"Botnet" neutralisé: comment la gendarmerie française a opéré

  •  Vous appréciez FranceSoir, soutenez son indépendance !  

"Botnet" neutralisé: comment la gendarmerie française a opéré

Publié le 25/09/2019 à 08:00 - Mise à jour à 08:02
© Greg Wood / AFP/Archives
PARTAGER CET ARTICLE :
Auteur(s): Par Jules BONNARD - Paris (AFP)
-A +A

Signalement impromptu, collaboration avec le FBI, la chance qui s'en mêle et un million d'ordinateurs nettoyés sans que leurs propriétaires ne s'en rendent compte: la gendarmerie française est revenue dans le détail sur sa spectaculaire opération anti "botnet" (réseau d'ordinateurs piratés) et son cadre légal.

Lors d'un débat organisé mardi par l'observatoire FIC à propos du botnet Retadup, les officiers chargés de l'enquête ont détaillé leur démarche et leur interprétation du cadre légal dans lequel ils ont agi pour neutraliser ce virus.

- Comment la gendarmerie a-t-elle procédé ?

Si les opérations contre la cybercriminalité nécessitent le plus souvent un coup de chance pour réussir, les enquêteurs du Centre de lutte contre la criminalité numérique (C3N) de la Gendarmerie nationale ont cette fois bénéficié d'un véritable "alignement des planètes".

A la suite d'un signalement de l'éditeur tchèque d'antivirus Avast, la gendarmerie a pu constater que des ordinateurs infectés par un +botnet+ - également appelés machines "zombies" - interrogeaient périodiquement une machine située en France afin de recevoir des instructions à exécuter, généralement des attaques de grande échelle ou des opérations de minage de cryptomonnaies. Ce serveur maître était loué à un prestataire technique français par un hébergeur étranger.

Dans le cadre d'une enquête préliminaire, les enquêteurs ont réalisé une perquisition et - avec l'assentiment du prestataire - analysé puis remplacé ce serveur par une version modifiée.

Techniquement, les gendarmes ont profité d'une "faille" dans "la programmation médiocre" du pirate et pu désactiver le botnet en envoyant une "commande vide".

Parallèlement, et pour parer à toute tentative de la part du pirate de dévier le trafic vers une autre machine, une collaboration avec le FBI a permis d’adresser une vingtaine de noms de domaine utilisés par le virus vers la machine française.

Ainsi, depuis la mise en place du serveur le 1er juillet 2019, 1,3 million d'ordinateurs, principalement en Amérique latine, ont tenté de se connecter au serveur désormais contrôlé par la gendarmerie.

- L'origine du "botnet" a-t-elle été identifiée ?

La source de l'infection par Retadup, qui contamine des systèmes Windows généralement non protégés par un antivirus, reste inconnue. Elle peut être un site web proposant un lien malveillant ou la pièce-jointe d'un email se propageant de proche en proche. Des ordinateurs infectés éteints sont également susceptibles d'être rallumés et reconnectés.

En conséquence, 10.000 connexions quotidiennes parviennent toujours au serveur des gendarmes et le rythme ne faiblit pas. Selon les gendarmes, la justice doit décider du délai avant d'arrêter l'intervention.

Par ailleurs, le ou les auteurs de l'attaque n'ont pas été identifiés. Généralement, les taux d'élucidation dans les affaires de cybercriminalité restent bas.

- Un cas d'extraterritorialité ?

Contrairement à des cas précédents menés notamment par les autorités des Pays-Bas ou des États-Unis, la gendarmerie a neutralisé un virus sur plus d'un million de machines dans le monde sans l'accord préalable des utilisateurs. Une "première mondiale" qui interroge sur le cadre légal permettant d'intervenir en dehors du territoire français.

"La question qu'on s'est posée, c'est comment faire cesser l'infraction et neutraliser le virus sans toucher aux machines infectées ?", a expliqué la lieutenante-colonelle Fabienne Lopez, qui dirige le centre de lutte contre les criminalités numériques.

"Il n'y a pas eu de nettoyage des ordinateurs. Nous n'avons pas fait le travail d'une société d'antivirus", a-t-elle précisé car le logiciel pirate désactivé est resté sur les machines infectées.

Pour le colonel Éric Freyssinet, chef de la mission numérique de la gendarmerie, "le risque était mesuré" car des tests avaient permis de s'assurer de l'innocuité de la commande renvoyée aux ordinateurs "zombies".

"Je pense qu'il n'y a pas eu de violation de la souveraineté" d'autres États, estime Karine Bannelier, directrice adjointe du Grenoble Alpes Cybersecurity Institute, interrogée par l'AFP. L'opération s'est déroulée "sans intrusion, ni dommages à notre connaissance, ni intention de faire pression sur un État".

Pour la chercheuse, "c'est aussi l'obligation de la France de faire en sorte que les opérations (malveillantes) conduites sur son territoire ne portent pas atteinte à la sécurité d'un autre pays".

Auteur(s): Par Jules BONNARD - Paris (AFP)

PARTAGER CET ARTICLE :

Chère lectrice, cher lecteur,
Vous avez lu et apprécié notre article et nous vous en remercions. Pour que nous puissions poursuivre notre travail d’enquête et d’investigation, nous avons besoin de votre aide. FranceSoir est différent de la plupart des medias Français :
- Nous sommes un média indépendant, nous n’appartenons ni à un grand groupe ni à de grands chefs d’entreprises, de ce fait, les sujets que nous traitons et la manière dont nous le faisons sont exempts de préjugés ou d’intérêts particuliers, les analyses que nous publions sont réalisées sans crainte des éventuelles pressions de ceux qui ont le pouvoir.
- Nos journalistes et contributeurs travaillent en collectif, au dessus des motivations individuelles, dans l’objectif d’aller à la recherche du bon sens, à la recherche de la vérité dans l’intérêt général.
- Nous avons choisi de rester gratuit pour tout le monde, afin que chacun ait la possibilité de pouvoir accéder à une information libre et de qualité indépendamment des ressources financières de chacun.

C’est la raison pour laquelle nous sollicitons votre soutien. Vous êtes de plus en plus nombreux à nous lire et nous donner des marques de confiance, ce soutien est précieux, il nous permet d’asseoir notre légitimité de media libre et indépendant et plus vous nous lirez plus nous aurons un impact dans le bruit médiatique ambiant.
Alors si vous souhaitez nous aider, c’est maintenant. Vous avez le pouvoir de participer au développement de FranceSoir et surtout faire en sorte que nous poursuivions notre mission d’information. Chaque contribution, petite ou grande, est importante pour nous, elle nous permet d'investir sur le long terme. Toute l’équipe vous remercie.




Signalement impromptu, collaboration avec le FBI, la chance qui s'en mêle et un million d'ordinateurs nettoyés sans que leurs propriétaires ne s'en rendent compte: la gendarmerie f

Newsletter


Fil d'actualités France




Commentaires

-