Ouvrir

À suivre

Rendez-vous

Rejouer


LES DERNIÈRES ÉMISSIONS

SUR LE NET

Israël : des selfies dans les abris anti-bombes

En savoir plus

DEMAIN À LA UNE

Une mini tournée africaine pour François Hollande

En savoir plus

DEMAIN À LA UNE

14 juillet : célébrations nationales et centenaire de la Grande Guerre

En savoir plus

ICI L'EUROPE

Lamberto Zannier, secrétaire général de l'OSCE

En savoir plus

ICI L'EUROPE

Santé : l'Europe perturbée par des substances toxiques

En savoir plus

L'ENTRETIEN

Raid Fahmi, ex-ministre irakien des Sciences et Technologies

En savoir plus

REPORTERS

Exclusif - Dans l'enfer des prisons secrètes

En savoir plus

REVUE DE PRESSE

"Crimes de guerre"

En savoir plus

MODE

La haute couture, de l’art au business

En savoir plus

  • Le défilé du 14-Juillet marqué par le centenaire de la Grande Guerre

    En savoir plus

  • Poursuite des raids israéliens à Gaza, les offres de médiation se multiplient

    En savoir plus

  • En images : les meilleurs moments du Mondial

    En savoir plus

  • Scènes de liesse à Berlin, tristesse et violences à Buenos Aires

    En savoir plus

  • À Paris, un rassemblement pro-palestinien entaché de heurts

    En savoir plus

  • Le Costa Concordia flotte de nouveau

    En savoir plus

  • Mondial-2014 : le Français Paul Pogba élu meilleur jeune joueur

    En savoir plus

  • L'Allemagne est championne du monde pour la 4e fois de son histoire

    En savoir plus

  • À Vienne, les négociations sur le nucléaire iranien teintées de pessimisme

    En savoir plus

  • La Russie menace l'Ukraine "de conséquences irréversibles"

    En savoir plus

  • Tour de France 2014 : Tony Gallopin endosse le premier maillot jaune français

    En savoir plus

  • Sahara occidental : le torchon brûle entre Rabat et Alger

    En savoir plus

  • Nigeria : le chef de Boko Haram soutient al-Baghdadi, le "calife" de l'EIIL

    En savoir plus

  • Fin de Serval au Mali, lancement de l’opération "Barkhane" au Sahel

    En savoir plus

  • Combats entre milices libyennes autour de l'aéroport de Tripoli

    En savoir plus

  • Décès du célèbre chef d’orchestre américain Lorin Maazel

    En savoir plus

  • Nouvelle humiliation pour le Brésil battu par les Pays-Bas (3-0)

    En savoir plus

  • "Wissous plage" : l’interdiction du port du voile suspendue par la justice

    En savoir plus

  • Après une opération commando à Gaza, Tsahal intensifie ses frappes

    En savoir plus

Economie

"Nous avons eu un choc en voyant le nombre d'ordinateurs infectés"

©

Texte par Sébastian SEIBT

Dernière modification : 05/03/2010

Directeur de Panda Labs, Luis Corrons a participé de bout en bout à la longue enquête qui a permis à démanteler le botnet Mariposa. Pour France24.com, il nous fait le récit de cette longue traque.

FRANCE 24 - Quand avez-vous entendu parler pour la première fois du botnet Mariposa ?

Luis Corrons - Cela remonte à mai 2009. A cette époque, une société de sécurité informatique canadienne, Defense Intelligence, a découvert qu’un programme malicieux [un "cheval de Troie"] avait transformé l’ordinateur de l’un de leurs clients en bot, ce qui veut dire qu'il pouvait être contrôlé à distance. Leurs responsables nous ont contactés car la piste remontait à un serveur situé en Espagne. Ce serveur s’appelait Mariposa ["papillon" en espagnol].

 

F24 - Quelles ont été vos premières découvertes sur Mariposa ?

