Le parquet de Paris vient d’annoncer qu’une vaste « opération de désinfection » visant un botnet est en cours depuis une semaine. D’après la procureure Laure Beccuau, l’opération a pour objectif de mettre un terme aux activités d’un « réseau de machines zombies » massivement utilisé à des « fins d’espionnage ».
À lire aussi : Ebury, le redoutable botnet qui a piraté 400 000 serveurs Linux en 15 ans
Un malware espion et des milliers de victimes françaises
C’est Sekoia, une firme française spécialisée dans la cybersécurité, qui a mis en lumière les activités du botnet. Selon les chercheurs, le réseau de machines infectées cumule « plusieurs millions de victimes dans le monde ». Le botnet a également fait 3000 victimes en France. Suite à la découverte des chercheurs, le parquet a décidé d’ouvrir une enquête, qui a été confiée au centre de lutte contre les criminalités numériques de la Gendarmerie nationale.
Concrètement, les ordinateurs tombés sous la coupe du botnet ont été infectés par le malware PlugX. Essentiellement utilisé pour l’espionnage et le vol d’informations sensibles, le virus est un cheval de Troie doté d’un module d’accès à distance, un ‹RAT› (Remote Access Trojan). Il est donc capable de prendre le contrôle d’un ordinateur. Le malware reçoit des « ordres d’un serveur central, afin d’exécuter des commandes arbitraires et de s’emparer de données présentes sur le système ». Une fois infecté, le PC fait partie du botnet et reste sous le contrôle intégral des pirates.
Une clé USB à l’origine de l’attaque
Pour piéger les victimes, les cybercriminels ont impérativement besoin d’un accès physique à l’ordinateur. En effet, l’infection se propage par le biais d’une clef USB. Il suffisait de brancher une clé USB sur un appareil infecté par PlugX pour qu’elle soit contaminée à son tour. Ensuite, elle installera le logiciel espion sur le prochain ordinateur où elle sera branchée. C’est de cette manière que l’infection a pris de l’ampleur. Comme toujours, on vous conseillera de ne surtout pas connecter n’importe quel périphérique USB inconnu à votre ordinateur. Pour le moment, on ignore quels cybercriminels sont à l’origine de la cyberattaque.
L’opération de désinfection a commencé le 18 juillet dernier, et « une centaine de victimes ont déjà pu bénéficier de cette désinfection, majoritairement en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche » seulement « quelques heures après le début du processus ». L’opération devrait s’étaler jusqu’à la fin de l’année en cours. Une fois que toutes les machines auront été désinfectées, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) prendra contact avec toutes les victimes basées sur le sol français.
La contre-attaque des autorités repose sur une « solution technique » de désinfection fournie par Sekoia. Les chercheurs de la société française sont en effet parvenus à prendre le contrôle d’un des serveurs utilisés pour piloter le botnet. Ce serveur avait été délaissé par les pirates pour une raison encore inconnue. L’outil conçu par Sekoia a été fourni aux pays touchés par le biais d’Europol, l’agence européenne de police criminelle. Il permet de supprimer PlugX à distance.
Le contexte des JO 2024
Comme le souligne le parquet, cette opération d’envergure a débuté quelques jours avant l’ouverture des Jeux Olympiques de Paris. L’événement sportif risque d’attirer l’attention d’une horde de cybercriminels, y compris de pirates financés par des gouvernements. Selon les experts, il n’est pas impossible que des campagnes d’espionnage soient diligentées par des puissances étrangères, comme la Russie ou la Chine.
C’est pourquoi les autorités ont redoublé de vigilance en amont de la compétition, souligne le parquet de Paris. Pour la procureure, « cette opération démontre la vigilance des différents acteurs, en France et à l’étranger, mobilisés pour lutter contre toutes les formes de cybercriminalité, y compris les plus sophistiquées » à la « veille de l’ouverture des Jeux olympiques ».
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
