Une entreprise française de cybersécurité, Sekoia, a réussi à prendre le contrôle d'un réseau de millions d'ordinateurs infectés par le virus PlugX. En collaboration avec les autorités, elle a lancé une opération de désinfection à grande échelle, touchant des victimes dans le monde entier.
L'histoire ressemble à un scénario de film d'espionnage, mais elle est bien réelle. Une société tricolore vient de mettre un grand coup de pied dans la fourmilière des hackers. Sekoia, spécialiste de la cybersécurité, a réussi un tour de force en s'emparant du serveur de contrôle d'un réseau de millions d'ordinateurs zombies. Ces machines, infectées par le redoutable virus PlugX, étaient utilisées à l'insu de leurs propriétaires pour mener des opérations d'espionnage.
Mais l'entreprise française n'en est pas restée là : elle a développé une solution pour nettoyer à distance les appareils touchés. Une prouesse technique doublée d'un casse-tête juridique, qui a nécessité la collaboration des autorités de plusieurs pays.
PlugX, ou l'histoire du ver qui ne meurt jamais
PlugX n'est pas un petit nouveau dans le monde des logiciels malveillants. Clubic vous racontait son histoire au printemps 2024. Et pour celles et ceux qui étaient en vacances de Pâques, voici une session de rattrapage. Ce virus, apparu pour la première fois en 2008, a connu plusieurs vies. Abandonné par ses créateurs, il continuait pourtant de se propager comme un feu de forêt. Sa particularité ? Il se transmet par les clés USB, ces petits objets que nous échangeons sans méfiance. Il suffisait de brancher une clé infectée pour que l'ordinateur soit contaminé à son tour.
Sekoia a réussi un véritable exploit en prenant le contrôle du serveur de commande et de contrôle de PlugX. L'entreprise a découvert que près de 100 000 adresses IP uniques envoyaient chaque jour des requêtes à ce serveur. Plus impressionnant encore : en 6 mois, plus de 2,5 millions d'adresses IP uniques s'y sont connectées. Le virus avait touché des victimes dans plus de 170 pays, avec une présence particulièrement forte dans les nations participant à l'initiative chinoise « la Ceinture et la Route ». Une coïncidence ? Pas si sûr, selon les experts de Sekoia.
Une opération de nettoyage de PlugX à l'échelle mondiale menée par la boîte française Sekoia et la section J3 du parquet de Paris
Le signalement de Sekoia n'est pas tombé dans l'oreille d'un sourd. La section J3 du parquet de Paris, spécialisée dans la cybercriminalité, a immédiatement ouvert une enquête préliminaire. Elle a confié l'affaire au C3N, le centre de lutte contre les criminalités numériques de la gendarmerie nationale. L'enjeu était de taille : démanteler un réseau de machines zombies comptant plusieurs millions de victimes dans le monde, dont plusieurs milliers en France.
Sekoia est aussitôt appelée en renfort. En collaboration étroite avec le C3N, l'entreprise a mis au point une solution technique pour désinfecter à distance les machines victimes du botnet. Cette innovation a suscité l'intérêt au-delà de nos frontières, et la solution a été présentée à des partenaires étrangers de la France par l'intermédiaire d'Europol.
Le 18 juillet 2024, l'opération de désinfection a été lancée. Elle se poursuivra pendant plusieurs mois. Les premiers résultats sont encourageants : quelques heures après le début du processus, une centaine de victimes avaient déjà été « nettoyées ». La France n'est pas la seule bénéficiaire de cette action. Des ordinateurs à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche ont également été libérés de l'emprise de PlugX.
L'opération ne s'arrête pas là. D'ici la fin de l'année 2024, l'ANSSI (Agence nationale de la sécurité des systèmes d'information) contactera individuellement les victimes françaises. Cette démarche s'inscrit dans le cadre légal prévu par le Code des postes et des communications électroniques.
Sources : Sekoia sur LinkedIn, France Inter, Tribunal de Paris
