🔴 French Days en direct 🔴 French Days en direct

Retadup, le botnet géant, a été neutralisé par les cybergendarmes français

Mathieu Grumiaux
28 août 2019 à 20h20
16
hacker pirate doigts clavier mac

Ce sont 850 000 ordinateurs infectés qui ont été nettoyés à distance par les actions de la Gendarmerie. Les machines étaient utilisées à l'insu de leurs utilisateurs pour miner de la cryptomonnaie ou dérober des informations à distance.

En début d'année, la société experte en sécurité informatique Avast a informé le Centre de lutte contre les criminalités numériques de la Gendarmerie (C3N) de l'existence de Retadup, un virus sévissant sur des centaines de milliers de machines partout dans le monde.

Une contamination de grande ampleur partout dans le monde

Les utilisateurs, infectés après avoir ouvert un lien douteux envoyé par mail par exemple, ont vu leurs ordinateurs connectés à un serveur distant qui a immédiatement pris le contrôle du système d'exploitation.

Les hackers utilisaient les appareils infectés comme des machines « zombies », afin de commettre des actions illégales comme le vol d'informations médicales ou l'utilisation de ransomwares. Les ordinateurs pouvaient également servir à créer de la cryptomonnaie, sans que leurs propriétaires en aient connaissance.

Lire aussi :
Clap de fin pour le ransomware GandCrab qui sévit depuis un an et demi

Une opération de grande ampleur et inédite pour nettoyer les ordinateurs infectés

Les cybergendarmes, en collaboration avec le FBI, ont réussi à détecter le serveur pirate, localisé en Île-de-France, et à le désactiver. Ils sont parvenus également, et c'est une première mondiale, à nettoyer à distance les ordinateurs connectés et à les débarrasser de Retadup.

« On a réussi à nettoyer plus de 850 000 machines », explique Jean-Dominique Nollet au micro de France Inter.

Il a également détaillé la méthode qui a permis de mettre le virus hors d'état de nuire : « Grosso modo, on a réussi à détecter où se trouvait le serveur de commandement, la tour de contrôle du réseau d'ordinateurs infectés, les "Botnet". On l'a copié, on l'a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d'être inactif sur les ordinateurs des victimes ».

Lire aussi :
Le FBI arrête 80 cybercriminels qui escroquaient leurs victimes par mail

Le serveur utilisé par les gendarmes va continuer son action pour procéder au nettoyage des ordinateurs encore infectés et pour le moment non utilisés par leurs propriétaires. Le ou les créateurs de Reatdup sont toujours activement recherchés par les autorités.

Source : France Inter
Mathieu Grumiaux

Mathieu Grumiaux

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les n...

Lire d'autres articles

Grand maître des aspirateurs robots et de la domotique qui vit dans une "maison du futur". J'aime aussi parler films et séries sur les internets. Éternel padawan, curieux de tout ce qui concerne les nouvelles technologies.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (16)

