Comment la gendarmerie française a neutralisé le virus « botnet »
Par Jules Bonnard, AFP | 25/09/2019, 11:23
Signalement impromptu, collaboration avec le FBI, la chance qui s’en mêle, avec, au final, un million d’ordinateurs nettoyés sans que leurs propriétaires ne s’en rendent compte… La gendarmerie française est revenue dans le détail sur sa spectaculaire opération anti « botnet » (réseau d’ordinateurs piratés) et son cadre légal.
La gendarmerie française passe aux aveux. Lors d’un débat organisé mardi 24 septembre par l’Observatoire FIC (dédié à la cybersécurité) à propos du botnet Retadup, les officiers chargés de l’enquête ont détaillé l’abracadabrante chasse au virus « botnet », qui piratait des ordinateurs à l’insu de leurs propriétaires.
Comment la gendarmerie a-t-elle procédé ?
Si les opérations contre la cybercriminalité nécessitent le plus souvent un coup de chance pour réussir, les enquêteurs du Centre de lutte contre la criminalité numérique (C3N) de la Gendarmerie nationale ont cette fois bénéficié d’un véritable « alignement des planètes ».
À la suite d’un signalement de l’éditeur tchèque d’antivirus Avast, la gendarmerie a pu constater que des ordinateurs infectés par un « botnet » (également appelés machines « zombies ») interrogeaient périodiquement une machine située en France afin de recevoir des instructions à exécuter, généralement des attaques de grande échelle ou des opérations de minage de cryptomonnaies. Ce serveur maître était loué à un prestataire technique français par un hébergeur étranger.
Dans le cadre d’une enquête préliminaire, les enquêteurs ont réalisé une perquisition et – avec l’assentiment du prestataire – analysé puis remplacé ce serveur par une version modifiée. Techniquement, les gendarmes ont profité d’une « faille » dans « la programmation médiocre » du pirate et pu désactiver le botnet en envoyant une « commande vide ».
Parallèlement, et pour parer à toute tentative de la part du pirate de dévier le trafic vers une autre machine, une collaboration avec le FBI a permis d’adresser une vingtaine de noms de domaine utilisés par le virus vers la machine française.
Ainsi, depuis la mise en place du serveur le 1er juillet 2019, quelque 1,3 million d’ordinateurs, principalement en Amérique latine, ont tenté de se connecter au serveur désormais contrôlé par la gendarmerie.
L’origine du « botnet » a-t-elle été identifiée ?
La source de l’infection par Retadup, qui contamine des systèmes Windows généralement non protégés par un antivirus, reste inconnue. Elle peut être un site web proposant un lien malveillant ou la pièce-jointe d’un email se propageant de proche en proche. Des ordinateurs infectés éteints sont également susceptibles d’être rallumés et reconnectés.
En conséquence, 10.000 connexions quotidiennes parviennent toujours au serveur des gendarmes et le rythme ne faiblit pas. Selon les gendarmes, la justice doit décider du délai avant d’arrêter l’intervention.
Par ailleurs, le ou les auteurs de l’attaque n’ont pas été identifiés. Généralement, les taux d’élucidation dans les affaires de cybercriminalité restent bas.
Un cas d’extraterritorialité ?
Contrairement à des cas précédents menés notamment par les autorités des Pays-Bas ou des États-Unis, la gendarmerie a neutralisé un virus sur plus de 1 million de machines dans le monde sans l’accord préalable des utilisateurs. Une « première mondiale » qui interroge sur le cadre légal permettant d’intervenir en dehors du territoire français.
« La question qu’on s’est posée, c’est comment faire cesser l’infraction et neutraliser le virus sans toucher aux machines infectées ? », a expliqué la lieutenante-colonelle Fabienne Lopez, qui dirige le centre de lutte contre les criminalités numériques. « Il n’y a pas eu de nettoyage des ordinateurs. Nous n’avons pas fait le travail d’une société d’antivirus », a-t-elle précisé car le logiciel pirate désactivé est resté sur les machines infectées.
Pour le colonel Éric Freyssinet, chef de la mission numérique de la gendarmerie, « le risque était mesuré » car des tests avaient permis de s’assurer de l’innocuité de la commande renvoyée aux ordinateurs « zombies ».
« Je pense qu’il n’y a pas eu de violation de la souveraineté » d’autres États, estime Karine Bannelier, directrice adjointe du Grenoble Alpes Cybersecurity Institute, interrogée par l’AFP. L’opération s’est déroulée « sans intrusion ni dommages à notre connaissance, ni intention de faire pression sur un État. »
Pour la chercheuse, « c’est aussi l’obligation de la France de faire en sorte que les opérations (malveillantes) conduites sur son territoire ne portent pas atteinte à la sécurité d’un autre pays ».