Cybercriminalité : La Gendarmerie démantèle un vaste réseau informatique malveillant lors d’une opération inédite

Parmi les modes opératoires suivis par les pirates informatiques, l’un d’eux consiste à mettre en place un « Botnet », en infectant des terminaux [ordinateurs, smartphones, tablettes] avec un programme malveillant afin d’en prendre le contrôle à l’insu de leurs propriétaires et de les commander ensuite à distance depuis un serveur. Ce qui leur permet de générer frauduleusement de la cryptomonnaie, lancer des attaques par déni de service, activer des logiciels d’extorsion

[ransomware]

ou bien encore voler des données.

En 2016, un tel réseau de « machines zombies » a commencé par se déployer grâce au logiciel malveillant Retadup, décrit par le site spécialisté Zataz comme étant le « couteau suisse » de pirates informatiques palestiniens.

En effet, ce code, qui a servi à voler des données de plusieurs hôpitaux israéliens en 2017, permet d’extraire des mots de passes enregistrés par la plupart des navigateurs Internet, de télécharger des fichiers, d’enregistrer les frappes clavier ou encore de faire des captures d’écran.

Au fil du temps, Retadup a infesté plus de 860.000 terminaux informatiques tournant sous Windows, XP, 7, 8 et 10, principalement en Amérique du Sud. Ce logiciel malveillant s’est répandu d’une manière classique, c’est à dire via des liens contenus dans des courriels proposant des offres alléchantes [ou exploitant les faiblesses humaines…] et des clés USB infectés.

Quoi qu’il en soit, les pirates à l’origine de ce « Botnet » ont pu ainsi générer annuellement plusieurs millions d’euros de gains frauduleux, via la création de cryptomonnaie Monero et l’exploitation de logiciels d’extorsion.

Seulement, l’ampleur prise par ce « Botnet » a fini par éveiller l’attention des sociétés de securité informatique. En mars dernier, l’une d’elles, Avast, a ainsi prévenu le Centre de Lutte contre les criminalités numériques de la Gendarmerie [C3N] que le serveur de « commande et de contrôle » [C&C] utilisé pour commander à distance les ordinateurs infestés par Retadup se trouvait propablement en région parsienne.

Il aura fallu quelques semaines aux gendarmes du C3N pour confirmer les soupçons émis par Avast et localiser le serveur en question. Chargé des affaires liées à la cybercriminalité, la section F1 du Parquet de Paris a ensuite ouvert une enquête, dans le cadre d’une coopération judiciaire avec le FBI, la police fédérale américaine.

Les experts de la gendarmerie vont alors s’employer à accomplir ce qui n’avait jamais été fait jusqu’alors : neutraliser le serveur de ce Botnet et éliminer le logiciel Retadup installé sur les centaines de milliers de terminaux informatiques utilisés par les pirates informatiques.

« Grosso modo, on a réussi à détecter où se trouvait le serveur de commandement, la tour de contrôle du réseau d’ordinateurs infectés, les ‘Botnet’. On l’a copié, on l’a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d’être inactif sur les ordinateurs des victimes », a expliqué le colonel Jean-Dominique Nollet, le chef du C3N, à France Inter.

Pour cela, et avec l’appui de l’Institut de recherche criminelle de la Gendarmerie nationale [IRCGN], le C3N a dû trouver une « faille » dans le code du logiciel malveillant. C’est en exploitant cette dernière que les gendarmes ont pu « désinfecter » à distance les terminaux informatiques sur lesquels Retadup s’était installé.

Quant à l’aide du FBI, elle a été nécessaire pour obtenir des jugements de cours fédérales américains pour « pour pouvoir bloquer certains trafics et les dériver vers notre serveur à nous », a précisé l’officier.

L’action des gendarmes du C3N aura permis d’éviter une attaque informatique de plus grande ampleur. Avec les 850.000 ordinateurs infestés que comptait ce réseau malveillant, les pirates informatiques auraient été en mesure de « faire tomber tous les sites civils de la planète », a avancé le colonel Nollet.

Si elle a neutralisé ce vaste Botnet, cette opération audacieuse, qualifiée de « première mondiale » par la Gendarmerie, n’a pas permis encore de mettre la main sur les pirates informatiques. Et nul doute que ces derniers recommenceront… en prenant plus de précautions.

Posted in Non classé.

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *