Ouvrir

À suivre

Rendez-vous

Rejouer


LES DERNIÈRES ÉMISSIONS

UN ŒIL SUR LES MÉDIAS

Manuel Valls fait disparâitre ses tweets...

En savoir plus

UN ŒIL SUR LES MÉDIAS

Barack Obama, en costume clair et sans stratégie

En savoir plus

UNE SEMAINE DANS LE MONDE

Une semaine dans le monde - 29 août (Partie 2)

En savoir plus

UNE SEMAINE DANS LE MONDE

Une semaine dans le monde - 29 août (Partie 1)

En savoir plus

L'ENTRETIEN

Laurent Fabius sur France 24 : le ministre s'exprime sur la diplomatie française

En savoir plus

7 JOURS EN FRANCE

Emmanuel Macron, nouvel homme fort de Bercy

En savoir plus

REVUE DE PRESSE

La preuve par l'image de "l'invasion" russe en Ukraine

En savoir plus

REVUE DE PRESSE

"Les ennemis de mes ennemis ne sont pas mes amis"

En savoir plus

FOCUS

Ces chrétiens d'Irak qui commencent leur nouvelle vie en France

En savoir plus

  • Les frondeurs du PS ne sont pas à La Rochelle "pour rompre"

    En savoir plus

  • UE : Le Polonais Tusk président du Conseil, l'Italienne Mogherini chef de la diplomatie

    En savoir plus

  • Golan : sauvetage d’une partie des casques bleus philippins

    En savoir plus

  • Nouvelle peine de prison à vie pour le guide suprême des Frères musulmans

    En savoir plus

  • Judo : Teddy Riner décroche un 7e titre de champion du monde

    En savoir plus

  • Selon Pretoria, le Lesotho est en proie à un "coup d'État"

    En savoir plus

  • Taubira "assume les conséquences" de sa présence chez les frondeurs du PS

    En savoir plus

  • Un cargo ukrainien s'écrase dans le sud de l'Algérie

    En savoir plus

  • Les États-Unis appellent à une coalition mondiale contre l'État islamique

    En savoir plus

  • Ukraine : l'UE se réunit à Bruxelles pour répondre à la Russie

    En savoir plus

  • Grande Guerre : l'exode oublié des Belges en France

    En savoir plus

  • Affaire Tapie : le FMI renouvelle sa confiance à Christine Lagarde

    En savoir plus

  • Un premier cas d'Ebola détecté au Sénégal

    En savoir plus

  • Laurent Fabius sur France 24 : "Il faut être ferme face à la Russie"

    En savoir plus

  • Ukraine : des femmes de soldats russes sans nouvelles de leurs maris

    En savoir plus

  • Un enfant britannique atteint d'une tumeur est recherché en France

    En savoir plus

Economie

"Nous avons eu un choc en voyant le nombre d'ordinateurs infectés"

Texte par Sébastian SEIBT

Dernière modification : 05/03/2010

Directeur de Panda Labs, Luis Corrons a participé de bout en bout à la longue enquête qui a permis à démanteler le botnet Mariposa. Pour France24.com, il nous fait le récit de cette longue traque.

FRANCE 24 - Quand avez-vous entendu parler pour la première fois du botnet Mariposa ?

Luis Corrons - Cela remonte à mai 2009. A cette époque, une société de sécurité informatique canadienne, Defense Intelligence, a découvert qu’un programme malicieux [un "cheval de Troie"] avait transformé l’ordinateur de l’un de leurs clients en bot, ce qui veut dire qu'il pouvait être contrôlé à distance. Leurs responsables nous ont contactés car la piste remontait à un serveur situé en Espagne. Ce serveur s’appelait Mariposa ["papillon" en espagnol].

 

F24 - Quelles ont été vos premières découvertes sur Mariposa ?

L. C. - Au début, nous pensions avoir affaire à un botnet traditionnel. Nous avons rapidement découvert que ces criminels utilisaient quatre serveurs, situés en Espagne et aux Etats-Unis. Ce qui est normal pour dans ce genre de cas. Comme nous avions en notre possession plusieurs ordinateurs infectés, nous avons pu voir quelles données étaient subtilisées. Là encore, il n’y avait rien d’extraordinaire. Ils utilisaient les ordinateurs zombis pour envoyer des spams publicitaires et récupérer les données bancaires. Ce n’est que plus tard que nous avons découvert qu’ils louaient et avaient même vendu à d’autres cyberpirates une petite partie des accès aux ordinateurs zombis.

