Gendarmerie et «machines zombies» : questions sur une «désinfection»

1249128-criminalite-internet-gendarmerie-securiteIllustration. Photo Jeff Pachoud. AFP

Annoncé la semaine dernière comme une «première mondiale», le coup d’arrêt mis cet été à un vaste «botnet», un réseau d’ordinateurs piratés, interroge au regard du principe de souveraineté.

C’est une opération qui, la semaine dernière, a valu aux gendarmes français de substantielles retombées médiatiques, dans l’Hexagone – Libération inclus – mais aussi hors des frontières. Annoncée par le Figaro puis France Inter le 27 août au soir, elle a fait l’objet le lendemain matin d’un communiqué officiel : le Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale y explique avoir, début juillet, mis un coup d’arrêt à un vaste botnet, un réseau d’ordinateurs infectés par le logiciel malveillant (ou malware) Retadup et utilisés, à l’insu de leurs propriétaires, par un groupe de pirates informatiques pour «miner» de la cryptomonnaie Monero. L’intervention a été menée avec l’aide de l’éditeur tchèque d’antivirus Avast.

A lire aussi Comment la gendarmerie française a «désinfecté» 850 000 machines infectées par un logiciel malveillant

Fait notable : le C3N ne s’est pas contenté de neutraliser le serveur de «commande et contrôle» (C&C) utilisé par les pirates pour communiquer avec ces «machines zombies», et localisé en France ; il a en outre procédé à la «désinfection» à distance desdites machines. Une initiative saluée par nombre de commentateurs, mais qui a aussi provoqué des interrogations chez quelques professionnels du secteur. Et pour cause : réalisée sur le territoire français, l’opération a produit ses effets sur quelque 850 000 terminaux principalement situés, eux, en Amérique latine… «Qui a autorité pour faire effectuer à un bot [un agent logiciel, ndlr] via un C&C dans un pays étranger une action sur un ordinateur ?» tweete par exemple Jean-Philippe Gaulier, cofondateur de la start-up en cybersécurité Cyberzen. Si le procédé est une «première mondiale», comme s’en enorgueillit la gendarmerie, c’est aussi parce que, pour efficace qu’il soit, il soulève quelques questions juridiques, notamment en termes de souveraineté.

De quoi parle-t-on ?

Repéré dès 2017 par l’éditeur japonais de solutions de cybersécurité Trend Micro dans des entités israéliennes – en particulier des hôpitaux – où il servait de tête de pont pour du vol de données, le malware Retadup a été, ces derniers temps, essentiellement mis à profit pour du «minage» de cryptomonnaie. C’est dans ce cadre que les chercheurs d’Avast s’y sont intéressés. Ces derniers ont pu remonter la piste des serveurs utilisés par les pirates informatiques pour contrôler les ordinateurs infectés : les noms de domaine «étaient intégrés dans les scripts malveillants, il s’agissait donc simplement de les résoudre en une adresse IP et de les géolocaliser, indique l’entreprise à Libération. En d’autres termes, le logiciel malveillant n’a pas tenté de cacher ses serveurs C&C primaires de quelque façon que ce soit.»

L’infrastructure utilisée par les cybercriminels étant principalement située en France, Avast prend langue avec le C3N. Une enquête préliminaire est ouverte le 26 mars, notamment pour «accès et maintien frauduleux dans un système de traitement automatisé de données», par la section F1 du parquet de Paris, en charge de la cybercriminalité. Selon le communiqué de la gendarmerie, une perquisition «dans les locaux d’un hébergeur localisé en Ile-de-France» permet, au printemps, de mettre la main sur un serveur de commande et contrôle, et d’en réaliser une «copie discrète» afin de l’analyser.

Comment la «désinfection» a-t-elle eu lieu ?

«Début juillet, le C3N procède à la mise en œuvre d’un procédé cyber permettant la désinfection du botnet», poursuit la gendarmerie. «Procédé cyber» sur lequel Jan Vojtesek, analyste chez Avast, se montre légèrement plus disert : les gendarmes français, écrit-il dans un long article technique, «ont remplacé le serveur C&C malveillant par un serveur de désinfection, avec pour effet d’entraîner l’autodestruction des instances de Retadup connectées». L’aide du FBI américain a été sollicitée pour mener à bien l’opération : «Certains noms de domaine étaient enregistrés aux Etats-Unis, a expliqué à France Inter le patron du C3N, le colonel Jean-Dominique Nollet. Il nous fallait des jugements des cours fédérales pour pouvoir bloquer certains trafics et les dériver vers notre serveur à nous.»

Quant à connaître précisément les détails du procédé, c’est une autre histoire. Tout repose sur une «faille de conception», identifiée par Avast, dans le «protocole de commande et contrôle» mis en œuvre par les pirates. Mais l’entreprise ne souhaite pas en dire plus, nous répond-elle, pour ne pas «donner cette information aux autres cybercriminels». Même discrétion du côté du C3N et du parquet de Paris. Dans son article, Jan Vojtesek explique néanmoins que la faille en question «ne faisait pas exécuter de code supplémentaire aux [machines] victimes». Selon nos informations, l’opération consiste, en résumé, à aiguiller les «machines zombies», dès qu’elles se connectent au serveur pour demander des instructions, vers un fichier de mise à jour vide – de sorte que le malware s’autoneutralise.

