C’est G-Data, le chasseur de virus Allemand, qui vient de publier un article sur la Tor-éfaction des botnets. Il ne s’agit pas là d’un PoC, d’une étude de possibilité, mais bel et bien d’une application « in the wild » du réseau à routage segmenté et chiffré dans le cadre d’un pilotage de Botnet. Le réseau Tor sert alors de médium entre les ordinateurs zombies et le C&C, le centre de commande, ce qui offre deux avantages majeurs pour le gardien de troupeau de machines compromises : une isolation quasi certaine entre C&C et terminal d’attaque (il devient impossible de remonter jusqu’à l’organisateur du réseau), une quasi assurance de permanence de service (puisque le protocole Tor ne peut être filtré par les opérateurs ou les FAI en raison de son importance stratégique) et une simplicité d’utilisation, laquelle permet au gardien de Bot de n’avoir pas à développer de protocole chiffré, camouflé et fragmenté pour diriger son troupeau : Tor se charge de toutes ces fonctions à la fois. L’éditeur fait également remarquer qu’étant chiffré, le contenu du trafic Tor ne peut être analysé et bloqué par les firewalls.
En revanche, les temps de latence imposés par le réseau lui-même impactent fortement l’efficacité du Botnet, ce qui explique probablement le fait que, jusqu’à présent, G-Data et ses confrères ne soient tombés que sur une seule souche de genre de virus.
La constitution de réseaux de Bot reposant sur des médias impossibles à bloquer ne date pas d’aujourd’hui. Déjà , à l’occasion de la conférence Hackito Ergo Sum de 2011, Itzik Kostler et Zif Gadot (à l’époque chercheurs pour le compte de Radware), avaient imaginé un Botnet utilisant une page de journal en ligne ou un site de petites annonces (Craigslist ou bbc online par exemple) pour expédier les commandes entre C&C et machines distantes.