Guide RSSI : détecter une infection botnet sur Windows, Linux et macOS

Guide RSSI : détecter une infection botnet sur Windows, Linux et macOS

Sommaire

1. Introduction : comprendre ce qu’est un botnet et ses risques

Un botnet est un réseau de machines compromises par un malware, contrôlé à distance par un attaquant (C&C server) pour effectuer diverses activités malveillantes : envoi de spam, attaques DDoS, cryptominage clandestin ou vol de données.

Risques principaux pour une entreprise ou un particulier :

  • Dégradation des performances système
  • Utilisation abusive de la bande passante
  • Implication dans des attaques sans votre consentement (responsabilité légale)
  • Vol de données confidentielles

Comprendre les signes et tester votre machine régulièrement est indispensable pour prévenir et limiter l’impact de ces menaces.

2. Comment reconnaître un PC potentiellement compromis

Voici les signes d’alerte classiques :

  • Performances anormalement lentes ou surchauffe CPU/GPU sans raison
  • Utilisation excessive de la bande passante (voir Task Manager / moniteur réseau)
  • Processus inconnus ou suspects (noms aléatoires ou génériques)
  • Connexions réseau vers des IP inconnues ou lointaines
  • Applications ou fenêtres qui se lancent de manière autonome
  • Alertes antivirus ou firewall répétitives

Ces signes ne garantissent pas une infection, mais méritent une investigation.

3. Prérequis avant les tests

  • Compte avec droits administrateur sur la machine
  • Connexion Internet (pour vérifier les IP et comparer avec listes noires)
  • Accès à l’antivirus et aux journaux systèmes
  • Pour les tests avancés : terminal / PowerShell (Windows), Terminal (Linux/macOS)

4. Procédures manuelles pour détecter une infection

A. Surveillance des processus

Windows 10/11 :

  1. Cliquez sur Ctrl + Shift + Esc pour ouvrir le Gestionnaire des tâches.
  2. Cliquez sur l’onglet Processus.
  3. Classez par Processeur pour repérer les processus consommateurs CPU.
  4. Cliquez droit sur tout processus inconnu → Ouvrir l’emplacement du fichier pour vérifier s’il se situe dans C:\Windows\System32 ou un autre dossier suspect.
  5. Si doute : recherchez le nom du processus sur Google ou sur des bases de données comme VirusTotal.

Linux (Ubuntu/Debian) :

top
# ou
htop
  • Vérifiez les processus consommateurs CPU/RAM inhabituels.
  • Pour chaque PID suspect :





ps -p <PID> -o pid,user,cmd





macOS :





    

  1. Applications → Moniteur d’activité
    2. 




  2. Onglet CPU et Mémoire → surveillez les processus inconnus ou qui monopolisent les ressources
    3. 






B. Vérification des connexions réseau





Windows :





    

  1. Ouvrez PowerShell ou Invite de commandes en administrateur
    2. 




  2. Tapez :
    3. 






netstat -ano | findstr ESTABLISHED





    

  • Notez les adresses IP distantes (Remote Address) et ports.
    • 




  • Comparez-les avec des listes publiques de C&C ou IP suspectes (ex: https://www.abuseipdb.com/).
    • 






Linux/macOS :





sudo netstat -tunp | grep ESTABLISHED
# ou avec ss
sudo ss -tunp







Recherchez des connexions persistantes vers des pays ou services inhabituels.







C. Analyse des services et tâches planifiées





Windows :





    

  1. Win + R → services.msc → repérez les services inconnus.
    2. 




  2. Win + R → taskschd.msc → vérifiez les tâches planifiées.
    3. 






Linux :





systemctl list-units --type=service
crontab -l





macOS :





launchctl list





Tout service/tâche inconnu ou récent est suspect et doit être investigué.





