"Machines zombies": à Paris, une large opération de désinfection d'ordinateurs visés par un logiciel espion

Une vaste "opération de désinfection" pour contrer un logiciel soupçonné d'avoir causé "plusieurs millions de victimes dans le monde", "notamment à des fins d'espionnage", est en cours depuis une semaine, a annoncé ce jeudi la procureure de Paris, Laure Beccuau.

"À la veille de l'ouverture des Jeux olympiques, cette opération démontre la vigilance des différents acteurs, en France et à l'étranger, mobilisés pour lutter contre toutes les formes de cybercriminalité, y compris les plus sophistiquées", s'est félicitée la magistrate.

L'enquête au parquet de Paris a été ouverte après un signalement de la société de cybersécurité Sekoia, puis confiée au Centre de lutte contre les criminalités numériques de la gendarmerie nationale (C3N).

Les investigations visent un "réseau de machines zombies (botnet)", soupçonné d'avoir fait "plusieurs millions de victimes dans le monde", dont "plusieurs milliers en France", selon le communiqué de la procureure.

Un malware "à des fins d'espionnage"

Avec quel mode opératoire ? "Les machines des victimes avaient été infectées par le malware PlugX, un logiciel malveillant de type 'RAT' (Remote Access Trojan)". La contamination de la machine était effectuée "par toute implantation de clef USB", a expliqué la procureure.

"Après avoir infecté la machine, le logiciel reçoit des ordres d'un serveur central afin d'exécuter des commandes arbitraires et de s'emparer de données présentes sur le système", et ce "notamment à des fins d'espionnage", détaille encore Laure Beccuau.

Les analystes de la société Sekoia sont toutefois parvenus "à prendre possession d'un serveur de commande et de contrôle (C2) à la tête d'un réseau de plusieurs millions de machines infectées" et ont ensuite conçu une "solution technique" de désinfection, en lien avec les enquêteurs.

Cette "opération", lancée le 18 juillet, "se poursuivra pendant plusieurs mois" et doit permettre "de désinfecter à distance les machines victimes du botnet".

"Quelques heures après le début du processus, une centaine de victimes ont déjà pu bénéficier de cette désinfection, majoritairement en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche", s'est félicitée la procureure.

"À l'issue de l'opération, d'ici à la fin de l'année 2024, les victimes françaises seront individuellement avisées par l'Agence nationale de la sécurité des systèmes d'information (ANSSI)", a-t-elle précisé.