 

F24 - Combien de temps avez-vous mis pour disposer d'une vision d’ensemble de ce réseau ?

L. C. - Nous n’avons eu de vision d’ensemble que lors du dénouement à la fin 2009. Mais il nous a fallu plusieurs mois pour collecter toutes les informations relatives aux serveurs. Quand nous avons su à qui nous avions affaire, il ne restait plus qu’à fermer ces serveurs. Mais pour ce faire, les interventions de la police et de la justice étaient nécessaires. C’est pourquoi nous avons contacté la Guardia civil, en Espagne, et le FBI, aux Etats-Unis.

 

F24 - Comment avez-vous procédé pour faire fermer les serveurs ?

L. C. - Nous avons arrêté un plan d’action en août 2009. La grande difficulté était de pouvoir fermer tous les serveurs en même temps. Car pour faire fonctionner un tel réseau, un seul serveur suffit. Ils en utilisent plusieurs pour contrecarrer une panne ou une attaque. Pour mettre toutes les chances de notre côté, nous avons décidé d’agir le 23 décembre, deux jours avant Noël, en espérant que les cyberpirates fussent occupés ou en vacances.

 

F24 - Que s’est-il passé ce 23 décembre ?

L. C. - A 17 heures, nous avons relié les ordinateurs infectés à nos serveurs et non plus à ceux du réseau Mariposa que nous avons fait fermer. Concrètement nous étions devenus le botnet ! Et là, ce fut le choc : nous étions reliés à des millions d’ordinateurs ! Généralement, un botnet est constitué d’une centaine d’ordinateurs…

 

F24 - Les cybercriminels ont-ils réagi ?

L. C. - Pendant deux jours, oui. Une bataille s'est engagée pour savoir qui allait reprendre le dessus. A un moment, l’un d’entre eux a même réussi à remettre la main sur l’un des serveurs et l’a utilisé pour lancer une contre-attaque. C’est lors ce bras de fer qu’un cyberpirate a fait une erreur fatale. Depuis le début, ils utilisaient des programmes leur garantissant l'anonymat sur la Toile. Mais dans le feu de l’action, l'un d'entre eux a oublié cette précaution et s’est connecté depuis chez lui en toute transparence.

 

F24 - A ce moment-là, vous connaissiez le nom de l’un des responsables de Mariposa...

L. C. - Nous connaissions seulement son adresse et la Guardia civil a pu l'interpeller chez lui. Lorsque la police est arrivée, il a tenté de tout effacer sur son ordinateur, mais n’a pas réussi. En analysant son disque dur, les enquêteurs ont retrouvé des discussions donnant des informations sur les deux autres Espagnols impliqués dans le réseau. Le 23 février, les trois responsables espagnols étaient arrêtés.

 

F24 - En sait-on davantage sur ce réseau depuis l'arrestation de ses responsables ?

L. C. - Les trois personnes interpellées ont entre 25 et 31 ans. Ils n'ont pas de connaissances poussées en matière informatique et n'avaient acheté que pour quelques centaines d’euros de programmes malicieux. Il ne leur a fallu que quelques mois pour infecter 12,7 millions d’ordinateurs. Aucun d’entre eux n’avait de travail : ils vivaient uniquement des revenus de ce business. Sur l'un des ordinateurs, nous avons retrouvé les données confidentielles de 800 000 personnes, de leurs codes d'accès à leur messagerie à leur numéro de carte de crédit en passant par le numéro de sécurité sociale.

 

F24 - Le réseau est-il aujourd'hui complètement démantelé ?

L. C. - La police m’a dit qu’un suspect était encore en liberté, probablement pas en Espagne, mais qu’il devrait être appréhendé dans quelques semaines. En revanche, le créateur du programme malicieux court toujours.

Première publication : 04/03/2010

COMMENTAIRE(S)