Espionnage informatique : opération « de désinfection » en cours à l’échelle mondiale, et enquête à Paris
Les enquêtes menées par le Centre de lutte contre les criminalités numériques de la gendarmerie nationale ont dévoilé un "botnet", un réseau de machines zombies contrôlant divers ordinateurs pour s'emparer des données. Quelles pourraient être les répercussions de cette découverte ?
TL;DR
- Une grande « opération de désinfection » est en cours contre un logiciel malveillant.
- L’enquête a été ouverte suite à un signalement de la société de cybersécurité Sekoia.
- Les victimes seront informées individuellement d’ici à 2024 par l’ANSSI.
La lutte concertée contre le cybercrime
La procureure de Paris, Laure Beccuau, a déclaré qu’une opération massive pour éliminer un logiciel suspecté d’espionnage qui a causé des dégâts majeurs à l’échelle mondiale, est en cours depuis une semaine.
Cette action intervient à l’aube des Jeux olympiques, témoignant de la vigueur et de la détermination des entités françaises et internationales collaborant en vue de défier toutes les formes de cybercriminalité.
De l’investigation à l’action
Le signalement initial de ce logiciel malveillant provient de la société de cybersécurité Sekoia. Suite à cette alerte, une enquête a été ouverte par le parquet de Paris et confiée au Centre de lutte contre les criminalités numériques de la Gendarmerie nationale (C3N).
Les investigations ont mis en évidence un botnet responsable de plusieurs millions de victimes dans le monde dont des milliers en France. Pour rappel, un botnet est un ensemble de machines infectées et contrôlées à distance par des cybercriminels.
L’infection des machines se faisait par un « RAT» (Remote Access Trojan), un type de malware appelé PlugX qui s’installe via une clé USB. Une fois installé, ce dernier exécute des commandes arbitraires depuis un serveur central et prend le contrôle des données présentes sur le système.
L’ANSSI a été informée ce matin de la panne informatique affectant de nombreuses entités dans le monde. Les équipes sont pleinement mobilisées pour identifier et appuyer les entités affectées en France. Aucun élément en l’état ne donne à penser qu’il s’agit d’une cyberattaque. https://t.co/4OYROtapO8
— ANSSI (@ANSSI_FR) July 19, 2024
Désinfection en cours
L’équipe de Sekoia a réussi à prendre possession du serveur de commande du réseau infecté. Ils ont ensuite développé une solution technique pour désinfecter à distance les machines touchées par le maliciel.
Lancée le 18 juillet, cette opération se poursuivra pendant plusieurs mois. Deux jours après le début de l’opération, une centaine de victimes ont déjà bénéficié de cette désinfection en France, mais également à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche.
Notification des victimes d’ici à 2024
En fin de cette opération, d’ici à la fin de 2024, les victimes françaises seront informées individuellement par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), a précisé Mme Beccuau.