Une vaste « opération de désinfection » contre un virus informatique qui aurait affecté plusieurs millions d’utilisateurs, « notamment à des fins d’espionnage », est en cours depuis une semaine, a annoncé jeudi la procureure de Paris, Laure Beccuau.
« A la veille de l’ouverture des Jeux olympiques, cette opération démontre la vigilance des différents acteurs, en France et à l’étranger, mobilisés pour lutter contre toutes les formes de cybercriminalité, y compris les plus sophistiquées », se félicite la magistrate dans un communiqué.
L’enquête du parquet de Paris a été ouverte après un signalement de la société de cybersécurité Sekoia, puis confiée au Centre de lutte contre les criminalités numériques de la gendarmerie nationale (C3N).
Les investigations portent sur un « réseau de machines zombies (botnet) » soupçonné d’avoir fait « plusieurs millions de victimes dans le monde », dont « plusieurs milliers en France », selon le communiqué de la procureure.
Désinfection à distance
« Les machines des victimes avaient été infectées par le malware PlugX, un logiciel malveillant de type “RAT” (Remote Access Trojan) [cheval de Troie activé à distance] ». La contamination de la machine était effectuée « par toute implantation de clé USB », a expliqué la procureure. « Après avoir infecté la machine, le logiciel reçoit des ordres d’un serveur central afin d’exécuter des commandes arbitraires et de s’emparer de données présentes sur le système (…), notamment à des fins d’espionnage », précise-t-elle.
Les analystes de la société Sekoia sont toutefois parvenus « à prendre possession d’un serveur de commande et de contrôle (C2) à la tête d’un réseau de plusieurs millions de machines infectées » et ont ensuite conçu une « solution technique » de désinfection, en lien avec les enquêteurs. Cette « opération », lancée le 18 juillet, « se poursuivra pendant plusieurs mois » et doit permettre « de désinfecter à distance les machines victimes du botnet ».
« Quelques heures après le début du processus, une centaine de victimes ont déjà pu bénéficier de cette désinfection, majoritairement en France, mais aussi à Malte, au Portugal, en Croatie, en Slovaquie et en Autriche », se félicite la procureure. « A l’issue de l’opération, d’ici à la fin de l’année 2024, les victimes françaises seront individuellement avisées par l’Agence nationale de la sécurité des systèmes d’information », ajoute-t-elle.