Un serveur informatique pirate, basé en France, avait inoculé le virus Retadup à plus de 850 000 ordinateurs dans le monde, à des fins crapuleuses. Les cybergendarmes français ont réussi à duper les pirates et mettre en place une désinfection des machines. Une première mondiale.

Le Centre de lutte contre la criminalité numérique (C3N) basé à Cergy Pontoise a réussi à duper un serveur pirate basé en France © Radio France / Emmanuel Leclère

L'affaire remonte au début de l'année. La société Avast, un fabricant d'antivirus, signale au Centre de Lutte contre les criminalités numériques de la Gendarmerie (C3N) l'existence possible d'un serveur pirate basé en France et qui semble infecter des milliers d'ordinateurs de sociétés et de particuliers, notamment en Amérique Centrale et en Amérique du Sud.

Depuis 2016, grâce au virus Retadup, ce serveur est en capacité de prendre le contrôle de machines "zombies" et de les commander à distance pour commettre des actions crapuleuses et très rémunératrices, comme la création de la cryptomonnaie Monéro, l'utilisation de ransomwares (des logiciels d'extorsion), des vols de données d'hôpitaux (comme en Israël), le blocage de systèmes numériques, etc.

En quelques semaines, les cybergendarmes réussissent à confirmer la localisation du serveur pirate en Île-de-France. La section F1 du parquet de Paris, chargée de la cybercriminalité, ouvre alors une enquête avec la coopération judiciaire du FBI aux États-Unis. En l'espace de six mois et pour la première fois, des cybergendarmes réussissent à neutraliser le serveur malveillant et à désinfecter des centaines de milliers d'ordinateurs infectés à travers la planète, comme l'ont révélé nos confrères du Figaro.

Les créateurs de Retadup, eux, courent toujours...

Jean-Dominique Nollet est le chef du Centre de lutte contre la criminalité numérique (C3N) à Cergy Pontoise (Val d'Oise) © Radio France / Emmanuel Leclère

Pour détailler cette opération, nous avons interrogé Jean-Dominique Nollet, chef du Centre de lutte contre la criminalité numérique (C3N) à Cergy Pontoise (Val d'Oise).

FRANCE INTER : Comment s'est déroulée cette opération inédite ?

JEAN-DOMINIQUE NOLLET : "On a réussi à nettoyer plus de 850 000 machines qui étaient infectées par le virus Retadup. Cette flotte d'ordinateurs permettait de faire des attaques mondiales de très, très grande ampleur. Vous imaginez notre satisfaction d'avoir réussi à enlever les virus des ordinateurs des victimes, qui a priori ne savaient même pas que leurs machines étaient infectées.

Grosso modo, on a réussi à détecter où se trouvait le serveur de commandement, la tour de contrôle du réseau d'ordinateurs infectés, les 'Botnet'. On l'a copié, on l'a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d'être inactif sur les ordinateurs des victimes."

Ce qui est incroyable, c'est que le serveur pirate était en France.

"Ce n'est pas incroyable, c'est légitime : il y a plein de serveurs en France. Nous sommes l'un des pays qui fait le plus d'hébergement."

De quoi était capable ce réseau "Botnet" ?

"Les gens ne s'en rendent peut-être pas compte, mais 850 000 ordinateurs infectés, c'est une puissance de feu énorme ! Elle permet de faire tomber tous les sites (civils) de la planète, si les auteurs le veulent. Donc c'était très dangereux en matière de potentialité d'attaques : il fallait vraiment faire cesser l'infraction. Le virus Retadup est connu pour avoir attaqué des hôpitaux en Israël, volé des données de patients israéliens, et même fabriqué énormément de cryptomonnaie grâce aux 850 000 ordinateurs."

En quoi votre intervention est différente de ce qui se fait d'habitude ?

"Ce qui est nouveau par rapport à ce que faisaient jusque-là les sociétés privées de protections des données, c'est qu'elles redirigeaient le virus vers un 'coin mort' d'Internet. Là, ce qu'on a fait, c'est envoyer du code aux ordinateurs victimes, pour désactiver les différentes versions du virus."

Comment s'est passée la coopération avec le FBI ?

"On avait besoin d'eux non pas pour la partie technique, mais parce que certains noms de domaines étaient enregistrés aux États-Unis. Il nous fallait des jugements de cours fédérales pour pouvoir bloquer certains trafics et les dériver vers notre serveur à nous."

Que va devenir le serveur pirate et où en êtes-vous avec les créateurs de Retadup ?

"Notre serveur, on va le laisser tourner encore un peu pour continuer à désinfecter des machines qui ne se sont pas connectées depuis un mois et demi (durant l'été) ou qui avaient des problèmes de réseau. Pour le reste, l'enquête continue pour tenter d'identifier les auteurs du virus.

Les auteurs pouvaient louer leur plateforme à des dirigeants de sociétés pour des attaques de concurrents par exemple ! Ils pouvaient paralyser des institutions, même bien défendues. On a comptabilisé 140 pays concernés, surtout en Amérique du Sud. En France, on compte quelques centaines d'ordinateurs. On pense que les auteurs ont réussi à gagner plusieurs millions d'euros, chaque année, depuis 2016. Malheureusement on sait qu'ils peuvent recréer ce genre de serveur pirate à tout moment."

Qui a été infecté dans cette histoire ? Et comment ça se passait ?

"Le virus n'a infecté que des ordinateurs sous Windows, XP, 7,8 et 10 et des serveurs sous Windows. Il s'agissait surtout d'ordinateurs de particuliers mais également d'entreprises. Les PC ont été infectés très classiquement : un clic sur un lien dans un e-mail, proposant une manière de faire de l'argent facile, ou de voir des photos érotiques, etc. Autre manière très courante de propagation du virus : les clés USB infectées."

Qu'est-ce que vous conseilleriez à l'utilisateur lambda face à ce genre de cyber-groupe criminel et ce genre de virus ?

"La même chose que je conseille à mes parents : on ne clique pas sur les liens si l'on n'est pas sûr de la personne qui vous envoie le mail. On ne clique pas sur les pièces jointes non plus et on met un antivirus (même gratuit) à jour. Et on essaie de ne pas faire n'importe quoi sur Internet."