Des cybergendarmes français ont réussi à neutraliser un serveur malveillant et à désinfecter des centaines de milliers d'ordinateurs infectés à travers la planète, révèle mercredi 28 août 2019, le journal Le Figaro. « Un serveur informatique pirate, basé en France, avait inoculé le virus Retadup à plus de 850.000 ordinateurs dans le monde, à des fins crapuleuses. Les cybergendarmes français ont réussi à duper les pirates et mettre en place une désinfection des machines. Une première mondiale », indique le journal qui cite des sources du Centre de Lutte contre les criminalités numériques de la Gendarmerie française (C3N). L'affaire remonte au début de l'année. La société Avast, un fabricant d'antivirus, signale au Centre de Lutte contre les criminalités numériques de la Gendarmerie française (C3N), l'existence possible d'un serveur pirate basé en France et qui semble infecter des milliers d'ordinateurs de sociétés et de particuliers, notamment en Amérique Centrale et en Amérique du Sud. Depuis 2016, grâce au virus Retadup, ce serveur est en capacité de prendre le contrôle de machines « zombies » et de les commander à distance pour commettre des actions crapuleuses et très rémunératrices, comme la création de la cryptomonnaie Monéro, l'utilisation de ransomwares (des logiciels d'extorsion), des vols de données d'hôpitaux, le blocage de systèmes numériques, etc. En quelques semaines, les cybergendarmes français réussissent à confirmer la localisation du serveur pirate en Île-de-France. La section F1 du parquet de Paris, chargée de la cybercriminalité, ouvre alors une enquête avec la coopération judiciaire du FBI aux Etats-Unis, indique le journal. Les cybergendarmes du C3N vont réussir ensuite à effectuer une copie discrète du serveur lors d'une perquisition menée chez l'hébergeur. Le logiciel malveillant (malware) a été décortiqué par le département technique du C3N, avec le concours de l'institut de recherche criminelle de la gendarmerie nationale (IRCGN). Son analyse permet de mettre à jour une faille permettant de le démanteler à distance. Les gendarmes du C3N vont ensuite mettre en place un procédé permettant de nettoyer le botnet et à désinfecter à distance une grande partie des ordinateurs ciblés. En France, un millier de machines ont été touchées, croit savoir le journal. Selon Le Figaro, les investigations se poursuivent pour identifier le ou les auteurs de cette opération, soulignant que les soupçons pourraient s'orienter vers l'Europe de l'Est.
