La gendarmerie française a réussi à neutraliser un «botnet», un réseau d'ordinateurs piratés de plusieurs centaines de milliers de machines, principalement situées en Amérique latine, en piratant à son tour le serveur de commande utilisé en France par les hackers. Selon la gendarmerie, qui a qualifié l'opération de «première mondiale», plus de 850 000 ordinateurs ont été délivrés du «botnet» qui les reliait clandestinement. Un chiffre qui pourrait encore grimper.
«C'est une opération massive» par le nombre d'ordinateurs concernés, a expliqué à l'AFP Gérôme Billois, un expert français en cybersécurité du cabinet Wavestone. Et elle démontre selon lui «un haut niveau d'expertise» de la part des cyber-limiers, qui ont déployé un mode opératoire très original après avoir été saisis à l'origine par l'éditeur tchèque d'antivirus Avast. «Elle démontre la capacité de la France à faire de grosses opérations», a-t-il expliqué, alors que ce sont d'habitude plus le FBI américain ou Europol qui sont mis en lumière dans ce genre d'affaires contre les cyber-criminels.
Les pirates pris à leur propre jeu
Selon les explications fournies par la gendarmerie et Avast, l'affaire a commencé quand l'éditeur d'antivirus a signalé à la gendarmerie au début de 2019 la présence en France d'un serveur commandant un réseau d'ordinateurs infectés, principalement en Amérique centrale et en Amérique du sud. Les experts du C3N (Centre de lutte contre les criminalités numériques de la gendarmerie) ont réussi d'abord à faire une «copie discrète» (sans alerter les pirates) du serveur, installé chez un hébergeur en région parisienne.
Puis début juillet, ils ont substitué au serveur de commande des pirates une machine qu'ils contrôlaient eux-même, qui a ensuite ordonné à tous les ordinateurs enrôlés dans le réseau de désactiver le ver informatique qui les contaminait.
«Quand les ordinateurs contaminés venaient chercher leurs ordres auprès du serveur de commande», le serveur de la gendarmerie qui avait pris sa place «leur donnait l'ordre de désinstaller» le programme contaminant, selon les explications de Gérôme Billois. L'opération était rendue possible par une faille de sécurité dans le programme informatique utilisé par les pirates, prenant ainsi ceux-ci à leur propre jeu.
La gendarmerie, qui a collaboré avec le FBI dans cette affaire, a agi sous le contrôle de la section F1 du Parquet de Paris, spécialisée dans la cybercriminalité. Aucune information n'est pour l'instant disponible sur les pirates à l'origine du botnet. «Les investigations se poursuivent pour l'identifier», a simplement précisé la gendarmerie.
Appel à la prudence sur internet
Selon la gendarmerie et Avast, le réseau d'ordinateurs infectés permettait notamment aux pirates de générer de la cryptomonnaie Monero. Le ver Retadup «semble également être à l'origine depuis 2016 de nombreuses attaques et vols de données et blocages de systèmes», selon la gendarmerie. La société de cybersécurité TrendMicro avait ainsi décelé en 2017 ce logiciel malfaisant derrière une attaque touchant des hôpitaux israéliens.
D'après Gérôme Billois, un internaute s'était même vanté sur Twitter d'avoir été l'auteur du programme, sans apparemment avoir été identifié.
A l'occasion de cette affaire, la gendarmerie a réitéré ses conseils de prudence aux internautes, pour éviter l'enrôlement de leur ordinateur dans un «botnet». «On ne clique pas sur les liens si l'on n'est pas sûr de la personne qui vous envoie le mail», a expliqué le colonel Nollet, chef du C3N, dans une interview sur la radio France Inter. «On ne clique pas sur les pièces jointes non plus et on met un antivirus (même gratuit) à jour. Et on essaie de ne pas faire n'importe quoi sur internet.»
Selon Avast, près de 85% des ordinateurs contaminés n'avaient pas d'antivirus. «D'autres en était équipés mais l'avaient désactivé, ce qui les rendait complètement vulnérables et susceptibles de propager l'infection à leur insu», a expliqué l'éditeur.
Lire aussi : John McAfee : «La confidentialité n'existe pas, chaque routeur est suspect»