C’est une première mondiale réalisée par les gendarmes du Centre de lutte contre la criminalité numérique (C3N). Depuis leurs locaux de Pontoise, ils sont parvenus en quelques mois à neutraliser l’un des plus puissants botnet au monde, au nez et à la barbe des hackers.
Ce redoutable botnet, baptisé "Retadup" a été créé en 2015. Il s’est répandu dans des ordinateurs fonctionnant sous Windows via onze types de malwares, ces petits programmes malveillants qui se dissimulent dans des pièces jointes ou clés USB non sécurisées. Au total, ce botnet a touché plus de 850.000 ordinateurs dans 160 pays, principalement en Amérique du Sud (Pérou, Venezuela, Bolivie…) mais aussi en France. "C’est une espère de bombe nucléaire cyber : 850.000 ordinateurs qui obéissent à un seul groupe criminel dans le dos des propriétaires de l’ordinateur", explique à Europe 1 le colonel Jean-Dominique Nollet, commandant du C3N.
Des millions en monnaie virtuelle
Grâce à ce réseau de machines infestées, "Retadup" permettait aux pirates informatiques de cumuler la puissance de ces ordinateurs pour mener des offensives numériques de très grande ampleur. "Cela a servi à mener des attaques dans des hôpitaux pour voler les données des patients, à faire du randsomware, à bloquer des ordinateurs avec des demandes de rançon et ça servait – au moment où on lui est tombé dessus – à principalement générer de la crypto monnaie", poursuit le colonel Nollet, qui estime à "plusieurs millions d’euros par an" le montant de crypto monnaie Monero créé.
Tout a basculé en mars 2019 lorsque la société d’antivirus Avast découvre que le centre de commande et de contrôle de "Retadup" est hébergé depuis peu de temps en France. Les cyber gendarmes du C3N localisent alors le serveur situé en région parisienne, loué à distance par les pirates pour quelques centaines d’euros chez un hébergeur ignorant totalement qu’il servait de support technique aux hackers. "On est allés chez l'hébergeur, on a fait une copie discrète du serveur, on a ensuite tout décortiqué", détaille le colonel Nollet. Avec le concours de leurs collègues de l’Institut de recherche criminelle (IRCGN), les gendarmes du C3N parviennent à comprendre le fonctionnement du botnet ainsi copié et à en prendre le contrôle dans leur laboratoire.
Les pirates dépossédés
La suite de l’enquête est inédite. Les gendarmes sont retournés chez l’hébergeur francilien et sont parvenus à remplacer le serveur commandant "Retadup" par la copie dont ils détenaient les clés de chiffrement. Les pirates se sont alors vus déposséder de leur arsenal qu’ils voyaient toujours fonctionner mais qui ne répondait plus à leurs injonctions. Avec l’appui du FBI et de la justice américaine pour rediriger des flux informatiques, les cyber enquêteurs de la gendarmerie affirment avoir progressivement neutralisé le botnet : "Quand les virus viennent voir la tour de contrôle en disant ‘est-ce que j’ai un ordre ?’, on leur a donné l’ordre de se neutraliser", ce qui n’avait "jamais été mis en œuvre", souligne le colonel Nollet.
L’enquête menée sous la houlette de la section cybercriminalité du parquet de Paris se poursuit pour tenter d’identifier le groupe de pirates informatiques qui se cachaient derrière "Retadup". Selon les gendarmes, la plupart des ordinateurs infestés n’avaient pas de protection antivirus ou bien celle-ci n’était pas à jour. Or, un simple logiciel antivirus pouvait détecter et bloquer les malwares permettant au botnet de se répandre. À l’occasion de cette affaire, les enquêteurs rappellent l’importance de respecter certaines règles d’ "hygiène informatique" comme ne pas cliquer sur des liens suspects, se méfier des pièces jointes non sollicitées ou analyser systématiquement les clés USB avec un antivirus à jour.