Alors qu'il est bon pour l'anonymat, Tor ne présente que des inconvénients pour une opération de botnet, tels que des délais de latence et parfois l'instabilité. « Il est évident qu'ils [les opérateurs de botnets] ne peuvent tout simplement pas tout faire passer au travers de Tor », estime Claudio Guarnieri. « Si le botnet effectue des communications lourdes, fréquentes et bruyantes, alors cela pourrait être problématique. » Cependant, si l'objectif est seulement que les machines infectées retrouvent des commandes à partir d'un serveur dans un délai raisonnable, sans exposer leur localisation, alors Tor fonctionne assez bien, ajoute l'expert. « Je suis sûr que ce modèle sera certainement répliqués pour d'autres botnets. »

Un modèle réplicable ?


« C'est un sujet majeur de préoccupation », pense Bogdan Botezatu, analyste chez le fabricant d'antivirus Bitdefender.  « Si on peut rester anonyme pendant sept mois en routant les commandes C & C d'un botnet via Tor, alors d'autres botmasters vont l'utiliser. » Cela dit, Bodgan Botezatu estime que Tor peut ne pas être approprié pour de grands réseaux de zombies parce que le réseau Tor, qui est déjà relativement lent, pourrait ne pas être en mesure de gérer un grand nombre de connexions simultanées.

L'impact des réseaux de zombies sur le réseau Tor lui-même dépend vraiment de l'ampleur des attaques, selon Caudio Guarnieri. Une des caractéristiques du réseau de zombies Skynet est que chaque machine infectée devient un relais Tor, ce qui rend ironiquement le réseau Tor plus important et capable de supporter la charge, décrit-il.

Les créateurs de botnets ont récemment mis en oeuvre des solutions peer-to-peer pour des fins de commande et de contrôle plutôt que d'utiliser Tor, car elles offrent le même niveau d'anonymat et une résilience accrue sans introduire de problèmes de latence, rappelle Bodgan Botezatu. En outre, les implémentations en peer-to-peer ont déjà été bien documentées et testées, dit-il. L'approche basée sur Tor n'est pas nouvelle, affirme quant à lui, Marco Preuss, directeur de la recherche pour le fournisseur d'anti-virus de Kaspersky Lab. « Au cours des dernières années plusieurs présentations et des documents de recherche ont mentionné cette méthode pour les réseaux de zombies. »

Vers une liste noire


« L'un des inconvénients les plus importants est que la mise en oeuvre est complexe, les erreurs conduisent alors à une détection facile, et la vitesse est aussi un inconvénient »,  dit-il. Selon la façon dont Tor est utilisé dans l'infrastructure du réseau de zombies, il pourrait y avoir des solutions pour détecter et bloquer le trafic, ainsi que pour désactiver le botnet.

« Un seul botnet d'environ dix mille machines n'est pas un problème pour l'Internet mondial, mais, si les choses dégénèrent, nous sommes sûrs que les administrateurs coopéreront avec les FAI et les forces de l'ordre afin d'abattre le trafic malveillant », pense Bodgan Botezatu. « Après tout, Tor a été conçu pour l'anonymat et la vie privée, pas pour la cybercriminalité. »

Il ajoute : « Une contre-mesure que les entreprises ou les fournisseurs d'accès pourraient au final appliquer dans leur pare-feu est de rejeter tous les paquets qui proviennent de noeuds Tor connus, afin de minimiser la quantité de trafic potentiellement malveillant qu'ils reçoivent.»  Il conclut : « Bien sûr, cela pourrait aussi placer sur liste noire un certain nombre d'utilisateurs de Tor légitimes à la recherche d'anonymat. »