La gendarmerie française purge un botnet mondial de 850 000 machines

Sécurité

Par le

Le centre de lutte contre les criminalités numériques (C3N), avec l’aide des chercheurs d’Avast, a pu démanteler un vaste botnet de 850.000 machines lors d’une opération de grande envergure.

La gendarmerie française, bien aidée par l’éditeur de l’antivirus Avast, a démantelé cet été un vaste botnet de 850.000 machines, repéré par les chercheurs en sécurité de l’entreprise. Il s’agissait de machines infectées par Retadup, précise 01net, un ver qui ouvre une porte dérobée sur l’ordinateur cible. Les pirates s ‘en servaient pour installer un logiciel de minage de Monero (une cryptomonnaie) à l’insu de l’utilisateur.

La grande majorité des appareils touchés étaient situés en Amérique latine, mais les serveurs à partir duquel le botnet était supervisé étaient hébergés en Ile de France. C’est pour cette raison que les ingénieurs en sécurité d’Avast qui l’ont débusqué se sont tournés vers le Centre de Lutte contre les Criminalités Numériques (C3N), la division “Internet et informatique” de la gendarmerie.

Pour venir à bout de ce vaste réseau d’ordinateurs infectés, les chercheurs d’Avast ont intégralement disséqué Retadup et mis au jour une vulnérabilité exploitable dans le protocole de communication des serveurs qui les contrôlent (on parle de C&C, pour Command & Control). A partir de cette vulnérabilité, une institution disposant de la force de frappe nécessaire est donc capable de prendre le contrôle de ces serveurs C&C, pour ensuite “désinfecter” toutes les machines du botnet (on parle de machines “zombies”) à partir de ces serveurs de contrôle.

Une opération digne d’un film d’espionnage

C’est précisément ce qu’a fait le C3N le 2 juillet dernier. Les gendarmes ont obtenu de l’hébergeur des serveurs qu’il leur fournisse une copie des serveurs C&C : à partir de là, conjointement avec les experts d’Avast, ils ont pu neutraliser le programme malveillant sur toutes les machines concernées grâce à un peu de ruse et une bonne dose de rétro-ingénierie sur Retadup.

Sur son site, l’entreprise qui édite le célèbre antivirus a tenu à préciser que les gendarmes ne leur avaient fourni aucun accès aux parties des serveurs qui contenaient des données personnelles des victimes.

L’opération a été menée conjointement avec le FBI aux Etats-Unis, et s’est soldée par un succès retentissant. Six jours plus tard, les pirates avaient perdu le contrôle sur l’intégralité de leur botnet. Une lourde perte pour les pirates, étant donné qu’il faut vraisemblablement des mois, voire des années pour en construire un aussi vaste. Une “première mondiale” d’après la gendarmerie.

© Avast / C3N

Au cours de l’opération, les gendarmes du C3N ont pu extraire des données qui, une fois synthétisées dans une infographie par Avast, permettent de localiser les ordinateurs touchés. La majorité se trouvait dans des pays hispanophones d’Amérique Latine, mais on en trouvait également dans des proportions moindres aux Etats-Unis, en Russie, et quelques un en Afrique.

850.000 armes potentielles neutralisées

Ces botnet (nom donné à un ensemble d’ordinateurs « zombies » contrôlés par un même serveur au moyen d’un programme malveillant) représentent une vraie menace, au-delà de la simple intrusion chez l’utilisateur et du parasitage de ses ressources pour le minage. Le groupe de pirates situé à la base peut également s’en servir de façon plus directe et d’autant plus nuisible. Il peut par exemple mobiliser l’ensemble de son botnet dans une même attaque ciblée, vers une même destination. Une tel trafic a de fortes chances de saturer l’accès à la cible, qui se retrouve alors non seulement hors-service pour son propriétaire, mais également vulnérable à des tas d’autres attaques. Cette famille d’attaques, dont il existe plusieurs variantes, porte le nom bien connu d’attaques DDOS (Distributed Denial of Service).

Petite anecdote cocasse partagée par 01Net : apparemment, les serveurs de contrôle du botnet auraient également été infectés par un trojan baptisé Nashta/Apanas !

On ne peut toutefois pas s’empêcher de se demander quelles autres implications ce genre d’opération pourrait receler. Par exemple, que faire dans un cas où les pirates auraient caché une contremesure non détectée par Avast et le C3N dans leur programme ? Auraient-ils pu causer des dégâts à tout le botnet en voulant le désinfecter ? Et même si les chercheurs et gendarmes n’ont pas eu accès aux pc individuellement infectés, ils ont tout de même indirectement effectué une action à distance sur les machines de 850.000 particuliers sans leur consentement. Dans ce cas précis, les motivations semblent vertueuses et justifiées, mais on peut aisément imaginer des cas plus sensibles où la ligne serait bien plus floue. Il sera intéressant de garder un œil sur ce genre d’affaires en gardant ces questions en tête, à une époque où la cybercriminalité de masse risque fort de devenir de plus en plus préoccupante.

Source: 01Net