Faisduvelo
S’ils ont localisé le serveur sans trouver son propriétaire, on va supposer que le serveur était virtuel, donc hébergé chez un fournisseur qui n’aura pas eu d’autre choix que de fournir un snapshot de la VM.<br /> A partir de là, beaucoup de choses deviennent possibles, mais je ne m’attendais pas à ce que la gendarmerie déroule par le menu les moyens mis en oeuvre et je pense quel’information précise aurait de toute façon été trop longue et incompréhensible pour 90% du public visé.<br /> Je trouve que c’est quand même un progrès qu’au lieu de détruire le serveur dès qu’ils l’ont trouvé, ils commencent par chercher comment éviter qu’un autre serveur prenne à son tour le contrôle du bot…<br /> La vraie question est plutôt de savoir si la technologie de ce cheval de Troie est maintenant détectée par les antivirus courants, sinon, il n’y a aucune raison que ça ne recommence pas depuis un autre serveur.
Baxter_X
Prend un verre d’eau et une tisane tu nous fait quelques chose la…
nirgal76
“Ils sont trop fort”…je pense qu’effectivement, ils auraient beaucoup à t’apprendre.
exoje
Je suis d’accord que la news soit rédigé comme un article de Voici, mais faut pas tout mélanger, les sites de téléchargements joue avec les lois, ceux qui ont un cerveau n’hébergent pas leur site n’importe où, et selon le pays les lois divergent, ce qui rend l’accès compliqué pour des gens qui sont censé respectés les procédures légale pour intervenir. Sans compter toutes les autres méthodes possibles pour dissimuler ou changer l’emplacement d’un site.
montag
j’ai tout de suite eu des GROS doutes sur cette histoire ! ils nous prennent pour des truffes 24/24 et là : “oh les mecs on vous raconte la dernière” ! effectivement elle est bien bonne ! un GROS système CENTRALISÉ ben oui quoi ! lesdits “cybercriminels” ont 4 décennies de retard !!
Urleur
En france on le fait et pas aux usa ? difficile de croire cette news
Popoulo
Plutôt de l’avis de PierreKail. Un peu fort cette news. Bon, tant mieux si c’est vraiment le cas mais j’en doute aussi. Envisager ce genre de d’infection à grande échelle sans prévoir une réplication du trojan ni même de la pièce maîtresse c.a.d. le serveur central c’est un peu tiré par les cheveux.
pouda
Excellent ! désormais vous devrez reverser la somme en bitcoin directement à la gendarmerie pour qu’ils vous décryptent votre disque …
nirgal76
Nettoyées… ils ont juste dit qu’ils avaient rendu le trojan inactif sur ces machines, c’est pas pareil. Mais ces machines en questions sont surement toujours des passoires et se prendront le prochain trojan qui passe.
nirgal76
Je m’étais surtout concentré sur cette phrase “On l’a copié, on l’a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d’être inactif sur les ordinateurs des victimes”. ce qui me laissait penser que les virus y étaient (sur les machines infectés) toujours mais inactifs. Ca demanderait plus de détail sur ce qu’il appelle nettoyer. Donc autant pour moi, ce n’était pas de la mauvaise foi, j’ai juste lu trop vite. Merci pour ce relevé d’erreur, opéré avec délicatesse.
Zif
Pour faire simple, soit le serveur est physique et donc très simple à dupliquer, si c’est une VM encore plus simple (le serveur devait être installé en datacenter)<br /> Ensuite une foi que tu a récupérer l’image du disque tu peux très bien la dupliquer, ensuite comme le développeur (hacker si vous voulez) à permit de contrôler les bots a distance, il est très facile d’envoyer une requête à tous les ordinateurs zombie en demandant d’arrêter le service de minage et de rediriger le dns (ou ip) du serveur récupérant les données vers une fausse adresse. Tout ceci est très simple à partir du moment ou le serveur est récupéré. (si le programme est compilé, il y a décompilation et analyse du code (binaire bien sur)). Il n’y a pas d’autres manière de faire de toute façon. Donc information possible mais dilué pour le commun des mortels.
gwlegion
bonjour …<br /> bon d’abord, je tiens a souligner que tu n’a pas tout a fais tord …<br /> sauf que :<br /> les trojan, c’est des virus … au sens large du terme … mais je reste d’accord que c’est des trojans, et pas des virus …<br /> Apres, vu le public cible de clubic, je suis pas persuadé que tout les monde fasse la difference … du coup, virus, ca parle a tout le monde.<br /> Le detail de la methode ? ben je pense qu’ils ne vont pas l’expliquer ici … meme si ils le savaient<br /> Quand au netoyage des postes zombies … vu ce qu’ils expliquent ca me semble pas si improbable … dans la mesure ou ils ont recuperé le serveur, ils ont pu envoyer des commandes aux machines zombies …et donc faire en sorte que le trojan se desinstalle …<br /> Ou a defaut de se desinstaller, qu’il ne se lance plus au demarage.<br /> Quand au serveurs de telechargement illegaux … c’est pas la meme chose… La, ils ont pu intervenir par ce que le serveur etais localisé en france. Les serveurs de telechargement illegaux, sont souvent a l’etranger, et souvent protegés par leurs lois locales …<br /> Pourtant ils essayent de les bloquer … mais ca sert a rien … suffit de voir le nombre de proxy allucinant pour la baie de pirates.<br /> Sans saisie du materiel ? ou as tu lu qu’ils n’avaient pas saisi le materiel ?<br /> Si ils ont pu le localiser, ils l’ont probablement saisi …et si c’etais une VM, ils ont probablement fait une copie avant de l’effacer du serveur ou il etais hebergé …
Voir tous les messages sur le forum

Top meilleurs antivirus

Bitdefender
Bitdefender Voir l'offre
Norton 360
Norton 360 Voir l'offre
Avast One
Avast One Voir l'offre
  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Propriétaires de routeurs D-Link et de NAS, attention, le malware Goldoon cible vos données, voici comment vous protéger Propriétaires de routeurs D-Link et de NAS, attention, le malware Goldoon cible vos données, voici comment vous protéger
Cuttlefish, ce nouveau malware qui s'en prend aux petites entreprises et réseaux privés Cuttlefish, ce nouveau malware qui s'en prend aux petites entreprises et réseaux privés
Si vous possédez un mobile Android, ne cliquez pas sur cette mise à jour de Chrome, c'est un malware Si vous possédez un mobile Android, ne cliquez pas sur cette mise à jour de Chrome, c'est un malware
De faux entretiens d'embauche piègent les développeurs avec une back door De faux entretiens d'embauche piègent les développeurs avec une back door
Des hackers utilisent une faille obsolète de Microsoft Office pour déployer le malware Colbalt Strike Des hackers utilisent une faille obsolète de Microsoft Office pour déployer le malware Colbalt Strike
Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde Des pare-feu Cisco touchés par une faille Zero Day ciblent des sites gouvernementaux à travers le monde