Les gendarmes du Centre de lutte contre les criminalités numériques (C3N) ont désactivé un virus sur les machines infectées, réalisant ainsi une première mondiale. © TheDigitalArtist, PIxabay

Tech

Le botnet Retadup démantelé en France après avoir infecté 850.000 PC

ActualitéClassé sous :cybersécurité , antivirus , botnet

Les cybergendarmes du Centre de lutte contre les criminalités numériques (C3N) ont réalisé une première mondiale en désactivant non seulement un serveur de commande, mais aussi en désinfectant des centaines de milliers d'ordinateurs.

Les gendarmes du Centre de lutte contre les criminalités numériques (C3N) viennent de réussir un joli tour de force. Ils ont non seulement désactivé un serveur situé en France qui commandait 850.000 ordinateurs zombis, ils sont également parvenus à désactiver le virus sur les machines infectées, réalisant ainsi une première mondiale.

L'éditeur de logiciels antivirus Avast a été le premier à détecter l'existence d'un serveur en France, qui semblait commander un botnet, et en a averti le C3N. Les ordinateurs contrôlés par ce serveur se situaient partout dans le monde, mais visaient principalement l'Amérique centrale et l'Amérique du Sud. Le propriétaire du serveur utilisait le virus Retadup pour infecter les ordinateurs, grâce à des liens envoyés par e-mail ou des clés USB infectées. Une fois le virus installé, les machines se connectaient à la tour de contrôle pour recevoir des instructions.

850.000 ordinateurs infectés

Le serveur existe depuis 2016, construisant une armée de 850.000 machines infectées par le virus Retadup et représentant une arme dévastatrice qui peut être utilisée contre n'importe quel service accessible depuis internet. Une seule commande de l'auteur, et toutes les machines de ce botnet se connectent simultanément sur le même site qui se trouve non seulement saturé et inaccessible mais qui peut également exposer des données. « Le virus Retadup est connu pour avoir attaqué des hôpitaux en Israël, avoir volé des données de patients israéliens, et même fabriqué énormément de cryptomonnaie grâce aux 850.000 ordinateurs », a indiqué Jean-Dominique Nollet, chef du C3N.

Après avoir été notifiés par Avast, les cybergendarmes ont confirmé l'existence du serveur, localisé en Île-de-France. Le parquet de Paris a alors ouvert une enquête avec la coopération du FBI américain. Le but de la manœuvre était de récupérer les noms de domaine utilisés par l'auteur, pour les rediriger vers un nouveau serveur. Habituellement, ce genre de serveur est neutralisé en redirigeant les noms de domaine vers une adresse IP inexistante. Les machines affectées ne parviennent donc plus à se connecter pour recevoir des commandes.

C'est la première fois au monde que des gendarmes ont pu neutraliser une vaste cyberattaque ayant infecté 850.000 ordinateurs. © Gendarmerie nationale

Pour la première fois au monde, les machines contrôlées ont été désinfectées à distance

Les gendarmes français ont choisi une autre approche inédite. Ils ont créé leur propre serveur de commande vers lequel ils ont pointé les noms de domaine, ce qui leur a permis de prendre le contrôle des machines infectées. Il leur a ensuite suffi d'envoyer une commande pour désactiver les différentes versions du virus, et ainsi désinfecter les ordinateurs, souvent sans même que les propriétaires sachent qu'ils ont été infectés.

Selon Jean-Dominique Nollet, « on a comptabilisé 140 pays concernés, surtout en Amérique du Sud. En France, on compte quelques centaines d'ordinateurs. On pense que les auteurs ont réussi à gagner plusieurs millions d'euros, chaque année, depuis 2016 ». Le serveur des gendarmes continuera de fonctionner encore quelque temps afin de neutraliser le virus sur les machines n'ayant pas été allumées par leur propriétaires pendant l'été ou qui ont pu avoir des problèmes de connexion.

  • Le virus Retadup a infecté 850.000 ordinateurs à travers le monde.
  • Les cybergendarmes du C3N ont désactivé le serveur de commande.
  • Les cybergendarmes ont également neutralisé le virus sur les ordinateurs infectés.
Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour.

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !

Cela vous intéressera aussi