Gérer les risques
Aujourd'hui et demain

Cyberprévention

Le virus Retadup mis hors jeu par les cybergendarmes français

Lancé en 2016 par des pirates du Moyen-Orient, ce code malveillant avait infecté quelques 900.000 machines partout dans le monde. En l’espace de six mois, le Centre de lutte contre la criminalité numérique (C3N) a réussi à localiser la tour de contrôle des pirates et à la remplacer par leur propre serveur pour désinfecter les machines.

Portable en main, un cybergendarme surveille le Net

L’opération nettoyage des cybergendarmes n’a nécessité aucune action du côté des utilisateurs de PC infectés. © Gendarmerie nationale

Cocorico ! Les cybergendarmes français du Centre de lutte contre la criminalité numérique (C3N) basé à Cergy-Pontoise (Val-d’Oise) ont réussi un bel exploit en nettoyant quelques 850.000 ordinateurs infectés par le fameux virus Retadup. Lancé en 2016 par des pirates du Moyen-Orient qui courent toujours dans la nature, ce code malveillant s’est infiltré via des clés USB, des pièces jointes ou des liens transmis par email dans des PC et serveurs tournant sous Windows. Appartenant aussi bien à des particuliers qu’à des entreprises basées dans 140 pays, surtout en Amérique du sud, ces machines se sont alors transformées en zombies télé-opérables depuis un serveur central. Cette armée de 850.000 ordinateurs, dont quelques centaines en France, a permis aux pirates d’attaquer des serveurs, notamment ceux d’hôpitaux israéliens pour y dérober des données de patients, mais aussi créer de la cryptomonnaie ou encore utiliser des logiciels d’extorsion (Ransomware), comme l’indique dans une interview donnée à France Inter, Jean-Dominique Nollet, le chef du C3N qui dépend de la Gendarmerie nationale.

Prise de contrôle du serveur pirate par les cybergendarmes

Ce dernier est intervenu en début d’année en réponse à la demande du fabricant de virus Avast qui a détecté l’existence possible d’un serveur pirate basé en France et qui semblait infecter des milliers d’ordinateurs. Le mode opératoire adopté par les cybergendarmes vaut qu’on s’y intéresse. Alors que les entreprises en charge de la protection des données ont coutume de diriger le virus vers un coin mort d’internet, leur stratégie a été d’envoyer du code pour désactiver les différentes versions du virus qui infectaient les ordinateurs. Ce qui a nécessité concrètement de localiser la tour de contrôle qui pilotait le réseau des PC contaminés pour la remplacer par un serveur du C3N conçu pour désinfecter les ordinateurs sans que leurs utilisateurs n’aient à effectuer d’opération. Six mois ont suffi. Le C3N a pu mener cette action après l’ouverture d’une enquête menée par la section F1 du parquet de Paris, chargée de la cybercriminalité, en coopération avec le FBI sachant que certains noms de domaines étaient enregistrés aux Etats-Unis. Il a donc fallu requérir une autorisation des cours fédérales pour bloquer certains trafics et les diriger vers le serveur du C3N.

Eliane Kan

Commentez

Participez à la discussion