Démantèlement de Retadup, une désinfection controversée
En Août 2019, la gendarmerie et le FBI ont coopéré pour démanteler un botnet qui contrôlait 850 000 machines. C’est la première fois qu’un réseau de cette ampleur a été rendu inopérant . Ce démantèlement a également mené à une controverse car les autorités ont fait exécuter des commandes aux machines corrompues afin de détruire le botnet ce qui n’est habituellement pas l’approche choisie. Revenons sur le fonctionnement du botnet Retadup avant de développer sur le flou juridique que cette affaire met en évidence.
Genèse et fonctionnement de Retadup
C’est vers 2016 que Retadup est repéré pour la première fois. A l’époque, c’est un vers malicieux capable d’infecter et de se propager sur des machines Windows. Une fois la machine infectée, Retadup se charge de récupérer des informations. C’est Trendmicro, une entreprise de cybersécurité, qui détecte l’activité du malware en premier dans des machines d’hôpitaux israéliens .
Cependant, le fonctionnement de Retadup a évolué au cours du temps. En effet, au fur et à mesure que le réseau grossissait, Retadup s’est transformé. C’est pour cette raison que quelques mois après la découverte de la menace dans les hôpitaux israéliens, une variante du botnet a été découverte en Amérique du Sud. Cette fois-ci, Retadup ne s’occupe pas de récupérer de l’information mais plutôt de faire du cryptojacking : le botnet utilise les machines corrompues pour miner de la monnaie Monero. Ce changement de version s’explique logiquement par l’évolution de l’ampleur du réseau. Tant que le botnet ne contrôlait que quelques machines, il n’était que peu lucratif de s’intéresser au minage de cryptomonnaie. Mais en se propageant grâce à l’envoi d’email frauduleux et à des clés USB corrompues notamment en Amérique du Sud (cf Figure 1), le réseau a grossi jusqu’à atteindre des centaines de milliers de machines et le minage est alors devenu plus intéressant que de revendre l’information récoltée.
Mais comment Retadup a-t-il réussi à se propager autant tout en restant dissimulé ?
D’abord, comme décrit dans l’article de Trendmicro, Retadup a des fonctionnalités pour se dissimuler dans la machine de la victime. En se propageant grâce au ver, le malware va créer des copies de lui-même et deux fichiers Autolt : un exécutable non malicieux et un script malicieux qui est stocké dans le répertoire racine de l’ordinateur corrompu en question (i.e C:\WinddowsUpdated\<file copy>).
Autolt est un langage permettant d’automatiser des tâches pour les systèmes d’exploitation Windows. Autolt est cependant connu pour avoir une faille exploitée par les trojans d’accès à distance pour corrompre des machines. Pour ce faire, un exécutable Autolt est utilisé afin d’appeler un deuxième fichier qui va exécuter les commandes malicieuses. En 2014, ce type de menace avait déjà été utilisé par le ver IPPEDO.
Après cette étape, le malware va accéder aux informations système grâce à la commande : “C:\WINDOWS\system32\cmd.exe /c SystemInfo”
Des fichiers .lnk (fichiers exécutables Windows) sont ensuite créés via la commande malicieuse :
cmd.exe /c start ..\WinddowsUpdateCheck\WinddowsUpdater.exe “..\WinddowsUpdateCheck\WinddowsUpdater.zip” & exit
L’exécution des fichiers lnk mènent ensuite à des exécutables et des fichiers TNT pour effectuer différentes tâches :
- Télécharger des fichiers
- Se connecter à différentes URLs et au serveur de contrôle
- Ouvrir un terminal pour exécuter des commandes
- Installer un keylogger qui permettra d’enregistrer les saisies clavier de l’utilisateur de la machine
- Prendre des screenshots
- Extraire des mots de passe des navigateurs web comme Firefox, Chrome, Opera
- Démarrer et relancer des processus
- