La gendarmerie française a annoncé mercredi 28 août avoir neutralisé un réseau de 850 000 ordinateurs infectés par le virus informatique Retadup. Ce dernier était présent à l’insu des propriétaires légitimes de ces ordinateurs et permettait à des pirates d’en prendre discrètement le contrôle.

Tout a commencé en mars, lorsque l’entreprise Avast, spécialiste en sécurité informatique et éditrice d’antivirus, a averti l’unité de la gendarmerie spécialisée en cybersécurité, le Centre de lutte contre les criminalités numériques (C3N) de la présence sur le territoire français du serveur permettant de piloter ce réseau.

Nettoyage à distance

Dans une longue explication postée sur son site, l’entreprise a aussi expliqué avoir découvert une faille dans la manière dont ce serveur central communiquait avec les ordinateurs infestés. La gendarmerie a donc perquisitionné l’hébergeur, qui n’est pas nommé, pour faire une « copie discrète » de ce serveur sans se faire repérer par les pirates. Ensuite, les gendarmes l’ont remplacé par une copie de leur cru qui, exploitant la vulnérabilité repérée, a donné l’ordre aux 850 000 exemplaires du virus de s’autodétruire.

La majorité des machines infectées étaient localisées en Amérique centrale et en Amérique du Sud. Sans que leur propriétaire ne soit au courant, leurs ordinateurs étaient utilisés pour créer de la cryptomonnaie Monero. La gendarmerie a sollicité, et obtenu, l’aide du FBI, car une partie de l’infrastructure du serveur de contrôle était située aux Etats-Unis. La gendarmerie, qui présente cette opération comme une « première mondiale », assure poursuivre ses investigations pour tenter d’identifier les auteurs du programme malveillant.

Le Monde avec AFP