Retadup, le botnet géant, a été neutralisé par les cybergendarmes français

Mathieu Grumiaux
Par Mathieu Grumiaux, Expert maison connectée.
Publié le 28 août 2019 à 20h20
hacker pirate doigts clavier mac

Ce sont 850 000 ordinateurs infectés qui ont été nettoyés à distance par les actions de la Gendarmerie. Les machines étaient utilisées à l'insu de leurs utilisateurs pour miner de la cryptomonnaie ou dérober des informations à distance.

En début d'année, la société experte en sécurité informatique Avast a informé le Centre de lutte contre les criminalités numériques de la Gendarmerie (C3N) de l'existence de Retadup, un virus sévissant sur des centaines de milliers de machines partout dans le monde.

Une contamination de grande ampleur partout dans le monde

Les utilisateurs, infectés après avoir ouvert un lien douteux envoyé par mail par exemple, ont vu leurs ordinateurs connectés à un serveur distant qui a immédiatement pris le contrôle du système d'exploitation.

Les hackers utilisaient les appareils infectés comme des machines « zombies », afin de commettre des actions illégales comme le vol d'informations médicales ou l'utilisation de ransomwares. Les ordinateurs pouvaient également servir à créer de la cryptomonnaie, sans que leurs propriétaires en aient connaissance.


Une opération de grande ampleur et inédite pour nettoyer les ordinateurs infectés

Les cybergendarmes, en collaboration avec le FBI, ont réussi à détecter le serveur pirate, localisé en Île-de-France, et à le désactiver. Ils sont parvenus également, et c'est une première mondiale, à nettoyer à distance les ordinateurs connectés et à les débarrasser de Retadup.

« On a réussi à nettoyer plus de 850 000 machines », explique Jean-Dominique Nollet au micro de France Inter.

Il a également détaillé la méthode qui a permis de mettre le virus hors d'état de nuire : « Grosso modo, on a réussi à détecter où se trouvait le serveur de commandement, la tour de contrôle du réseau d'ordinateurs infectés, les "Botnet". On l'a copié, on l'a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d'être inactif sur les ordinateurs des victimes ».


Le serveur utilisé par les gendarmes va continuer son action pour procéder au nettoyage des ordinateurs encore infectés et pour le moment non utilisés par leurs propriétaires. Le ou les créateurs de Reatdup sont toujours activement recherchés par les autorités.

Source : France Inter
Mathieu Grumiaux
Par Mathieu Grumiaux
Expert maison connectée

Journaliste pour Clubic, je couvre essentiellement les sujets concernant la maison connectée et les objets connectés, mais aussi les dernières nouvelles de l'industrie du streaming vidéo, entre autres sujets. Je suis également l'actu d'Apple, marque qui m'accompagne depuis mon premier iPod mini en 2005 (ça ne nous rajeunit pas…)

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (10)
Faisduvelo

S’ils ont localisé le serveur sans trouver son propriétaire, on va supposer que le serveur était virtuel, donc hébergé chez un fournisseur qui n’aura pas eu d’autre choix que de fournir un snapshot de la VM.
A partir de là, beaucoup de choses deviennent possibles, mais je ne m’attendais pas à ce que la gendarmerie déroule par le menu les moyens mis en oeuvre et je pense quel’information précise aurait de toute façon été trop longue et incompréhensible pour 90% du public visé.
Je trouve que c’est quand même un progrès qu’au lieu de détruire le serveur dès qu’ils l’ont trouvé, ils commencent par chercher comment éviter qu’un autre serveur prenne à son tour le contrôle du bot…
La vraie question est plutôt de savoir si la technologie de ce cheval de Troie est maintenant détectée par les antivirus courants, sinon, il n’y a aucune raison que ça ne recommence pas depuis un autre serveur.

Baxter_X

Prend un verre d’eau et une tisane tu nous fait quelques chose la…

nirgal76

“Ils sont trop fort”…je pense qu’effectivement, ils auraient beaucoup à t’apprendre.

exoje

Je suis d’accord que la news soit rédigé comme un article de Voici, mais faut pas tout mélanger, les sites de téléchargements joue avec les lois, ceux qui ont un cerveau n’hébergent pas leur site n’importe où, et selon le pays les lois divergent, ce qui rend l’accès compliqué pour des gens qui sont censé respectés les procédures légale pour intervenir. Sans compter toutes les autres méthodes possibles pour dissimuler ou changer l’emplacement d’un site.

montag

j’ai tout de suite eu des GROS doutes sur cette histoire ! ils nous prennent pour des truffes 24/24 et là : “oh les mecs on vous raconte la dernière” ! effectivement elle est bien bonne ! un GROS système CENTRALISÉ ben oui quoi ! lesdits “cybercriminels” ont 4 décennies de retard !!

Urleur

En france on le fait et pas aux usa ? difficile de croire cette news

Popoulo

Plutôt de l’avis de PierreKail. Un peu fort cette news. Bon, tant mieux si c’est vraiment le cas mais j’en doute aussi. Envisager ce genre de d’infection à grande échelle sans prévoir une réplication du trojan ni même de la pièce maîtresse c.a.d. le serveur central c’est un peu tiré par les cheveux.

pouda

Excellent ! désormais vous devrez reverser la somme en bitcoin directement à la gendarmerie pour qu’ils vous décryptent votre disque :slight_smile: :slight_smile:

nirgal76

Nettoyées… ils ont juste dit qu’ils avaient rendu le trojan inactif sur ces machines, c’est pas pareil. Mais ces machines en questions sont surement toujours des passoires et se prendront le prochain trojan qui passe.

nirgal76

Je m’étais surtout concentré sur cette phrase “On l’a copié, on l’a répliqué avec un serveur à nous, et on lui a fait faire des choses qui permettent au virus d’être inactif sur les ordinateurs des victimes”. ce qui me laissait penser que les virus y étaient (sur les machines infectés) toujours mais inactifs. Ca demanderait plus de détail sur ce qu’il appelle nettoyer. Donc autant pour moi, ce n’était pas de la mauvaise foi, j’ai juste lu trop vite. Merci pour ce relevé d’erreur, opéré avec délicatesse.

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles