• 850 000 machines infectées par un logiciel malveillant

    Par rsfrontieres dans technologies le 29 Août 2019 à 11:24
    SÉCURITÉ INFORMATIQUE

    Comment la gendarmerie française a «désinfecté» 850 000 machines infectées par un logiciel malveillant

    Par Amaelle Guiton — 28 août 2019 à 21:06
    Mercredi, la gendarmerie a confirmé avoir procédé début juillet à la «désinfection» à distance de quelque 850 000 machines touchées par le logiciel malveillant Retadup.Mercredi, la gendarmerie a confirmé avoir procédé début juillet à la «désinfection» à distance de quelque 850 000 machines touchées par le logiciel malveillant Retadup.Photo Jeff Pachoud. AFP

    La gendarmerie a confirmé mercredi avoir mis un coup d'arrêt à un vaste «botnet», un réseau d'ordinateurs piratés. Menée avec l'éditeur d'antivirus tchèque Avast, l'opération a consisté en une «désinfection» à distance.

    Coup d’arrêt pour un vaste botnet, un réseau de centaines de milliers d’ordinateurs piratés et enrôlés pour «miner» de la cryptomonnaie Monero à l’insu de leurs propriétaires. Mercredi matin, la gendarmerie française a confirmé, comme l’annonçait le Figaro la veille au soir, avoir procédé début juillet à la «désinfection» à distance de quelque 850 000 machines touchées par le logiciel malveillant (ou malware) Retadup, principalement localisées sur le continent sud-américain. L’opération a été conduite par le Centre de lutte contre la criminalité numérique (C3N) de la gendarmerie avec l’aide de l’éditeur d’antivirus tchèque Avast. D’après ce dernier, le botnet aurait rapporté a minima 4 500 dollars (4 060 euros) à ses concepteurs, mais «il se peut que les gains détournés soient bien supérieurs».

    Vol de données et «minage» 

    Retadup n’est pas un inconnu : l’éditeur japonais de solutions de cybersécurité Trend Micro l’avait repéré en 2017«Il s’agit d’un malwarequi, une fois installé sur un ordinateur, se propage en passant notamment par des supports amovibles [comme des clés USB, ndlr], explique à Libération Cédric Pernet, chercheur en menaces informatiques chez Trend Micro. Il dispose de fonctionnalités qui lui permettent ensuite d’infecter son hôte avec d’autres malwares Au cours du temps, Retadup, détecté d’abord en Israël – notamment dans des hôpitaux – puis dans plusieurs pays d’Amérique du Sud, a ainsi servi de tête de pont à du vol de données ou à du «minage» de cryptomonnaie. Selon la gendarmerie française, il semble également avoir été mis à profit pour des «blocages de systèmes» informatiques.

     

    Sur le site de son équipe de recherche, Avast explique avoir identifié une «faille de conception» dans le «protocole de commande et contrôle» (C&C) utilisé par les pirates informatiques, et avoir pris langue avec le C3N en mars, l’infrastructure utilisée par les attaquants étant «principalement localisée en France»«Au printemps 2019, une copie discrète du serveur [C&C] est réalisée au cours d’une perquisition dans les locaux d’un hébergeur localisé en Ile-de-France», explique de son côté la gendarmerie dans son communiqué. Tout début juillet, sur autorisation du parquet, ce serveur a été remplacé par un «serveur de désinfection», poursuit Avast.

    Modification sur le serveur de commande

    Une fois neutralisée l’infrastructure de l’attaquant, reste en effet le problème des machines infectées. «Une solution drastique peut être de prendre le contrôle du botnet et d’envoyer un ordre de "désinfection",explique Cédric Pernet chez Trend Micro. Cela pose néanmoins des problèmes légaux, puisque des données qui peuvent être considérées comme intrusives sont envoyées vers des ordinateurs de particuliers ou d’entreprises, généralement dans plusieurs pays. Une autre solution consiste à modifier un contenu du serveur de commande et contrôle : dans ce cas, les machines infectées se connectent sur le serveur, qui a été modifié pour que la réponse entraîne une désinfection, et il n’y a pas d’ordre lancé.» Ce qui semble bien être le cas en l’espèce : Avast précise que le procédé utilisé «ne faisait pas exécuter de code supplémentaire aux [machines] victimes»Sur Twitter, Tillmann Werner, chercheur en cybersécurité chez l’Américain Crowdstrike, émet l’hypothèse de la mise à disposition, sur le serveur contrôlé par les gendarmes, d’un fichier de mise à jour vide, ce qui aurait conduit le malware à s’autoneutraliser.

    Dans l’opération, les autorités françaises ont bénéficié de la collaboration du FBI américain : «Certains noms de domaine étaient enregistrés aux Etats-Unis, a expliqué à France Inter le patron du C3N, le colonel Jean-Dominique Nollet. Il nous fallait des jugements des cours fédérales pour pouvoir bloquer certains trafics et les dériver vers notre serveur à nous.» Et la gendarmerie s’enorgueillit d’une «première mondiale». Il y a tout de même un cas similaire : en 2011, le FBI, justement, avait annoncé avoir désinfecté à distance 19 000 machines touchées par le logiciel malveillant Coreflood. L’échelle, il est vrai, était bien moindre, et l’agence américaine avait été autorisée à envoyer une commande de désinstallation aux ordinateurs infectés, avec l’accord de leurs propriétaires, essentiellement des entreprises.  

    Quant à savoir qui se cache derrière Retadup, c’est une autre histoire. La «répartition des cibles» interroge, explique Cédric Pernet : «L’hypothèse la plus plausible pour nous, c’est qu’au moins deux acteurs différents auraient eu accès à Retadup et s’en servaient jusqu’à ce jour.» De son côté, la gendarmerie indique que «les investigations se poursuivent pour identifier le groupe criminel à l’origine des faits».

    Amaelle Guiton

  • crise ouverte entre les insoumis et des militants des quartiers

    Par rsfrontieres dans Sociétés le 29 Août 2019 à 11:13

    A Epinay-sur-Seine, le 18 novembre 2018, lors des rencontres nationales des quartiers populaires de La France insoumise, en présence de Taha Bouhafs (G), militant FI et Youcef Brakni (D), membre du comité Vérité et Justice pour Adama Traoré. Aujourd'hui, les deux militants prennent leurs distances avec la France insoumise après une polémique sur l'islamophobie. Photo Alain Guilhot pour Libération

    Après la conférence animée par Henri Peña-Ruiz et la polémique sur l'usage du terme «islamophobie», plusieurs figures des quartiers annoncent leur prise de distance avec La France insoumise.

    Une rentrée mouvementée. La tension monte entre les dirigeants de La France insoumise et les militants des banlieues. La cause ? Une polémique est née vendredi, lors de l’université d’été de La France insoumise à Toulouse, après une conférence animée par Henri Peña-Ruiz, «Les trois boussoles de la laïcité». Une phrase du philosophe a atterri sur les réseaux sociaux : «On a le droit d’être islamophobe.»Depuis, le mouvement tente de replacer la phrase dans le contexte. Henri Peña-Ruiz aussi. Les insoumis ont publié un long extrait pour mettre fin à la fronde.

    Le souci : les doutes ne s’envolent pas. La définition du terme «islamophobe» clive – les insoumis n’ont jamais utilisé ce mot. De nombreuses figures du mouvement expliquent que, contrairement aux actes visant les musulmans, l’islamophobie n’est pas un délit. Sur les réseaux sociaux, Madjid Messaoudene, élu à Saint-Denis, répond : «C’est choquant car l’islamophobie, c’est l’hostilité aux musulmans et à l’islam.» Le débat sémantique n'est pas nouveau mais il n'avait jamais à ce point enflammé La France insoumise.

    À LIRE AUSSI «Islamophobie», mot de l’époque ou mal du siècle ?

    Baston

     

    Samedi, le lendemain du débat, au centre des congrès à Toulouse, la tension s’est invitée sur un autre terrain. Benoît Schneckenburger, un dirigeant du mouvement, a interpellé bruyamment Taha Bouhafs, militant et journaliste proche des insoumis, pour lui reprocher un tweet – pas très sympathique – au sujet de Peña-Ruiz. La sécurité est intervenue. Taha Bouhafs a dénoncé une «agression physique». Le député de Seine-Saint-Denis Eric Coquerel est arrivé dans un second temps pour faire baisser la température. Pas simple.

    L’altercation a animé toutes les discussions entre les dirigeants. Ils regrettent la «perte de contrôle» de Benoît Schneckenburger. Une «erreur», disent-ils. Par contre, ils ne retiennent pas leurs coups lorsqu’il s’agit d’évoquer Taha Bouhafs – alors que ce dernier a demandé «une explication et des excuses» de LFI. Il a notamment contacté le député européen, Manuel Bompard. Une tête pensante ne veut «plus de lui» dans la galaxie insoumise. En interne, Eric Coquerel, toujours lui, tente de mettre fin à la baston. Sauf que sur les réseaux sociaux, le débat est encore vif.

    Liberté de parole

    Youcef Brakni, par exemple, militant du collectif La vérité pour Adama et qui était présent à Toulouse, a publié mardi après-midi un long texte sur Facebook pour annoncer sa prise de distance avec La France insoumise. «Il reste de nombreux militants sincères à la FI, il faut continuer à les soutenir évidemment. Mais il est clair qu’il sera difficile à l’avenir de participer à des actions avec des cadres qui continuent à nier l’islamophobie et qui ne font aucune déclaration pour condamner l’agression subie par Taha Bouhafs», écrit-il. Une publication partagée par plusieurs militants de banlieue.

    On oublierait presque qu’en novembre dernier, La France insoumise a organisé un événement en Seine-Saint-Denis, à Epinay plus précisément, pour se confronter à la parole des habitants. Le mouvement est persuadé que, lors de la dernière présidentielle, les 600 000 voix manquantes pour accéder au second tour se trouvent dans les parages. Jean-Luc Mélenchon était présent. La liberté de parole était assurée. Les différents militants ont souligné leurs points de divergences avec le mouvement. Et dénoncé «l’islamophobie», «le racisme d’Etat», «les violences policières». Des mots sans détour. «Ce genre d’événement doit également permettre aux dirigeants et militants du mouvement de prendre conscience de la vie des habitants et surtout leurs préoccupations», nous confiait Eric Coquerel. Aujourd’hui, le fil apparaît rompu.

    Rachid Laïreche