RMC

Virus: comment la gendarmerie française a "désinfecté" plus de 850.000 ordinateurs à travers le monde

La gendarmerie française a neutralisé un "botnet", un réseau d'ordinateurs piratés agissant de concert, de plusieurs centaines de milliers de machines.

"Une telle force de frappe qu'ils pouvaient faire tomber n'importe quel site internet à travers le monde". La gendarmerie française, spécialisée dans la lutte contre la cybercriminalité, a réussi une première mondiale: désinfecter plus de 850.000 ordinateurs à travers le monde d'un virus. 

C'est la société AVAST qui a informé le centre de lutte contre les criminalités numériques de la gendarmerie (C3N) en début d'année. Des centaines de milliers d'ordinateurs ont été piratés par un logiciel malveillant: la propagation du virus est classique, par mail ou clé USB. 

Ce qui sort de l'ordinaire c'est le nombre de machines infectées. Réparti sur des ordinateurs dans 140 pays, essentiellement en Amérique latine, mais aussi sur plusieurs centaines de machines en France, le logiciel malveillant était commandé par un serveur hébergé en Ile-de-France. Infectés, ces ordinateurs étaient mis en réseau par les pirates pour réaliser des opérations crapuleuses de grandes ampleurs... Quand les ordinateurs sont allumés, ils peuvent être dirigés à distance par un serveur de commande et de contrôle.

"Les victimes ignorent sans doute qu'elles ont été piratées"

Un serveur localisé au printemps dernier près de Paris; la gendarmerie perquisitionne les locaux de l'hébergeur et réalise une première mondiale. Le serveur est copié à l'identique. Son logiciel malveillant est décortiqué. Il se décline en 11 versions différentes. La gendarmerie prend le contrôle de ce nouveau serveur pour neutraliser le virus à distance sans endommager les ordinateurs.

"Les victimes, essentiellement des particuliers et des sociétés, ignorent sans doute qu'elles ont été piratées", explique Jean-Dominique Nollet, le patron du C3N.

Mais il fallait absolument mettre un terme à l'expansion de ce virus très dangereux. Ce réseau d'ordinateurs contaminés appelé Retadup représentait une "arme de destruction massive du cybercrime", d’après le colonel de gendarmerie, "capable de faire tomber n'importe quel site à travers le monde".

Le vol de données de patients hospitalisés

Plusieurs méfaits est a mettre à son actif depuis 2016, comme le vol de données de patients hospitalisés en Israël, des sites internet inaccessibles ou encore la propagation de logiciels de rançons et la création de crypto-monnaie. Un préjudice évalué à plusieurs millions de dollars par an d'après la gendarmerie. Environ 10.000 ordinateurs sont encore désinfectés par jour en moyenne.

L'enquête, elle, se poursuit pour identifier le groupe criminel aux commandes de cette attaque sans précédent. 

Le patron du C3N Jean-Dominique Nollet donne par ailleurs trois conseils pour éviter les virus: "Ne pas cliquer sur les liens d'adresses inconnues, ne pas télécharger de pièces jointes d'émetteurs inconnus, installer un antivirus sur tous les ordinateurs."
Marion Dubreuil