des répercussions. Les botnets permettant de mener des attaques massives, leurs conséquences peuvent rapidement être désastreuses, aussi bien pour les victimes de ces attaques que pour les appareils infectés :

• Pour l’appareil zombie : il devient lent, consomme plus d’énergie, et peut être impliqué dans des cyberattaques sans que son propriétaire ne le sache.  
• Pour les entreprises ciblées : un botnet bien utilisé peut mettre une société à l’arrêt, lui faire perdre des millions et compromettre ses données clients.  
• Pour les particuliers  : outre l’impact sur leurs appareils, leurs données personnelles peuvent être revendues sur le dark web et utilisées pour d’autres cyberattaques.

Les 10 pires Botnets de l’histoire informatique

Plus un botnet est puissant, plus ses conséquences peuvent être dévastatrices, et plus il a de chances de marquer l’histoire de la cybersécurité. Dans la suite de cet article, vous découvrirez justement 10 réseaux de machines zombies qui sont restés dans les annales.

1. Zeus : les botnets bancaires qui a volé des millions

Lancé en 2007, Zeus était à l’origine un Trojan bancaire qui intégrait un keylogger, mais son code a rapidement évolué pour intégrer les ordinateurs infectés à un botnet. Ce botnet a notamment servi à la propagation du ransomware CryptoLocker.

Au total, le botnet Zeus aurait permis de détourner plus de 100 millions de dollars dans le monde, et aurait infecté près de 3,6 millions d’ordinateurs rien qu’aux États-Unis.

Point intéressant : si Slavic, le créateur de Zeus, a annoncé prendre sa retraite en 2010, ce n’était pas la fin de son œuvre pour autant ; le code de Zeus a en effet inspiré de nombreux autres cybercriminels, donnant naissance à une « famille de botnets Zeus ».

2. Mirai : le botnet IoT qui a paralysé Internet

Découvert en 2016, Mirai est le premier botnet à exploiter massivement les objets connectés (IoT), et notamment les caméras de surveillance et les routeurs mal protégés.

À son actif, l’une des plus grandes attaques DDoS de l’histoire, qui a rendu indisponibles pendant plusieurs heures des sites majeurs comme Twitter, Netflix et Reddit.

Au total et selon Cloudflare, Mirai aurait regroupé jusqu’à 600 000 appareils infectés. Et si ses créateurs ont été arrêtés, son code source a fuité et aidé plusieurs hackers à créer leurs propres réseaux de bots.

3. Alureon : le botnet espion indétectable

Découvert en 2007, Alureon (aussi appelé TDSS ou TDL-4) est un botnet spécialisé dans le vol de données sensibles qui visait les PC Windows. Une fois un ordinateur infecté, il modifiait ses fichiers d’administration pour rendre sa détection quasiment impossible.

Sa mission était simple : intercepter les identifiants bancaires, détourner les recherches web et désactiver les antivirus. Grâce à ses communications chiffrées et à son architecture en botnet, ce cheval de Troie a résisté aux efforts d’éradication pendant des années.

Selon Microsoft, Alureon était le deuxième botnet le plus actif au monde en 2010.

4. Emotet : le botnet espion des entreprises

D’abord simple Trojan bancaire, Emotet s’est transformé en véritable plateforme de distribution de malwares, et est devenu l’un des botnets les plus sophistiqués de la deuxième moitié des années 2020.

Démantelé par Europol en 2021, le répit fut de courte de durée, puisqu’à peine 10 mois plus tard, de nouvelles campagnes de phishing ont été lancées grâce à Emotet…

5. PlugX : le botnet espion qui sévit depuis 2008

Actif depuis 2008, PlugX est un malware d’espionnage avancé qui serait contrôlé par le groupe de hackers chinois Mustang Panda. Il aurait notamment été utilisé pour surveiller le gouvernement japonais et des ambassades européennes.

L’une des particularités de PlugX, c’est qu’il peut s’autorépliquer comme un ver informatique et infecter les dispositifs de stockage.

En 2023, près de 2,5 millions d’appareils actifs auraient été infectés par PlugX sans le savoir. Des chiffres fous, qui ont conduit le FBI et la police française à s’associer et à mener en janvier 2025 une opération pour démanteler l’un de ses principaux serveurs, et désinfecter environ 7 000 machines. Mais malgré cela, PlugX continue de sévir et reste une menace active…

6. Storm : le premier plus grand botnet du monde

Lancé en 2007, Storm est l’un des premiers maxi botnets, puisqu’il aurait réussi à contrôler entre 1 et 50 millions d’ordinateurs zombies à son apogée, ce qui en faisait à l’époque probablement le plus grand botnet du monde. C’est énorme, et c’était surtout assez à l’époque pour bloquer la connexion Internet de tout un pays, selon certains experts.

