Le Parquet de Paris a annoncé, le 25 juillet 2024, une opération de désinfection de logiciel espion. Cette opération est menée depuis le 18 juillet et se poursuivra pendant plusieurs mois. Elle concerne des milliers d’entreprises et des structures publiques.
L’opération est confiée au C3N (Centre de lutte contre les criminalités numériques de la Gendarmerie nationale) et concerne « un réseau de machines zombies (botnet) comptant plusieurs millions de victimes dans le monde, dont plusieurs milliers en France, utilisé notamment à des fins d’espionnage » explique le communiqué du Parquet de Paris.
Le système d’espionnage est le suivant. Les machines infectées par le logiciel malveillant reçoivent des ordres d’un serveur central afin d’exécuter des commandes arbitraires et de s’emparer de données présentes sur le système. « La contamination se faisait par l’implantation de clés USB. »
Les analystes de l’entreprise bretonne de cybersécurité, Sekoia, ont identifié et pris possession d’un serveur de commande et de contrôle à la tête d’un réseau de plusieurs millions de machines infectées, dont 3 000 en France, qui recevaient des requêtes de près de 100 000 machines victimes distinctes par jour.
En lien avec le C3N, la société Sekoia a développé une solution technique permettant de désinfecter à distance les machines victimes du botnet. La solution de désinfection envisagée a été présentée à des partenaires étrangers de la France, par l’intermédiaire de l’agence Europol.
« Quelques heures après le début du processus, une centaine de victimes ont déjà pu bénéficier de cette désinfection, majoritairement en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche. À l’issue de l’opération, d’ici la fin de l’année 2024, les victimes françaises seront individuellement avisées par l’Agence nationale de la sécurité des systèmes d’information (ANSSI), au titre de l’article L. 33-14 alinéa 5 du code des postes et des communications électroniques« .
La société Sekoia tient à disposition des professionnels une liste d’indicateurs techniques liés au réseau malveillant objet de la présente enquête.
Patrice Remeur