5. Tests automatiques et scripts





A. Script PowerShell pour identifier les processus suspects et connexions réseau (Windows)





# Lister processus inconnus ou suspects
Get-Process | Sort-Object CPU -Descending | Select-Object ID, ProcessName, CPU | Out-GridView -Title "Processus CPU élevés"

# Lister connexions réseau établies
Get-NetTCPConnection | Where-Object {$_.State -eq "Established"} | Select-Object LocalAddress,LocalPort,RemoteAddress,RemotePort,OwningProcess





    

  • Sélectionnez les IP distantes et vérifiez-les sur AbuseIPDB ou VirusTotal.
    • 




  • Export des résultats :
    • 






Get-Process | Sort-Object CPU -Descending | Export-Csv C:\audit_process.csv -NoTypeInformation





B. Script Linux pour vérifier activité réseau et processus CPU





#!/bin/bash
echo "Top 10 processus CPU:"
ps -eo pid,comm,%cpu --sort=-%cpu | head -n 11

echo "Connexions réseau établies:"
sudo ss -tunp | grep ESTAB





    

  • Sauvegarder en fichier audit_botnet.sh et exécuter : bash audit_botnet.sh > audit_report.txt
    • 






C. Vérification automatique avec antivirus / scanners en ligne









6. Analyse des journaux et comportements anormaux





    

  • Windows Event Viewer : Windows Logs → System / Security
    • 




  • Linux : /var/log/syslog, /var/log/auth.log
    • 




  • macOS : Console.app → système et application
    • 




  • Cherchez erreurs répétitives, tentatives de connexion suspectes, ou activité réseau inhabituelle
    • 






7. Mesures correctives et confinement





    

  1. Isolation du PC : déconnecter du réseau interne
    2. 




  2. Sauvegarde des données critiques
    3. 




  3. Scan complet antivirus/malware
    4. 




  4. Suppression des processus / services suspects
    5. 




  5. Réinitialisation du PC si nécessaire
    6. 




  6. Changement de mots de passe et tokens sensibles
    7. 




  7. Mise à jour de sécurité complète
    8. 








L’objectif est d’empêcher que votre PC continue d’agir comme un zombie dans un botnet.







8. Modèle de rapport d’incident pour DSI / RSSI





Titre : Audit Botnet – Machine [NomPC]
Date / Heure : 19/10/2025
Auditeur : [Nom]
OS : Windows 10 / Ubuntu / macOS
Processus suspects détectés :





    

  • [ProcessName] PID [xxx] CPU [%]
    Connexions réseau suspectes :
    • 




  • IP : [x.x.x.x] Port : [xxx]
    Actions correctives :
    • 




  • Isolement machine : Oui / Non
    • 




  • Scan antivirus complet : Oui / Non
    • 




  • Suppression malware : Oui / Non
    • 




  • Réinstallation OS : Oui / Non
    • 






Recommandations :





    

  1. Audit réseau des postes sensibles
    2. 




  2. Formation utilisateurs sur phishing et sécurité
    3. 




  3. Politique antivirus centralisée
    4. 






9. Bonnes pratiques pour prévenir l’infection





    

  • Maintenir le système et logiciels à jour
    • 




  • Utiliser un antivirus + firewall robuste
    • 




  • Eviter le téléchargement de logiciels piratés ou inconnus
    • 




  • Former les utilisateurs aux emails suspects / phishing
    • 




  • Surveiller régulièrement les processus et l’activité réseau
    • 




  • Limiter les droits administrateurs au quotidien
    • 




  • Segmenter le réseau pour limiter propagation éventuelle
    • 






Conclusion





Vérifier régulièrement que votre PC n’est pas compromis par un botnet est essentiel pour protéger vos données et votre réseau. Ce tutoriel fournit une approche complète et reproductible incluant tests manuels, scripts et procédures professionnelles.





Pour sécuriser vos postes sensibles et prévenir les infections botnet dans votre entreprise, contactez notre équipe pour un audit complet et un plan de remédiation personnalisé.







Contactez nos experts







Liens externes et ressources





				            					        

				        		    

		    		    

		    			    

		    	

     
		
                          
            

        

         
            





    

        

            

            

                                

                    

                        
Lectures recommandées

                    

                

                                
                
                
                

            

        
    
    





		
	


        
        					

						

							


Sommaire







						

						
							
							Index