Contrôlées à distance par des cybercriminels et faisant partie d’un botnet, ces machines zombies sont utilisées pour réaliser des attaques par déni de services (ou DDoS – des attaques qui ont pour objectif de rendre indisponible un site Internet), envoyer du spam, perpétrer des fraudes au clic ainsi que de nombreux actes de cyber-crime, à l’insu du propriétaire du terminal infecté. Ces botnets, disponibles à la location sur des forums spécialisés et sur le darknet, peuvent coordonner des millions de terminaux connectés pour des attaques massives et coordonnées.

Cartographie des zombies en France

La France est le 5ème pays le plus hospitalier pour les zombies de la région EMEA, représentant plus de 7 % de la totalité des bots, et le 9ème au monde. Paris est la ville où l’on trouve le plus de zombies, représentant quasiment 26 % du nombre total de bots du pays, et l’Ile de France 51,7 %. Les trois autres régions françaises les plus peuplées en zombies sont le Grand Est, représentant 8,92 % du total (et Strasbourg 4,34 %), les Hauts de France avec 7,77 % et la région PACA avec 6,42 % du total, où Marseille et Nice sont quasiment à égalité.

Paris se classe au neuvième rang des villes européennes qui comptent le plus de zombies, devant Londres. Si l’on ramène les chiffres nationaux à la population connectée, le pays se classe néanmoins en 24ème position : l’internaute français court un risque sur 3 609 d’être un zombie (ou du moins l’un de ses terminaux).

Les meilleures destinations zombies dans la région

Si, parmi les destinations de longs week-ends, Istanbul arrive en tête des destinations zombies, avec plus de 11 600 bots détectés, les villes préférées des français sont bien souvent également celles des bots : Rome arrive au 3ème rang, Budapest au 4ème et Madrid au 8ème, offrant à l’Espagne la 6ème place du pays. Chacune d’entre elles abrite par ailleurs plus de la moitié des machines zombies recensées dans leur pays respectif.

La Turquie, l’Italie et la Hongrie dans le peloton de tête

La Hongrie figure dans le top 10 de tous les classements : nombre de bots total dans le pays (3ème) et les villes (Budapest et Szeged respectivement 4ème et 5ème), et proportion de machines-zombies par internaute (1er). Les bots y sont par ailleurs géographiquement très concentrés puisque Budapest et Szeged totalisent 93 % de ces infections dans le pays. Un internaute hongrois sur 393 utilise par ailleurs un terminal qui fait partie d’un botnet.

L’Italie arrive en 2ème position en raison du nombre élevé et de la forte concentration de machines zombies à Rome, qui représente 75 % de la population de bots totale de la … Botte (!).

La Turquie, qui a été la cible de plusieurs attaques par des groupes d’hacktivistes en 2015, concentre, et de loin, le plus grand nombre de bots, avec un nombre d’infections deux fois plus élevé que le second pays. Au 4ème rang mondial pour ce type de menaces, la Turquie héberge 18,5 % des bots de la zone EMEA, et 4,5 % au niveau mondial. En ramenant ces statistiques à la taille de la population connectée (la 7ème de la région), l’étude montre qu’un internaute turc a un risque sur 1 139 d’utiliser une machine-zombie. Par ailleurs, les machines zombies sont particulièrement urbaines, avec 97 % d’entre elles se trouvant entre Istanbul et Ankara. Ces deux villes en totalisent d’ailleurs plus que l’ensemble de l’état d’Israël.

En dépit des nombreuses escroqueries dites « à la nigériane », le Nigeria ne figure qu’au 94ème rang du nombre de bots par internaute[1], avec une machine-zombie pour 2,1 millions d’internautes. D’une façon générale, les pays d’Afrique concentrent moins de bots par internaute que l’Europe occidentale ou le Moyen-Orient.

« La taille et le nombre de bots résultent de différents facteurs, mais les pays et les villes qui ont bénéficié récemment du développement de l’Internet haut débit sont attractifs pour les cybercriminels, qui y voient également une source de nouvelles opportunités lucratives » explique Laurent Heslault, expert en cyber sécurité de Norton by Symantec. « Nous avons vu récemment des cybercriminels qui utilisaient de plus en plus différents types de terminaux reliés à Internet, tels que les téléphones portables, les objets connectés ou encore les macs ».

Si l’on considère le nombre de bots en le comparant au nombre d’internautes de chaque pays, on détermine le risque qu’encourt chaque internaute d’utiliser une machine – zombie. Sur ce critère, c’est la Hongrie et Monaco qui occupent la tête du classement. Les Hongrois ont un risque sur 393 d’avoir un terminal utilisé par ailleurs par des cybercriminels pour lancer des attaques ou diffuser du spam et les Monégasques un sur 457.

“Le lieu de résidence du bot n’indique pas nécessairement le lieu où vivent les cybercriminels qui le contrôlent. Les bots sont par essence mondiaux, et une machine-zombie européenne peut participer à une attaque en Asie, commandée par une personne se trouvant en Amérique du Nord » explique par ailleurs Paul Wood, Directeur du département « Security Technology and Response » de Symantec. « Les cybercriminels peuvent soit constituer eux-mêmes un botnet, soit en louer un selon le temps, le nombre de machines-zombies et leur puissance ».

Pour plus d’informations sur les bots, comprendre comment ils fonctionnent et explorer les statistiques par pays et villes, n’hésitez pas à visiter le site Norton dédié.

A propos des données de l’étude

Symantec a constitué l’une des sources les plus étendues de télémétrie concernant les menaces sur Internet à travers le the Symantec Global Intelligence Network composé de plus de 63.8 millions de capteurs et qui enregistre des milliers d’événements chaque seconde. Ce réseau observe l’activité des menaces dans 157 pays et territoires via les produits et services Symantec et Norton ainsi que des sources tiers. Ces ressources offrent aux analystes de Symantec une somme de données sans équivalent pour identifier, analyser et commenter de façon pertinente les tendances émergentes en termes d’attaques, d’activités liées à des programmes malveillants, de phishing et de spam.

Les données relatives à la population connectée dans chaque pays est disponible via Internet World Stats : http://www.internetworldstats.com/stats.htm

[1] Comparaison entre le nombre de bots détectés en 2015 et la population connectée dans le pays, telle qu’indiquée par Internet World Stats le 20 septembre 2016.