Ouvrir

À suivre

Rendez-vous

Rejouer


LES DERNIÈRES ÉMISSIONS

UN ŒIL SUR LES MÉDIAS

Enlèvement en Algérie

En savoir plus

DÉBAT

Organisation de l'État Islamique : à quel jeu joue la Turquie ?

En savoir plus

DÉBAT

Manuel Valls à Berlin : prendre exemple sur le modèle allemand ?

En savoir plus

LES OBSERVATEURS

La route rebelle de Nouvelle-Caledonie et les étudiants reconstruisent Tripoli

En savoir plus

JOURNAL DE L’AFRIQUE

Centrafrique : Catherine Samba Panza en quête de soutien à l'ONU

En savoir plus

L'ENTRETIEN

Ebola : "nous avons devant nous l’une des pires épidémies", dit Douste-Blazy

En savoir plus

LES ARTS DE VIVRE

Les nouveaux road trip

En savoir plus

LES ARTS DE VIVRE

Le succès du high-tech "made in France"

En savoir plus

ÉLÉMENT TERRE

Réchauffement climatique : la planète bientôt sous l'eau?

En savoir plus

  • Qui est Hervé Gourdel, l’otage français aux mains des jihadistes algériens ?

    En savoir plus

  • Menaces contre la France : "l’EI a décidé d’exporter le conflit en Occident"

    En savoir plus

  • Présidentielle tunisienne : le point sur les candidats

    En savoir plus

  • Un million de bébés européens nés grâce à Erasmus

    En savoir plus

  • Le Mondial-2022 ne se jouera pas au Qatar, selon un membre de la Fifa

    En savoir plus

  • Apple bat des records de ventes avec ses nouveaux iPhone

    En savoir plus

  • Face aux jihadistes de l'EI, "on ne comprend pas l'attitude d'Ankara"

    En savoir plus

  • À Berlin, Manuel Valls promet des réformes à Angela Merkel

    En savoir plus

  • Mort d’Albert Ebossé : la JS Kabylie suspendue deux ans par la CAF

    En savoir plus

  • Hong Kong : les étudiants en grève pour dénoncer la mainmise de Pékin

    En savoir plus

  • Selon Bernard Cazeneuve, "la France n’a pas peur" face à la menace jihadiste

    En savoir plus

  • Ebola : sept questions sur le virus

    En savoir plus

  • Le report du projet de Transavia Europe ne suffit pas aux pilotes d'Air France

    En savoir plus

  • Préservatifs trop petits : un problème de taille pour les Ougandais

    En savoir plus

Economie

"Nous avons eu un choc en voyant le nombre d'ordinateurs infectés"

Texte par Sébastian SEIBT

Dernière modification : 05/03/2010

Directeur de Panda Labs, Luis Corrons a participé de bout en bout à la longue enquête qui a permis à démanteler le botnet Mariposa. Pour France24.com, il nous fait le récit de cette longue traque.

FRANCE 24 - Quand avez-vous entendu parler pour la première fois du botnet Mariposa ?

Luis Corrons - Cela remonte à mai 2009. A cette époque, une société de sécurité informatique canadienne, Defense Intelligence, a découvert qu’un programme malicieux [un "cheval de Troie"] avait transformé l’ordinateur de l’un de leurs clients en bot, ce qui veut dire qu'il pouvait être contrôlé à distance. Leurs responsables nous ont contactés car la piste remontait à un serveur situé en Espagne. Ce serveur s’appelait Mariposa ["papillon" en espagnol].

 

F24 - Quelles ont été vos premières découvertes sur Mariposa ?

L. C. - Au début, nous pensions avoir affaire à un botnet traditionnel. Nous avons rapidement découvert que ces criminels utilisaient quatre serveurs, situés en Espagne et aux Etats-Unis. Ce qui est normal pour dans ce genre de cas. Comme nous avions en notre possession plusieurs ordinateurs infectés, nous avons pu voir quelles données étaient subtilisées. Là encore, il n’y avait rien d’extraordinaire. Ils utilisaient les ordinateurs zombis pour envoyer des spams publicitaires et récupérer les données bancaires. Ce n’est que plus tard que nous avons découvert qu’ils louaient et avaient même vendu à d’autres cyberpirates une petite partie des accès aux ordinateurs zombis.