Y a-t-il des précédents ?

«Ce qui est nouveau par rapport à ce que faisaient jusque-là les sociétés privées de protection des données, c’est qu’elles redirigeaient le virus vers un « coin mort » d’Internet», explique le colonel Nollet à France Inter. C’est ce que les professionnels de la sécurité informatique appellent le «sinkholing» – de l’anglais sinkhole : «entonnoir», ou littéralement «trou d’évier» – et qui consiste à rediriger les connexions des «machines zombies» vers des infrastructures maîtrisées par les autorités et/ou les entreprises de cybersécurité. Le botnet peut ainsi être mis hors d’état de nuire, mais sans action supplémentaire, le logiciel malveillant lui-même est toujours présent sur les machines.

Pour autant, il existe au moins un cas antérieur de «désinfection» à distance. En 2011, le FBI avait été autorisé à expédier à des machines enrôlées dans le botnet Coreflood une commande leur ordonnant de stopper le malware. L’agence américaine avait pu ainsi «nettoyer» 19 000 ordinateurs. Outre l’échelle, bien moindre, la différence avec Retadup se joue à deux niveaux : d’une part, le FBI avait procédé via l’envoi direct d’une instruction aux machines infectées, quand l’opération du C3N relève, en quelque sorte, du dispositif d’aiguillage ; d’autre part, il avait agi avec l’accord des propriétaires des ordinateurs ainsi traités – des entreprises et des structures publiques américaines.

Quels sont les enjeux ?

L’initiative française, elle, est unilatérale. Il n’y a pas eu de contact avec les autorités des pays dans lesquels se trouvaient les ordinateurs infectés, indique à Libération une source judiciaire : «L’infraction a été commise en France, l’objectif était de la faire cesser en agissant sur un serveur pirate identifié en France, et aucune opération intrusive n’a été réalisée sur des ordinateurs situés à l’étranger.» Pour autant, même en l’absence d’intrusion, il y a bien eu une incidence sur des machines hors du territoire.

«En droit international, le principe est que la compétence d’exécution doit être territoriale, explique à Libération Aude Géry, doctorante en droit international public à l’université de Rouen et chercheuse associée au Centre de recherche et de formation sur la datasphère (Geode). La question, ici, est de savoir à partir de quand on considère qu’il y a extraterritorialité. Les autorités françaises semblent ici poser un principe selon lequel l’absence d’intervention directe sur les systèmes infectés exclut l’effet extraterritorial.» Une interprétation qui, a minima, se discute… «Imaginons qu’un autre Etat fasse la même chose et, à distance, désactive un programme sur des ordinateurs situés en France : je ne suis pas persuadé que les autorités françaises le verraient d’un aussi bon œil !», souligne Sébastien Canevet, maître de conférences en droit privé à l’université de Poitiers et coauteur de Droit des logiciels (PUF, 2013).

«Il n’existe aucune règle de droit international qui interdise à la France de faire cela, de surcroît en agissant bona fide [«de bonne foi», ndlr], dans une logique de correction, juge de son côté Théodore Christakis, professeur de droit international et codirecteur du Grenoble Alpes Data Institute. Et à supposer qu’une telle règle existe, pour engager la responsabilité d’un Etat, il faut un dommage. La question qui pourrait se poser, c’est celle d’une éventuelle violation du droit interne d’un autre pays, mais encore faudrait-il que quelqu’un proteste.»

Rien de tel pour l’heure, du moins publiquement, à notre connaissance : bona fide et bonne cause emporteraient le morceau, et tant pis pour les souverainetés chiffonnées au passage… Théodore Christakis en convient : «La question qui se pose, en filigrane, c’est celle de la limite lorsqu’on intervient de façon unilatérale avec un impact dans les réseaux d’autres pays.» Et la mise en place de «bonnes pratiques», comme la notification des pays concernés, ne serait pas superflue… Pour autant, avance-t-il, «cela montre aussi que les Etats peuvent être efficaces en matière de lutte contre les cyberattaques». Reste que le dossier souligne, à tout le moins, le besoin de règles partagées. Ce qui n’est pas une mince affaire.

Signée par 63 pays, la Convention de Budapest sur la cybercriminalité de 2001 est toujours boudée, notamment, par la Russie, qui pousse aux Nations unies pour l’adoption d’un nouveau texte. Pour Aude Géry, «une affaire comme celle-ci pourrait servir d’argument à certains Etats pour dire qu’un nouveau traité est nécessaire pour encadrer ce type de pratique». Des limites de la bona fide dans les rapports de force de la cyberdiplomatie…

Source : Libération

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *