C’est une première mondiale ! Depuis leurs locaux de Pontoise, les gendarmes du Centre de lutte contre la criminalité numérique sont parvenus à neutraliser l’un des plus puissants botnet au monde, au nez et à la barbe des hackers.
Les cyber enquêteurs français sont parvenus à prendre le contrôle de ce système de virus ayant infesté plus de 850 000 ordinateurs dans le monde. En 2015 est créé le redoutable botnet Retadup. Il s’est répandu dans des ordinateurs fonctionnant sous Windows via 11 types de malwares. Ces programmes se dissimulent dans des pièces jointes ou clés USB non sécurisées. Ce botnet a touché au total plus de 850 000 ordinateurs dans 160 pays. Principalement en Amérique du Sud mais aussi en France. « C’est une espère de bombe nucléaire cyber : 850 000 ordinateurs qui obéissent à un seul groupe criminel dans le dos des propriétaires de l’ordinateur », explique le colonel Jean-Dominique Nollet.
Des millions en monnaie virtuelle
Grâce à ce réseau de machines infestées, Retadup permettait aux pirates informatiques de cumuler la puissance de ces ordinateurs pour mener des offensives numériques de grande ampleur. « Cela a servi à mener des attaques dans des hôpitaux pour voler les données des patients, à faire du randsomware, à bloquer des ordinateurs avec des demandes de rançon et ça servait principalement à générer de la crypto monnaie », poursuit le colonel Jean-Dominique Nollet. Il estime à plusieurs millions d’euros par an le montant de crypto monnaie créé.
Les pirates dépossédés
En mars 2019, la société d’antivirus Avast découvre que le centre de contrôle de Retadup est hébergé depuis peu en France. Les cyber gendarmes localisent alors le serveur situé en région parisienne. Il est loué à distance par les pirates pour quelques centaines d’euros. L’hébergeur ignore totalement qu’il sert de support technique aux hackers. « On est allés chez l’hébergeur, on a fait une copie discrète du serveur, on a ensuite tout décortiqué », détaille le colonel Jean-Dominique Nollet. Avec l’aide de leurs collègues de l’Institut de recherche criminelle, les gendarmes parviennent à comprendre le fonctionnement du botnet et à en prendre le contrôle depuis leur laboratoire.
Les gendarmes sont ensuite retournés chez l’hébergeur et ont remplacer le serveur commandant Retadup par la copie dont ils détenaient les clés de chiffrement. Les pirates se sont alors vus déposséder de leur arsenal. Ils le voyaient toujours fonctionner mais il ne répondait plus à leurs commandes. Avec l’appui du FBI et de la justice américaine, les cyber enquêteurs de la gendarmerie affirment avoir neutralisé le botnet. « Quand les virus viennent voir la tour de contrôle en disant « est-ce que j’ai un ordre ? », on leur a donné l’ordre de se neutraliser, ce qui n’avait jamais été mis en œuvre », souligne le colonel Jean-Dominique Nollet.
Des précautions à prendre
L’enquête menée sous la direction de la section cybercriminalité du parquet de Paris se poursuit pour tenter d’identifier le groupe de hackers qui se cachaient derrière Retadup. Selon les gendarmes, la plupart des ordinateurs infestés n’avaient pas de protection antivirus ou bien celle-ci n’était pas à jour. Un simple logiciel antivirus peut détecter et bloquer les malwares permettant au botnet de se répandre. Les enquêteurs rappellent l’importance de respecter certaines règles d’hygiène informatique. Ne pas cliquer sur des liens suspects, se méfier des pièces jointes non sollicitées et analyser systématiquement les clés USB avec un antivirus à jour.