Comment la gendarmerie a contré un virus informatique mondial : le Retadup

Ordinateur portable affichant un drapeau pirate, symbole d'un logiciel malveillant, de pirates informatiques ou d'un autre problème informatique. michael geiger/unsplash, CC BY-SA

Contraction des termes bot, et net, c’est-à-dire robot et réseau, le « botnet » correspond à un ensemble de postes de travail et de serveurs, pouvant être répartis sur de vastes espaces et sur de multiples réseaux, et qui ont été contaminés par un logiciel malveillant, aussi qualifié de maliciel. Cet agent logiciel automatique ou semi-automatique, ce bot informatique a généralement fait irruption dans un ordinateur via une clé USB infectée, ou après que l’utilisateur ait « cliqué » sur un fichier compromis.

Le bot ouvre un canal pour se connecter périodiquement à un serveur, dit de « commande et contrôle » (serveur C&C). Les postes contaminés interrogent ainsi le serveur pour lui demander les actions à exécuter, travail qui se fait à l’insu bien sûr des utilisateurs. On qualifie dès lors ces postes piégés de zombies, quant au serveur C&C, il est géré par un « maître » du botnet.

Créé en 2015, l’un de ces botnets a rapidement sévi avec force dans le cyberespace : considéré comme l’un des dix plus gros botnets au monde, il porte le nom de Retadup et a infecté quelque 1,25 million d’ordinateurs fonctionnant sur Windows. Chacun de ses bots embarque vingt noms de domaine, ce qui lui permet, si l’un des domaines ne répond pas, de s’adresser à un autre.

Retadup, un botnet identifié

Dès 2016, Retadup a été utilisé pour mener des attaques dans des hôpitaux en Israël, voler les données personnelles de patients, ou encore faire du ransomware, c’est-à-dire chiffrer les fichiers contenus sur un ordinateur, et demander une rançon en échange d’une clé permettant de les déchiffrer. Enfin, grâce au réseau de machines infestées, Retadup a permis aux pirates informatiques de cumuler la puissance de ces ordinateurs pour miner la cryptomonnaie Monero.

Naturellement, un tel piratage devait sérieusement ralentir le fonctionnement des ordinateurs infectés. Tant et si bien qu’un éditeur tchèque d’antivirus, Avast, a fini par repérer ces agissements. Mieux, il s’est aperçu non seulement que plusieurs centaines de milliers d’ordinateurs étaient déjà infectés – principalement en Amérique latine – mais aussi que le serveur C&C qui semblait commander Retadup se situait en Région parisienne.

Le serveur C&C étant situé en France, le parquet de Paris a alors ouvert une procédure judiciaire et chargé un groupe de la gendarmerie nationale, le Centre de lutte contre les criminalités numériques (C3N) de mener des investigations.

Rendu inopérant par une commande vide

Début juillet 2019, opérant en toute discrétion pour ne pas se faire repérer par les cybercriminels, la gendarmerie fait une copie du disque du serveur C&C chez l’hébergeur. Puis elle en a fait l’examen. Onze versions de Retadup, une active, les autres plus anciennes, sont alors découvertes. Mais surtout, Avast et la gendarmerie repèrent une faille dans le code malveillant. La parade devient alors possible… Pour désactiver les bots, un serveur de la gendarmerie a pris la place du serveur d’origine. Le groupe C3N avait en effet remarqué que les ordinateurs contaminés interrogeaient toutes les 30 secondes le serveur C&C, pour recevoir l’ordre d’exécuter une commande. Le trafic engendré par plus d’un million d’ordinateurs se connectant ainsi au serveur était évidemment considérable. La parade a consisté à envoyer l’ordre d’exécuter une commande vide, qui causait la désactivation automatique des effets délétères du botnet Retadup.

En peu de temps, 1,26 million d’ordinateurs ont ainsi désactivé leur bot, et ne pouvaient plus interroger le serveur, lequel était rappelons-le celui de la gendarmerie, et non plus le « vrai » serveur C&C dont il avait pris la place. Le serveur, de moins en moins sollicité, fonctionne désormais de mieux en mieux, mais avec de moins en moins d’utilité. Aujourd’hui, 6 000 ordinateurs interrogent encore en moyenne chaque jour le serveur C&C de la gendarmerie, téléchargent ainsi la fameuse commande vide, et ne peuvent dès lors plus se connecter, s’excluant ainsi du botnet Retadup. Combien restent encore contaminés dans le botnet Retadup ? Difficile à évaluer, peut-être plusieurs millions.

Questions judiciaires…

Naturellement, sur le plan judiciaire, se pose une question : même si c’est pour une juste cause, la gendarmerie avait-elle le droit de perturber le fonctionnement de centaines de milliers d’ordinateurs, la plupart étant de plus situés à l’étranger, car environ 165 pays furent touchés ? Évidemment, il ne s’agissait que de proposer une commande vide aux ordinateurs contaminés quand ils venaient la charger. Mais n’était-ce pas violer la loi Godfrain qui punit l’introduction, le maintien et la perturbation par une personne non autorisée du système d’information d’autrui ?

Dans cette formidable intervention de la gendarmerie, aucun contact direct n’a été effectué sur les ordinateurs contaminés. Ces derniers se connectaient, à l’insu du plein gré de leurs propriétaires, à ce qu’ils croyaient être le serveur C&C. Le faux serveur C&C de la gendarmerie, qui l’avait remplacé, leur servait une commande vide, à la place d’une autre qui aurait pu causer un déni de services, c’est-à-dire que les ordinateurs contaminés auraient pu envoyer de multiples requêtes vers des serveurs cibles pour les saturer et les mettre hors d’usage. Une commande non vide aurait pu aussi causer l’envoi de SPAM ou un minage de cryptomonnaie. Il ne s’agit donc pas d’une contre-attaque menée par la gendarmerie, mais de la simple attente que les ordinateurs se décontaminent tout seuls, en utilisant la faille d’un logiciel malveillant.

Quels modes opératoires peut-on légalement tolérer, et quels partenariats public/privé peut-on admettre comme légaux ? Jusqu’à quelles limites peut-on intervenir au-delà de nos frontières ? L’hébergeur de serveur C&C a-t-il sa part de responsabilité ?

Qui est le maître du botnet Retadup ?

In fine le coupable, bien entendu, est le maître du botnet Retadup ainsi que ceux qui le paient pour utiliser ses services. Mais qui est ce maître du botnet ? Pour l’heure, on ne le sait pas encore. La gendarmerie nationale poursuit ses investigations. De nombreux ordinateurs situés aux États Unis ayant été infectés, et des noms de domaines utilisés par les bots étant américains, le FBI est entré dans la danse et coopère étroitement avec la gendarmerie française. Quoi qu’il en soit, remercions la gendarmerie nationale, son groupe C3N et la société Avast. Leur contre-offensive contre ce botnet restera dans les annales.