 

F24 - Combien de temps avez-vous mis pour disposer d'une vision d’ensemble de ce réseau ?

L. C. - Nous n’avons eu de vision d’ensemble que lors du dénouement à la fin 2009. Mais il nous a fallu plusieurs mois pour collecter toutes les informations relatives aux serveurs. Quand nous avons su à qui nous avions affaire, il ne restait plus qu’à fermer ces serveurs. Mais pour ce faire, les interventions de la police et de la justice étaient nécessaires. C’est pourquoi nous avons contacté la Guardia civil, en Espagne, et le FBI, aux Etats-Unis.

 

F24 - Comment avez-vous procédé pour faire fermer les serveurs ?

L. C. - Nous avons arrêté un plan d’action en août 2009. La grande difficulté était de pouvoir fermer tous les serveurs en même temps. Car pour faire fonctionner un tel réseau, un seul serveur suffit. Ils en utilisent plusieurs pour contrecarrer une panne ou une attaque. Pour mettre toutes les chances de notre côté, nous avons décidé d’agir le 23 décembre, deux jours avant Noël, en espérant que les cyberpirates fussent occupés ou en vacances.

 

F24 - Que s’est-il passé ce 23 décembre ?

L. C. - A 17 heures, nous avons relié les ordinateurs infectés à nos serveurs et non plus à ceux du réseau Mariposa que nous avons fait fermer. Concrètement nous étions devenus le botnet ! Et là, ce fut le choc : nous étions reliés à des millions d’ordinateurs ! Généralement, un botnet est constitué d’une centaine d’ordinateurs…

 

F24 - Les cybercriminels ont-ils réagi ?

L. C. - Pendant deux jours, oui. Une bataille s'est engagée pour savoir qui allait reprendre le dessus. A un moment, l’un d’entre eux a même réussi à remettre la main sur l’un des serveurs et l’a utilisé pour lancer une contre-attaque. C’est lors ce bras de fer qu’un cyberpirate a fait une erreur fatale. Depuis le début, ils utilisaient des programmes leur garantissant l'anonymat sur la Toile. Mais dans le feu de l’action, l'un d'entre eux a oublié cette précaution et s’est connecté depuis chez lui en toute transparence.

 

F24 - A ce moment-là, vous connaissiez le nom de l’un des responsables de Mariposa...

L. C. - Nous connaissions seulement son adresse et la Guardia civil a pu l'interpeller chez lui. Lorsque la police est arrivée, il a tenté de tout effacer sur son ordinateur, mais n’a pas réussi. En analysant son disque dur, les enquêteurs ont retrouvé des discussions donnant des informations sur les deux autres Espagnols impliqués dans le réseau. Le 23 février, les trois responsables espagnols étaient arrêtés.

 

F24 - En sait-on davantage sur ce réseau depuis l'arrestation de ses responsables ?

L. C. - Les trois personnes interpellées ont entre 25 et 31 ans. Ils n'ont pas de connaissances poussées en matière informatique et n'avaient acheté que pour quelques centaines d’euros de programmes malicieux. Il ne leur a fallu que quelques mois pour infecter 12,7 millions d’ordinateurs. Aucun d’entre eux n’avait de travail : ils vivaient uniquement des revenus de ce business. Sur l'un des ordinateurs, nous avons retrouvé les données confidentielles de 800 000 personnes, de leurs codes d'accès à leur messagerie à leur numéro de carte de crédit en passant par le numéro de sécurité sociale.

 

F24 - Le réseau est-il aujourd'hui complètement démantelé ?

L. C. - La police m’a dit qu’un suspect était encore en liberté, probablement pas en Espagne, mais qu’il devrait être appréhendé dans quelques semaines. En revanche, le créateur du programme malicieux court toujours.

Première publication : 04/03/2010

COMMENTAIRE(S)