La gendarmerie française a annoncé avoir neutralisé un « botnet » (réseau d’ordinateurs piratés agissant de concert) de plusieurs centaines de milliers de machines, localisées notamment en Amérique latine, après avoir été alertée par l’éditeur d’antivirus Avast.
Le réseau d’ordinateurs était commandé par un serveur hébergé en région parisienne, a-t-elle précisé. Toutes les machines, localisées notamment en Amérique centrale et en Amérique du Sud, avaient été infectées par le ver (code informatique malfaisant) Retadup, ce qui permettait aux pirates d’en prendre le contrôle à distance, à l’insu de leur propriétaire.
Avertie par Avast de l’existence de Retadup et de la présence du serveur de contrôle en France, la gendarmerie a d’abord réalisé au printemps 2019 une « copie discrète » du serveur en cause, chez son hébergeur, sans que les pirates ne s’en rendent compte. L’analyse du serveur a montré l’existence d’une faille dans le logiciel utilisé par les pirates, selon le récit de la gendarmerie.
Actif depuis 2016
Les cyber-limiers du Centre de lutte contre les criminalités numériques de la gendarmerie ont ensuite pu utiliser cette faille pour désinfecter à distance tous les ordinateurs touchés, avec l’aide notamment du FBI, la police fédérale américaine. Pour ce faire, ils ont en juillet substitué au serveur des pirates une machine qu’ils contrôlaient eux-mêmes et qui a pu envoyer les instructions nécessaires aux machines touchées.
« Cette première mondiale » a abouti à « désinfecter à l’heure actuelle 800 000 machines », selon la gendarmerie. « Les investigations se poursuivent pour identifier le groupe criminel à l’origine des faits », a-t-elle précisé. Le réseau d’ordinateurs infectés permettait notamment aux pirates de générer de la cryptomonnaie Monero. Le ver Retadup « semble également être à l’origine depuis 2016 de nombreuses attaques » ainsi que de « vols de données » et de « blocages de systèmes », selon la même source.
LQ/AFP