Des cybergendarmes français neutralisent un serveur qui a infecté 850 000 ordinateurs à des fins crapuleuses
Par Emmanuel Leclère, franceinfo, France Inter – Radio France
Mis à jour le 28/08/2019 | 06:32 – publié le 28/08/2019 | 06:12
Le serveur pirate neutralisé par les gendarmes français aurait permis de faire gagner plusieurs millions d’euros aux cybercriminels.
C’est une première mondiale : des cybergendarmes du C3N, le Centre de lutte contreles criminalités numériques, à Pontoise, ont réussi à neutraliser un méga « botnet », un réseau informatique pirate qui infectait des centaines de milliers d’ordinateurs à travers le monde, a annoncé la gendarmerie nationale mercredi 28 août.
Le serveur, basé en Île-de-France, avait inoculé le virus « Retadup » à plus de 850 000 ordinateurs, principalement situés en Amérique centrale et du Sud, depuis 2016. Une centaine d’ordinateurs étaient concernés en France. Grâce à ce virus, ce serveur était en capacité de prendre le contrôle des machines et de les commander à distance pour commettre des actions crapuleuses et très rémunératrices comme la création de la cryptomonnaie Monéro, l’utilisation de « ransomware » (des logiciels d’extorsion), des vols de données d’hôpitaux comme en Israël ou encore le blocage de systèmes numériques.
Plusieurs millions d’euros frauduleusement gagnés depuis 2016
« On pense que les auteurs ont réussi à gagner plusieurs millions d’euros, chaque année, depuis 2016« , a expliqué à France Inter Jean-Dominique Nollet, chef du centre de lutte contre les criminalités numériques de la gendarmerie.
Au début de l’année 2019, la société Avast, qui conçoit des antivirus, a signalé au Centre de lutte contre les criminalités numériques de la gendarmerie l’existence de ce serveur. En quelques semaines, les cybergendarmes ont réussi à confirmer la localisation du serveur pirate en Île-de-France. Le parquet de Paris a alors ouvert une enquête avec la coopération judiciaire du FBI aux États-Unis. En l’espace de six mois et pour la première fois, les cybergendarmes ont réussi à neutraliser le serveur malveillant et à désinfecter des centaines de milliers d’ordinateurs.
Vous imaginez notre satisfaction d’avoir réussi à enlever les virus des ordinateurs des victimes, qui a priori ne savaient même pas que leurs machines étaient infectées.Jean-Dominique Nollet
Les créateurs du virus, eux, courent toujours. Face à ce genre de virus et de cyber-attaque, Jean-Dominique Nollet conseille de ne pas cliquer sur les liens ni sur les pièces jointes dont on ne connaît pas l’expéditeur et d’installer un antivirus régulièrement mis à jour.Des cybergendarmes français neutralisent un serveur pirate qui infectait 850 000 ordinateurs. Reportage d’Emmanuel Leclère–‘—-‘–A LIRE AUSSI
- Cyberattaque : « Les particuliers ne sont ni suffisamment informés ni formés », selon un expert
- Cybercriminalité : les gendarmes français mettent fin à une attaque mondiale
- Cybercriminalité : des gendarmes français stoppent une attaque mondiale
- La gendarmerie démantèle une cyberattaque planétaire
- Internet : arnaque aux faux courriels des finances publiques
Source : mobile.francetvinfo.fr
Plus de 850 000 ordinateurs « désinfectés » par le C3N
27 août 2019 – Par la capitaine Sophie Bernard
Le Centre de lutte conte les criminalités numériques (C3N), composé de gendarmes spécialistes en cybercriminalité, est parvenu à « désinfecter » à distance plus de 850 000 ordinateurs victimes d’un logiciel malveillant à travers le monde.
Début 2019, la société AVAST, ayant développé des logiciels antivirus du même nom, informe le C3N que de nombreux ordinateurs d’Amérique Centrale et d’Amérique du Sud seraient infestés par un malware (logiciel malveillant). Des centaines de milliers de machines appartenant à des particuliers auraient ainsi été piratées et dirigées à distance par un serveur de commande et de contrôle (C&C). Très vite, il s’avère que ce C&C est hébergé en France, entraînant la saisine du C3N par le parquet de Paris.
