Ouvrir

À suivre

Rendez-vous

Rejouer


LES DERNIÈRES ÉMISSIONS

L'ENTRETIEN

Jean Ping, ancien ministre des Affaires étrangères du Gabon

En savoir plus

REPORTERS

L’essor du tourisme "100 % halal"

En savoir plus

REVUE DE PRESSE

"Contre-productif"

En savoir plus

SUR LE NET

Les initiatives réclamant la paix à Gaza se multiplient

En savoir plus

SUR LE NET

"Tor", nouvelle cible de la NSA

En savoir plus

SUR LE NET

Un selfie pris à Auschwitz scandalise la Toile

En savoir plus

UNE SEMAINE DANS LE MONDE

Une semaine dans le monde - 25 juillet (partie 2)

En savoir plus

UNE SEMAINE DANS LE MONDE

Une semaine dans le monde - 25 juillet (partie 1)

En savoir plus

LE JOURNAL DE L'ÉCONOMIE

Israël, le casse-tête des compagnies aériennes

En savoir plus

  • Sous le choc, Sloviansk découvre sa première fosse commune

    En savoir plus

  • Vol Air Algérie : les drapeaux en berne en France, l'enquête se poursuit

    En savoir plus

  • 28 juillet 1914 : l'empire des Habsbourg signe son arrêt de mort

    En savoir plus

  • Gaza : Washington et l’ONU exigent un cessez-le-feu "sans condition"

    En savoir plus

  • Ebola : après le Nigeria, un cas mortel confirmé à Freetown, au Sierra Leone

    En savoir plus

  • La France demande à ses ressortissants de quitter la Libye

    En savoir plus

  • Tour de France : le requin Nibali s'offre un premier sacre

    En savoir plus

  • Boko Haram kidnappe la femme du vice-Premier ministre camerounais

    En savoir plus

  • En images : les Champs-Élysées noirs de monde pour l'arrivée du Tour

    En savoir plus

  • MH 17 : des combats autour du site du crash bloquent les enquêteurs

    En savoir plus

  • L'épave du Costa Concordia arrive dans le port de Gênes

    En savoir plus

  • Les enfants migrants ne pourront pas rester aux États-Unis, prévient Obama

    En savoir plus

  • Air Algérie : des proches de victimes se recueillent sur les lieux du crash

    En savoir plus

  • Exposition sur la Grande Guerre à Paris : les derniers poilus vous saluent

    En savoir plus

  • En images : affrontements à Paris, en marge de la manifestation pro-Gaza interdite

    En savoir plus

  • Syrie : l'EIIL prend une base de l'armée mais perd un champ gazier

    En savoir plus

  • Crash d'Air Algérie : tous les corps vont être ramenés en France

    En savoir plus

  • Didier Drogba officialise son retour à Chelsea

    En savoir plus

Economie

"Nous avons eu un choc en voyant le nombre d'ordinateurs infectés"

Texte par Sébastian SEIBT

Dernière modification : 05/03/2010

Directeur de Panda Labs, Luis Corrons a participé de bout en bout à la longue enquête qui a permis à démanteler le botnet Mariposa. Pour France24.com, il nous fait le récit de cette longue traque.

FRANCE 24 - Quand avez-vous entendu parler pour la première fois du botnet Mariposa ?

Luis Corrons - Cela remonte à mai 2009. A cette époque, une société de sécurité informatique canadienne, Defense Intelligence, a découvert qu’un programme malicieux [un "cheval de Troie"] avait transformé l’ordinateur de l’un de leurs clients en bot, ce qui veut dire qu'il pouvait être contrôlé à distance. Leurs responsables nous ont contactés car la piste remontait à un serveur situé en Espagne. Ce serveur s’appelait Mariposa ["papillon" en espagnol].

 

F24 - Quelles ont été vos premières découvertes sur Mariposa ?

