Une vaste « opération de désinfection » pour contrer un logiciel soupçonné d’avoir causé « plusieurs millions de victimes dans le monde », « notamment à des fins d’espionnage », est en cours depuis une semaine, a annoncé ce jeudi la procureure de Paris, Laure Beccuau.
« À la veille de l’ouverture des Jeux olympiques, cette opération démontre la vigilance des différents acteurs, en France et à l’étranger, mobilisés pour lutter contre toutes les formes de cybercriminalité, y compris les plus sophistiquées », s’est félicitée la magistrate Laure Beccuau.
Les investigations visent un « réseau de machines zombies (botnet) », soupçonné d’avoir fait « plusieurs millions de victimes dans le monde », dont « plusieurs milliers en France », selon le communiqué de la procureure. L’enquête au parquet de Paris a été ouverte après un signalement de la société de cybersécurité Sekoia, puis confiée au Centre de lutte contre les criminalités numériques de la gendarmerie nationale (C3N).
Avec quel mode opératoire ?
« Les machines des victimes avaient été infectées par le malware PlugX, un logiciel malveillant de type RAT (Remote Access Trojan) ». La contamination de la machine était effectuée « par toute implantation de clé USB », a expliqué la procureure.
« Il s’agit d’un ancien logiciel d’espionnage d’origine chinoise qui n’est plus actif depuis 2020 mais continue à s’auto-propager tout seul et est exploité par la cybercriminalité », détaille François Deruty, directeur des opérations de l’entreprise de cybersécurité Sekoia.
« Après avoir infecté la machine, le logiciel reçoit des ordres d’un serveur central afin d’exécuter des commandes arbitraires et de s’emparer de données présentes sur le système », et ce « notamment à des fins d’espionnage », détaille encore Laure Beccuau.
Encore « plusieurs mois »
Les analystes de la société Sekoia sont toutefois parvenus « à prendre possession d’un serveur de commande et de contrôle (C2) à la tête d’un réseau de plusieurs millions de machines infectées » et ont ensuite conçu une « solution technique » de désinfection, en lien avec les enquêteurs. Selon nos informations, le serveur était situé au Japon et inactif et a pu être racheté pour l’équivalent de 7 euros.
Cette « opération », lancée le 18 juillet, « se poursuivra pendant plusieurs mois » et doit permettre « de désinfecter à distance les machines victimes du botnet ». « Quelques heures après le début du processus, une centaine de victimes ont déjà pu bénéficier de cette désinfection, majoritairement en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche », s’est félicitée la procureure.
« À l’issue de l’opération, d’ici à la fin de l’année 2024, les victimes françaises seront individuellement avisées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI) », a-t-elle précisé.
#Espionnage #informatique #opération #mondiale #désinfection #cours #contre #ancien #malware #chinois