Le malware est un programme nocif pour l’ordinateur, envahissant le système informatique et prenant en partie le contrôle des opérations sur la machine. Il peut ainsi espionner, voler, crypter, ou tout simplement supprimer des données. L’objectif demeure souvent le même : obtenir de l’argent de façon illégale.
Le malware peut prendre différentes formes, notamment celle d’un ver qui se multiplie et contamine ainsi tout un réseau. En l’occurrence, le botnet (réseau d’ordinateurs touchés) nommé ici « Retadup » se serait élargi à plus de 850 000 ordinateurs. Il aurait occasionné des vols de données, le blocage de systèmes à distance, et surtout, la création frauduleuse de cryptomonnaies à l’insu des victimes.
Pour venir à bout de ce malware, le C3N a dû l’étudier de près. Aussi, une copie du fameux logiciel a été réalisée au cours d’une perquisition chez un hébergeur au printemps dernier. C’est avec l’appui de l’Institut de recherche criminelle de la gendarmerie nationale (IRCGN), que les experts du C3N ont analysé ce logiciel et ont fini par découvrir une faille.
Début juillet, le centre est parvenu à mettre au point un procédé cyber, déployé avec l’appui du FBI, qui, première mondiale, lui a permis d’assainir à distance l’ensemble du réseau touché, soit plus de 850 000 ordinateurs.
Les investigations se poursuivent pour démanteler le groupe criminel à l’origine de la cyberattaque.
Rappelons qu’un programme gouvernemental a été mis en place en 2017 pour sensibiliser, prévenir et assister les victimes d’actes de cybermalveillance. Les particuliers, entreprises et collectivités territoriales touchés par une cyberattaque peuvent ainsi s’adresser à des experts à travers une plateforme en ligne : https://www.cybermalveillance.gouv.fr/
Source : www.gendinfo.fr
La gendarmerie a neutralisé un réseau de 850 000 ordinateurs infectés par le même virus
L’unité spécialisée de la gendarmerie est parvenue à désinfecter à distance ces ordinateurs, utilisés à l’insu de leur propriétaire pour générer de la cryptomonnaie.
Le Monde avec AFP
La gendarmerie française a annoncé mercredi 28 août avoir neutralisé un réseau de 850 000 ordinateurs infectés par le virus informatique Retadup. Ce dernier était présent à l’insu des propriétaires légitimes de ces ordinateurs et permettait à des pirates d’en prendre discrètement le contrôle.
Tout a commencé en mars, lorsque l’entreprise Avast, spécialiste en sécurité informatique et éditrice d’antivirus, a averti l’unité de la gendarmerie spécialisée en cybersécurité, le Centre de lutte contre les criminalités numériques (C3N) de la présence sur le territoire français du serveur permettant de piloter ce réseau.Lire aussi La cyberdélinquance, une menace au quotidien que l’Etat peine à mesurer
Nettoyage à distance
Dans une longue explication postée sur son site, l’entreprise a aussi expliqué avoir découvert une faille dans la manière dont ce serveur central communiquait avec les ordinateurs infestés. La gendarmerie a donc perquisitionné l’hébergeur, qui n’est pas nommé, pour faire une « copie discrète » de ce serveur sans se faire repérer par les pirates. Ensuite, les gendarmes l’ont remplacé par une copie de leur cru qui, exploitant la vulnérabilité repérée, a donné l’ordre aux 850 000 exemplaires du virus de s’autodétruire.
La majorité des machines infectées étaient localisées en Amérique centrale et en Amérique du Sud. Sans que leur propriétaire ne soit au courant, leurs ordinateurs étaient utilisés pour créer de la cryptomonnaie Monero. La gendarmerie a sollicité, et obtenu, l’aide du FBI, car une partie de l’infrastructure du serveur de contrôle était située aux Etats-Unis. La gendarmerie, qui présente cette opération comme une « première mondiale », assure poursuivre ses investigations pour tenter d’identifier les auteurs du programme malveillant.