L. C. - Au début, nous pensions avoir affaire à un botnet traditionnel. Nous avons rapidement découvert que ces criminels utilisaient quatre serveurs, situés en Espagne et aux Etats-Unis. Ce qui est normal pour dans ce genre de cas. Comme nous avions en notre possession plusieurs ordinateurs infectés, nous avons pu voir quelles données étaient subtilisées. Là encore, il n’y avait rien d’extraordinaire. Ils utilisaient les ordinateurs zombis pour envoyer des spams publicitaires et récupérer les données bancaires. Ce n’est que plus tard que nous avons découvert qu’ils louaient et avaient même vendu à d’autres cyberpirates une petite partie des accès aux ordinateurs zombis.

 

F24 - Combien de temps avez-vous mis pour disposer d'une vision d’ensemble de ce réseau ?

L. C. - Nous n’avons eu de vision d’ensemble que lors du dénouement à la fin 2009. Mais il nous a fallu plusieurs mois pour collecter toutes les informations relatives aux serveurs. Quand nous avons su à qui nous avions affaire, il ne restait plus qu’à fermer ces serveurs. Mais pour ce faire, les interventions de la police et de la justice étaient nécessaires. C’est pourquoi nous avons contacté la Guardia civil, en Espagne, et le FBI, aux Etats-Unis.

 

F24 - Comment avez-vous procédé pour faire fermer les serveurs ?

L. C. - Nous avons arrêté un plan d’action en août 2009. La grande difficulté était de pouvoir fermer tous les serveurs en même temps. Car pour faire fonctionner un tel réseau, un seul serveur suffit. Ils en utilisent plusieurs pour contrecarrer une panne ou une attaque. Pour mettre toutes les chances de notre côté, nous avons décidé d’agir le 23 décembre, deux jours avant Noël, en espérant que les cyberpirates fussent occupés ou en vacances.

 

F24 - Que s’est-il passé ce 23 décembre ?

L. C. - A 17 heures, nous avons relié les ordinateurs infectés à nos serveurs et non plus à ceux du réseau Mariposa que nous avons fait fermer. Concrètement nous étions devenus le botnet ! Et là, ce fut le choc : nous étions reliés à des millions d’ordinateurs ! Généralement, un botnet est constitué d’une centaine d’ordinateurs…

 

F24 - Les cybercriminels ont-ils réagi ?

L. C. - Pendant deux jours, oui. Une bataille s'est engagée pour savoir qui allait reprendre le dessus. A un moment, l’un d’entre eux a même réussi à remettre la main sur l’un des serveurs et l’a utilisé pour lancer une contre-attaque. C’est lors ce bras de fer qu’un cyberpirate a fait une erreur fatale. Depuis le début, ils utilisaient des programmes leur garantissant l'anonymat sur la Toile. Mais dans le feu de l’action, l'un d'entre eux a oublié cette précaution et s’est connecté depuis chez lui en toute transparence.

 

F24 - A ce moment-là, vous connaissiez le nom de l’un des responsables de Mariposa...

L. C. - Nous connaissions seulement son adresse et la Guardia civil a pu l'interpeller chez lui. Lorsque la police est arrivée, il a tenté de tout effacer sur son ordinateur, mais n’a pas réussi. En analysant son disque dur, les enquêteurs ont retrouvé des discussions donnant des informations sur les deux autres Espagnols impliqués dans le réseau. Le 23 février, les trois responsables espagnols étaient arrêtés.

 

F24 - En sait-on davantage sur ce réseau depuis l'arrestation de ses responsables ?

L. C. - Les trois personnes interpellées ont entre 25 et 31 ans. Ils n'ont pas de connaissances poussées en matière informatique et n'avaient acheté que pour quelques centaines d’euros de programmes malicieux. Il ne leur a fallu que quelques mois pour infecter 12,7 millions d’ordinateurs. Aucun d’entre eux n’avait de travail : ils vivaient uniquement des revenus de ce business. Sur l'un des ordinateurs, nous avons retrouvé les données confidentielles de 800 000 personnes, de leurs codes d'accès à leur messagerie à leur numéro de carte de crédit en passant par le numéro de sécurité sociale.

 

F24 - Le réseau est-il aujourd'hui complètement démantelé ?

L. C. - La police m’a dit qu’un suspect était encore en liberté, probablement pas en Espagne, mais qu’il devrait être appréhendé dans quelques semaines. En revanche, le créateur du programme malicieux court toujours.

Première publication : 04/03/2010

Comments

COMMENTAIRE(S)