Pour rejoindre ce réseau, les machines étaient d’abord contaminées par un cheval de Troie éponyme, qui se répandait par email. Et si le botnet a été démantelé en 2008, il a inspiré de nombreux cybercriminels et a été le pionnier des cyberattaques massives.

7. Necurs : le distributeur des ransomwares

Actif de 2012 à 2020, Necurs a infecté plus de 9 millions d’ordinateurs, ce qui fait de lui l’un des plus vastes botnets jamais observés. Il servait de plateforme pour diffuser des malwares de renom, comme le ransomware Locky ou encore le cheval de Troie Dridex.

Necurs s’est construit via des campagnes de spam massive, où des millions de mails piégés étaient envoyés chaque jour. Il disposait en outre d’un algorithme de génération de domaines, ce qui lui permettait d’échapper aux mesures de blocage.

Necurs a finalement été démantelé en 2020, grâce à une opération conjointe de Microsoft et des agences de cybersécurité de 35 pays.

8. Waledac : l’ennemi des boîtes mail

Descendant direct de Storm, Waledac s’est spécialisé dans l’envoi massif de spams et la diffusion de malwares. Il servait également à voler des identifiants bancaires et mots de passe. Le botnet était capable d’envoyer jusqu’à 1,5 milliards de mails de spams par jour, soit environ 1 % du total global de spams à l’échelle mondiale.

Démantelé en 2010 par Microsoft grâce à une opération d’infiltration, il aurait réussi à contrôler jusqu’à 90 000 appareils.

9. Kraken : un botnet furtif, difficile à détecter

Découvert en 2008, Kraken a été considéré comme l’un des botnets les plus furtifs de son époque, et pour cause : il utilisait des techniques d’évasion avancées, et mettait régulièrement son code à jour pour ne pas être détecté par les antivirus.

Kraken se propageait notamment via des techniques d’ingénierie sociale, et prenait par exemple la forme d’images jointes à des mails.

Son réseau aurait atteint les 400 000 machines, il aurait réussi l’exploit d’infecter au moins un dixième des 500 plus grosses entreprises américaines.

10. BredoLab : le distributeur de malwares à grande échelle

Découvert en 2009, BredoLab était un botnet que des pirates pouvaient louer pour mener des cyberattaques d’ampleur. Plusieurs types de profils y ont ainsi recouru, et il a été utilisé pour propager des chevaux de Troie bancaires, des ransomwares et des scarewares, mais aussi pour mener des campagnes d’hameçonnage massives, et on estime que le propriétaire de BredoLab touchait jusqu’à 139 000 dollars de « loyer » par mois pour ces services de location.

Pour recruter des zombies, BredoLab recourait essentiellement au phishing par email (il pouvait alors envoyer jusqu’à 3,6 milliards de spams par jour) et au drive-by download.

Comment fonctionne une attaque par Botnet ?

Une attaque par botnet suit généralement 3 étapes :

1. Détection de la faille qui permettra d’infecter les appareils connectés. Il peut s’agir d’une vulnérabilité informatique ou d’une faille humaine, qui sera exploitée grâce à l’ingénierie sociale. L’idée, c’est d’exposer les internautes au risque sans qu’ils ne s’en rendent compte.  
2. Infection et prise de contrôle à distance des appareils victimes, qui deviennent des zombies et viennent renforcer les rangs du botnet.  
3. Mobilisation du botnet lorsqu’il contient suffisamment d’ordinateurs infectés (généralement des milliers, cela peut aller jusqu’à plusieurs millions). L’attaquant le contrôle alors à sa guise et peut l’utiliser pour lancer des cyberattaques d’ampleur, ou le louer à d’autres cybercriminels.

Par quels moyens un ordinateur est-il infecté par un botnet ?

