dimanche 20 septembre 2020
Accueil / A la Une / Les cybergendarmes du C3N torpillent un réseau informatique de machines infectées
Exécution d'un script d'une version de Retadup, repérée par l'éditeur TrendMicro (Capture d'écran TrendMicro).
Exécution d'un script d'une version de Retadup, repérée par l'éditeur TrendMicro (Capture d'écran TrendMicro).

Les cybergendarmes du C3N torpillent un réseau informatique de machines infectées

L’opération des cybergendarmes du centre de lutte contre les criminalités numériques (C3N) est belle. Pas moins de 850.000 machines informatiques – un réseau botnet -ont été débarrassées de la présence d’un ver informatique malveillant au cours de l’été. “Une première mondiale“, affirme la Gendarmerie dans un communiqué, ce mardi 27 août.

L'ancien logo du C3N (DR).
L’ancien logo du C3N (DR).

A la fin du mois mars, l’éditeur d’antivirus Avast avait alerté les gendarmes de Cergy-Pontoise, déclenchant le début de l’opération. Depuis, les gendarmes ont passé en partie la main au FBI, compétent pour certaines infrastructures du ver, situées outre-Atlantique. Les cybercriminels à l’origine du ver ne sont toutefois pas encore identifiés. Des investigations, menées sous la houlette de la section F1 du parquet de Paris, sont toujours en cours.

Lire aussi sur L’Essor: Cybercriminalité: un quart d’affaires en plus pour le C3N

Actif depuis 2016

Le ver informatique contré, Retadup, est particulièrement malveillant. Les machines infectées, principalement des postes informatiques Windows, sont principalement localisées en Amérique latine. En France, le nombre de machines infectées s’élèverait à une centaine. Repéré depuis 2016, il semble être “à l’origine de nombreuses attaques et vols de données et de blocages de systèmes“, souligne la Gendarmerie.

Installé à l’insu des utilisateurs, le ver génère une crypto-monnaie, du Monero. En juillet, le ministère de l’Intérieur avait annoncé à ce sujet que le C3N avait saisi 58 moneros, d’une valeur alors de 5.000 euros. Son ou ses auteurs se vantaient publiquement, sur Twitter, d’avoir infecté de nombres postes informatiques.

Echanges de tweets sur Retadup repérés par la société Avast (Capture d''écran Avast).
Echanges de tweets sur Retadup repérés par la société Avast (Capture d”écran Avast).

“Les gens ne s’en rendent peut-être pas compte, mais 850.000 ordinateurs infectés, c’est une puissance de feu énorme, alerte Jean-Dominique Nollet, le chef du C3N, dans une interview à France Inter. Elle permet de faire tomber tous les sites (civils) de la planète, si les auteurs le veulent. Donc c’était très dangereux en matière de potentialité d’attaques : il fallait vraiment faire cesser l’infraction.”

Une menace prise au sérieux chez les gendarmes depuis plusieurs années. En témoigne ainsi la thèse, soutenue en novembre 2015, du colonel Eric Freyssinet, le chef de la mission numérique de la Gendarmerie. “Les botnets constituent un défi en matière de répression”, notait l’ancien chef du C3N dans ce document. Leur caractère international, leur virulence et les nombreux acteurs en jeu compliquent la tâche des forces de police.

Lire aussi sur L’Essor: Qui est Jean-Dominique Nollet, pressenti pour prendre la tête du C3N ?

Un ver très malveillant

L'un des outils du département INL (Crédit photo: GT/L'Essor).
L’un des outils du département INL (Crédit photo: GT/L’Essor).

Mais les dégâts de Retadup ne se limitent pas au minage de cryptomonnaie. Selon l’éditeur de cybersécurité japonais Trendmicro, il existe plusieurs versions du logiciel malveillant. L’une d’elles vise d’abord le vol d’informations, en clair de l’espionnage. L’éditeur d’antivirus Avast précise ainsi que le logiciel peut être en effet accompagné d’un voleur de mots de passe ou d’un chiffreur.

Grâce à Avast, les cyber-limiers du C3N localisent le serveur de commande et de contrôle du ver informatique. Il est situé en Île-de-France. Les gendarmes, appuyés par les geeks de l’institut de recherche criminelle de la Gendarmerie, découvrent une faille informatique qui leur permettent de prendre le contrôle du ver.

En remplaçant le serveur de contrôle par un programme de leur cru, ils ordonnent aux logiciels installés de par le monde de se désactiver. Permettant ainsi de désinfecter les 850.000 machines attaquées. Ironie de l’histoire: en décortiquant le code informatique du serveur, les spécialistes informatiques découvrent que les cybercriminels sont eux-mêmes infectés par un autre virus, Neshta. Tel est pris qui croyait prendre.

Gabriel Thierry

Crowdfunding campaign banner

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *