Un vaste réseau d'ordinateurs piratés démantelé par la gendarmerie française

Un vaste réseau d'ordinateurs piratés démantelé par la gendarmerie française
Un gendarme de la brigade de répression de la cybercriminalité en 2011 (illustration)

, publié le mercredi 28 août 2019 à 09h55

Ce réseau d'ordinateurs permettait aux pirates de générer de la cryptomonnaie et de réaliser des attaques et des vols de données. La gendarmerie française a réussi à désinfecter 800.000 ordinateurs lors de cette opération de démantèlement, une première mondiale. 

Des centaines de milliers d'ordinateurs infectés, des machines localisées en Amérique centrale et en Amérique du Sud mais un serveur hébergé en Île-de-France...

La gendarmerie française a neutralisé un botnet, c'est-à-dire un réseau d'ordinateurs piratés agissant de concert, de plusieurs centaines de milliers de machines, a-t-elle annoncé mardi 27 août. L'opération de démantèlement, montée par les cyber-limiers du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie française, sous le contrôle de la section F1 du Parquet de Paris, est une première mondiale.

Tout a commencé par une alerte de l'éditeur de logiciels anti-virus Avast qui a prévenu la gendarmerie de l'existence du ver Retadup, c'est-à-dire un logiciel malfaisant, et de la présence du serveur de contrôle en France. La gendarmerie a alors réalisé au printemps 2019 une "copie discrète" du serveur en cause, chez son hébergeur en Île-de-France, sans que les pirates ne s'en rendent compte.

L'analyse du serveur a montré l'existence d'une faille dans le logiciel utilisé par les pirates, selon le récit de la gendarmerie. Les gendarmes ont utilisé cette faille pour désinfecter à distance tous les ordinateurs touchés, localisés notamment en Amérique centrale et en Amérique du Sud, avec l'aide notamment du FBI, la police fédérale américaine. 

Pour ce faire, ils ont en juillet substitué au serveur des pirates une machine qu'ils contrôlaient eux-même, et qui a pu envoyer les instructions nécessaires aux machines touchées. "Cette première mondiale aboutit à désinfecter à l'heure actuelle 800.000 machines", selon la gendarmerie.


"Les investigations se poursuivent pour identifier le groupe criminel à l'origine des faits", a précisé la gendarmerie.

Le réseau d'ordinateurs infectés permettait aux pirates d'en prendre le contrôle à distance, à l'insu de leur propriétaire. Les pirates les utilisaient ensuite notamment pour générer de la cryptomonnaie Monero. Le ver Retadup "semble également être à l'origine depuis 2016 de nombreuses attaques et vols de données et blocage de systèmes", selon la même source. 
 

Vos réactions doivent respecter nos CGU.