L. C. - Au début, nous pensions avoir affaire à un botnet traditionnel. Nous avons rapidement découvert que ces criminels utilisaient quatre serveurs, situés en Espagne et aux Etats-Unis. Ce qui est normal pour dans ce genre de cas. Comme nous avions en notre possession plusieurs ordinateurs infectés, nous avons pu voir quelles données étaient subtilisées. Là encore, il n’y avait rien d’extraordinaire. Ils utilisaient les ordinateurs zombis pour envoyer des spams publicitaires et récupérer les données bancaires. Ce n’est que plus tard que nous avons découvert qu’ils louaient et avaient même vendu à d’autres cyberpirates une petite partie des accès aux ordinateurs zombis.

 

F24 - Combien de temps avez-vous mis pour disposer d'une vision d’ensemble de ce réseau ?

L. C. - Nous n’avons eu de vision d’ensemble que lors du dénouement à la fin 2009. Mais il nous a fallu plusieurs mois pour collecter toutes les informations relatives aux serveurs. Quand nous avons su à qui nous avions affaire, il ne restait plus qu’à fermer ces serveurs. Mais pour ce faire, les interventions de la police et de la justice étaient nécessaires. C’est pourquoi nous avons contacté la Guardia civil, en Espagne, et le FBI, aux Etats-Unis.

 

F24 - Comment avez-vous procédé pour faire fermer les serveurs ?

L. C. - Nous avons arrêté un plan d’action en août 2009. La grande difficulté était de pouvoir fermer tous les serveurs en même temps. Car pour faire fonctionner un tel réseau, un seul serveur suffit. Ils en utilisent plusieurs pour contrecarrer une panne ou une attaque. Pour mettre toutes les chances de notre côté, nous avons décidé d’agir le 23 décembre, deux jours avant Noël, en espérant que les cyberpirates fussent occupés ou en vacances.

 

F24 - Que s’est-il passé ce 23 décembre ?

L. C. - A 17 heures, nous avons relié les ordinateurs infectés à nos serveurs et non plus à ceux du réseau Mariposa que nous avons fait fermer. Concrètement nous étions devenus le botnet ! Et là, ce fut le choc : nous étions reliés à des millions d’ordinateurs ! Généralement, un botnet est constitué d’une centaine d’ordinateurs…

 

F24 - Les cybercriminels ont-ils réagi ?

L. C. - Pendant deux jours, oui. Une bataille s'est engagée pour savoir qui allait reprendre le dessus. A un moment, l’un d’entre eux a même réussi à remettre la main sur l’un des serveurs et l’a utilisé pour lancer une contre-attaque. C’est lors ce bras de fer qu’un cyberpirate a fait une erreur fatale. Depuis le début, ils utilisaient des programmes leur garantissant l'anonymat sur la Toile. Mais dans le feu de l’action, l'un d'entre eux a oublié cette précaution et s’est connecté depuis chez lui en toute transparence.

 

F24 - A ce moment-là, vous connaissiez le nom de l’un des responsables de Mariposa...

L. C. - Nous connaissions seulement son adresse et la Guardia civil a pu l'interpeller chez lui. Lorsque la police est arrivée, il a tenté de tout effacer sur son ordinateur, mais n’a pas réussi. En analysant son disque dur, les enquêteurs ont retrouvé des discussions donnant des informations sur les deux autres Espagnols impliqués dans le réseau. Le 23 février, les trois responsables espagnols étaient arrêtés.

 

F24 - En sait-on davantage sur ce réseau depuis l'arrestation de ses responsables ?

L. C. - Les trois personnes interpellées ont entre 25 et 31 ans. Ils n'ont pas de connaissances poussées en matière informatique et n'avaient acheté que pour quelques centaines d’euros de programmes malicieux. Il ne leur a fallu que quelques mois pour infecter 12,7 millions d’ordinateurs. Aucun d’entre eux n’avait de travail : ils vivaient uniquement des revenus de ce business. Sur l'un des ordinateurs, nous avons retrouvé les données confidentielles de 800 000 personnes, de leurs codes d'accès à leur messagerie à leur numéro de carte de crédit en passant par le numéro de sécurité sociale.

 

F24 - Le réseau est-il aujourd'hui complètement démantelé ?

L. C. - La police m’a dit qu’un suspect était encore en liberté, probablement pas en Espagne, mais qu’il devrait être appréhendé dans quelques semaines. En revanche, le créateur du programme malicieux court toujours.

Première publication : 04/03/2010

COMMENTAIRE(S)