Secu
Ce que les DSI doivent retenir du démantèlement de Retadup par les cybergendarmes français
Par Laurent Delattre, publié le 28 août 2019
Des cybergendarmes français qui désarment une menace internationale, voilà qui n’est pas banal. Une histoire digne d’un roman d’espionnage dont les DSI doivent tirer plusieurs enseignements…
L’affaire fait la Une de la presse et des radios d’information. Les cybergendarmes du C3N, le centre de lutte contre les criminalités numériques de la gendarmerie française, ont mis fin au réseau Botnet « Retadup ». L’affaire est assez nouvelle pour les instances françaises d’autant que les principales victimes étaient hors de France. Au-delà de l’investigation digne d’un bon roman policier, cette affaire doit interpeler les DSI et RSSI français à plus d’un titre.
Les botnets restent une plaie
Les Botnets restent une menace très répandue. Ils s’appuient sur des malwares qui infectent les machines puis restent les plus discrets possible une fois installés attendant des ordres. Les cybercriminels se retrouvent progressivement aux commandes d’un réseau de machines « zombies » qui leur permettront de mener des attaques de grande envergure. Un tel réseau « botnet » peut être utilisé pour envoyer de grandes campagnes de Spam à moindre coût, pour mener des attaques par déni de services pour paralyser des services et sites Web, pour miner des cryptomonnaies, etc.
Avec quelques 900 000 machines infectées de par le monde, le botnet Retadup était un réseau important sans pour autant être géant : Bredolab a compté jusqu’à 30 millions de zombies, Mariposa ou Conficker en ont possédé plus de 10 millions.
D’une manière générale, les « Zombies » sont souvent des PC personnels peu ou mal protégés. Ces dernières années, les IoT (principalement les Webcams et les routeurs) ont également été pris pour cibles. Mais il peut arriver que certains cybercriminels visent plus particulièrement des serveurs pour héberger leurs bots (cas de Zer0n3t par exemple). Toutefois, même si seuls des individus sont infectés, les botnets demeurent un vrai danger pour les entreprises puisqu’ils sont très souvent utilisés pour réaliser des attaques DDOS afin de bloquer le site Web de l’entreprise, de paralyser son magasin en ligne ou d’handicaper ses accès aux services cloud.
Une victoire fruit d’une coopération entre privé et public
C’est l’éditeur Avast qui a alerté les autorités françaises après avoir découvert que les serveurs C&C (les centres de contrôles et commandes d’où partent les commandes envoyées aux bots) étaient hébergés en France, sur les infrastructures de l’hébergeur Online (selon Zataz). C’est aussi Avast, qui en analysant les protocoles du malware a découvert la présence d’une commande d’autodestruction.
Les gendarmes du C3N ont réalisé les investigations locales et imaginé comment éradiquer le botnet.
Une victoire internationale menée par la France, depuis la France
Certains éléments de l’infrastructure de « Contrôle et Commandes » étaient hébergés aux États-Unis. Les gendarmes ont du collaborer avec le FBI pour démanteler les éléments hors de France.
Par ailleurs, Retadup est un botnet très international, les machines infectées étant principalement situées en Amérique du Sud (Pérou, Vénésuela, Bolivie, Équateur, Mexique…). En France, les infections ne se comptaient qu’en centaines. En annihilant Retadup, la France a donc rendu service à des utilisateurs très loin de ses frontières.
Une première pour des institutions françaises
C’est la première fois que le C3N intervient de façon aussi active et responsable dans le démantèlement d’un botnet international. Les gendarmes ont commencé par dupliquer le serveur C&C à l’insu des cybercriminels pour pouvoir analyser précisément son fonctionnement et prendre le contrôle. Puis ils ont remplacé le vrai serveur C&C par leur version contrôlée et ordonné ainsi aux bots de s’autodétruire, réalisant de fait une désinfection planétaire à distance.
C’est, à priori, parce que le bot comportait une commande d’autodestruction, que les gendarmes français ont pu ainsi agir à une échelle internationale sans être freinés par des contraintes juridiques (qui interdisent notamment de s’infiltrer ou d’installer des programmes sur des machines à l’insu des utilisateurs).
Les entreprises ne doivent plus hésiter à prévenir la gendarmerie
Depuis quelques mois et la recrudescence des ransomwares, certaines entreprises françaises sont tentées de payer les rançons réclamées, agissant dès lors à l’encontre des préconisations de l’ANSSI. La leçon la plus importante de cette affaire, c’est que les cybergendarmes français ont désormais les compétences, l’organisation et les moyens d’agir. Les entreprises ne doivent plus hésiter à systématiquement se tourner vers l’ANSSI et le C3N dès qu’elles sont victimes d’attaques.
Rappelons également que particuliers, collectivités et entreprises touchés par une cyberattaque peuvent s’adresser à des experts par le biais du portail gouvernemental : www.cybermalveillance.gouv.fr
Source:
Plus de 850 000 ordinateurs « désinfectés » par le C3N