Première mondiale : les gendarmes français neutralisent un réseau de 850.000 ordinateurs infectés

Première mondiale : les gendarmes français neutralisent un réseau de 850.000 ordinateurs infectés
High-tech

BOTNET - Les cyber-gendarmes français ont mis au jour Retadup, un ver qui s'était propagé sur des centaines de milliers d'ordinateurs dans le monde à partir d'un serveur installé en France.

L'affaire date en fait de mars dernier : Avast, éditeur de logiciels anti-virus, se rapproche alors des spécialistes en cybercriminalité de la Gendarmerie Nationale pour leur signaler l'existence de Retadup, un ver se transmettant d'ordinateur en ordinateur pour former un botnet, un réseau de machines que leurs opérateurs pourraient contrôler à distance. Signe particulier : le serveur de contrôle était hébergé en Île-de-France. Selon nos confrères de Zataz, il se serait trouvé sur les serveurs d'Online, l'hébergeur filiale de Free.

Le malware avait plusieurs fonctions : utiliser la puissance de calcul des machines infectées pour générer des Monero, une crypto-monnaie qui serait revenue dans l'escarcelle des auteurs de Retadup. Mais il pouvait aussi surveiller l'activité des machines infectées, enregistrer les caractères frappés au clavier, télécharger des captures d'écran, extraire des mots de passe, ou afficher des messages d'erreur. Surtout, les machines infectées formaient donc un botnet, qui pouvait être utilisé pour lancer des attaques concertées contre d'autres serveurs. Au total, selon les estimations, entre 850.000 et 960.000 ordinateurs auraient été touchés dans le monde, principalement en Amérique du Sud mais aussi un millier en France.

Le serveur du virus transformé en désinfectant

Au printemps, les cyber-limiers du C3N, le Centre de lutte contre les criminalités numériques, ont pu réaliser ce qu'ils appellent pudiquement une "copie discrète" du serveur. Objectif : en analyser le contenu sans alerter les opérateurs du botnet. Après analyse, Avast dit avoir trouvé une faille dans le fonctionnement du ver, une faille que les gendarmes ont pu mettre à profit

En juillet, ils ont substitué au serveur des pirates un autre serveur qu'ils contrôlaient eux-mêmes et qui a pu envoyer aux machines infectées les instructions pour se désinfecter d'elles-mêmes. À chaque requête d'une machine infectée, le serveur renvoyait une réponse qui poussait Retadup à s'auto-détruire, en utilisant certaines contre-mesures du malware lui-même, pensées pour le rendre moins détectable. 

Selon un porte-parole de la gendarmerie, "cette première mondiale aboutit à désinfecter à l'heure actuelle 800.000 machines (...) Les investigations se poursuivent pour identifier le groupe criminel à l'origine des faits". Cité par nos confrères de France-Inter, le chef du C3N estime que les opérateurs du réseau, actif depuis 2016, ont probablement pu gagner  plusieurs millions d'euros, chaque année, en crypto-monnaie. Selon Avast, plus de 85% des victimes n'étaient protégées par aucun logiciel anti-virus.

Lire aussi

Remonter vers l'opérateur du réseau

À ce jour, le serveur de la gendarmerie est toujours actif pour désinfecter les machines qui auraient été éteintes pendant l'été. L'infection résolue, reste à remonter vers ses auteurs. En soi, le ver Retadup n'est pas une nouveauté. Il y a deux ans, nos confrères de Zataz le décrivaient comme "le couteau suisse de pirates palestiniens". Retadup avait en effet été utilisé pour prendre le contrôle d'ordinateurs de plusieurs hôpitaux israéliens afin d'accéder à leurs données. Qui qu'il soit, l'opérateur du botnet n'a pas choisi la discrétion : l'année dernière, en réponse à un tweet mentionnant Retadup, il avait répondu, affichant l'écran de contrôle du réseau de machines infectées sous son contrôle.

Comment savoir si votre ordinateur est infecté

Si les spécialistes doutaient à l'époque de cette revendication, la suite des événements a confirmé son authenticité. Si cette version de Retadup visait clairement l'Amérique du Sud et même si la France est l'un des pays les moins touchés par l'infection,  par acquis de conscience, il existe des moyens simples de savoir si votre machine est infectée. Par exemple en allant chercher les fichiers suivants sur votre disque dur, des fichiers dont la simple présence sont l'une des signatures de l'infection.

Retadup, dans ses différentes versions, sera toujours détecté par un antivirus, même gratuit. Mais dans l'immense majorité des cas, même si votre machine était infectée, le stratagème des gendarmes devrait avoir suffi à la désinfecter sans que vous ayez eu à vous en inquiéter si elle a été connectée à l'internet ces derniers mois. Vous pouvez remercier nos cyber-limiers.

Sur le même sujet

Et aussi

Lire et commenter