Vous pensez que votre appareil est à l’abri ? Ne criez pas victoire trop vite, car les cybercriminels redoublent d’ingéniosité pour renforcer leur armée de machines zombies. Pour ce faire, ils utilisent plusieurs techniques :

• Le phishing et certaines de ses variantes (comme le smishing ou le quishing pour viser les smartphones).  
• La compromission de sites web, sur lesquels les pirates ajoutent des pop-ups de scareware, des encarts de malvertising, ou des scripts invisibles qui déclenchent le téléchargement d’un malware à votre insu.  
• L’exploitation des failles de sécurité de logiciels non mis à jour, exploitées pour propager une attaque sur un réseau ou lancer un téléchargement en drive-by download.  
• Les chevaux de Troie, qui se font passer pour des logiciels légitimes mais ouvrent en fait une porte dérobée aux hackers qui leur permet de prendre le contrôle de votre appareil.

Moralité ? Pour éviter que votre appareil ne rejoigne un botnet, mettez à jour vos logiciels et ne cliquez jamais sur un lien douteux.

Quels sont les types d’attaques par Botnet ?

Les botnets sont polyvalents, et grâce aux milliers voire aux millions de machines zombies qui les composent, les cybercriminels peuvent lancer plusieurs types de cyberattaques :

• Attaques DDoS (ou attaques par déni de service distribué), notamment utilisées par les hacktivistes, qui visent à bombarder un site de requêtes simultanées pour le surcharger et le mettre hors service.  
• Campagnes de vol de données et d’espionnage, certains bots étant spécialisés dans le siphonnage de données sensibles.  
• Campagnes de phishing pour propager des malwares, et notamment des ransomwares.  
• Cryptojacking pour utiliser la puissance de calcul des appareils infectés et miner des cryptomonnaies à grande échelle.
• Fraude publicitaire, les botnets pouvant être utilisés pour générer artificiellement des faux clics sur des publicités en ligne. Cela peut permettre de gonfler artificiellement des revenus publicitaires, ou à l’inverse, augmenter la facture d’un concurrent.

Quels sont les métiers qui luttent contre le Cybercrime ?

Véritable arme informatique qui peut toucher aussi bien les particuliers que les entreprises ou les infrastructures critiques, les botnets constituent une menace mondiale, que de nombreux métiers de la cybersécurité tentent de neutraliser :

• L’analyste en cybersécurité, qui surveille les réseaux informatiques et traque les comportements suspects liés aux botnets.
• Le chasseur de menaces (ou Threat Hunter), qui traque les botnets actifs et essaie d’identifier leur mode opératoire pour pouvoir s’en protéger.
• L’ingénieur en cybersécurité, qui développe des solutions de protection avancées pour prévenir les infections.
• Le Pentester (ou hacker éthique), qui simule des attaques pour tester les défenses des entreprises contre les botnets.
• L’analyste CERT/CIST, un expert en réponse aux incidents, qui intervient pour limiter les dégâts et neutraliser la menace.

Mais les cybercriminels redoublent d’inventivité et le besoin en experts qualifiés n’a jamais été aussi fort. Si vous envisagez une reconversion, la sécurité informatique est donc un secteur particulièrement attractif. Et chez Jedha, nous vous proposons justement une formation pour devenir Pentester, lors de laquelle vous apprendrez à lutter efficacement contre les botnets et les autres types de cybermenaces.

Questions fréquentes à propos des Botnets

Comment savoir si mon ordinateur est infecté par un Botnet

Quelques signes d’alerte peuvent faire penser que votre ordinateur a rejoint un botnet :

• Ralentissement anormal  
• Utilisation excessive de votre bande passante  
• Présence de processus inconnus dans votre gestionnaire des tâches  
• Envoi de mails ou connexions suspectes depuis votre appareil, sans votre intervention

Lancez un scan antivirus et analysez votre trafic réseau pour confirmer une éventuelle infection.

Comment se protéger contre les Botnets ?

• Mettez à jour régulièrement votre système et vos logiciels pour corriger les failles de sécurité.  
• Ne cliquez pas sur les liens et les pièces jointes douteuses.  
• Utilisez un antivirus et un firewall performants.  
• Changez les mots de passe par défaut de vos appareils connectés (routeurs, caméras, etc.).  
• Évitez les sites et téléchargements non sécurisés.

Que fait la loi contre les Botnets ?

De nombreux pays ont pris des mesures pour lutter contre les botnets :

• Opérations conjointes avec des acteurs de la cybersécurité et des agences étatiques ou internationales pour démanteler les réseaux de bots.  
• Sanctions lourdes à l’égard des cybercriminels, qui peuvent aller jusqu’à plusieurs années de prison et des dizaines de milliers d’euros d’amendes.  
• Renforcement des obligations de cybersécurité pour les entreprises.

En outre, la création et l’exploitation d’un botnet est passible de poursuites pénales.