Un botnet infectant 850 000 machines à travers le monde a été mis hors d’état de nuire par le C3N. Le patron des cybergendarmes français est revenu sur cette opération de plusieurs mois alors que l’enquête pour trouver les créateurs de Retadup suit son cours.
Tout commence début 2019, quand Avast repère en France un serveur C&C infectant des milliers de machines, principalement en Amérique Centrale et en Amérique du Sud. Le C3N (Centre de lutte contre la criminalité numérique) est averti et commence sa traque. En mars, les gendarmes découvrent que ledit serveur est hébergé en Île-de-France. La machine contrôle un botnet, Retadup, qui repose sur « plus de 850 000 machines » dans 140 pays. « En France, on compte quelques centaines d'ordinateurs » explique à France Inter le colonel Jean-Dominique Nollet, le patron du C3N.
Retadup est actif depuis 2016 et cible des machines sous Windows. « Cette flotte d'ordinateurs permettait de faire des attaques mondiales de très, très grande ampleur » indique le colonel de gendarmerie. Cryptojacking, ransomware, crypto-verrouillage, vol de données : l’éventail de possibilités offertes par le botnet à ses créateurs (et à leurs clients) était large. Toutefois, le C3N n’a pas simplement déconnecté le serveur C&C.
Seek and destroy
« On l'a copié, on l'a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d'être inactif sur les ordinateurs des victimes » signale Jean-Dominique Nollet. « Ce qui est nouveau par rapport à ce que faisaient jusque-là les sociétés privées de protections des données, c'est qu'elles redirigeaient le virus vers un 'coin mort' d'Internet. Là, ce qu'on a fait, c'est envoyer du code aux ordinateurs victimes, pour désactiver les différentes versions du virus ».
En résumé, le C3N utilise une réplication du serveur pour rendre inopérant le programme malveillant sur les machines infectées. « On a réussi à nettoyer plus de 850 000 machines qui étaient infectées par le virus Retadup » ajoute-t-il, précisant que le serveur continue de tourner pour continuer de « nettoyer » les terminaux des victimes. Les auteurs du botnet n’ont néanmoins pas été appréhendés et l’enquête se poursuit en collaboration avec le FBI.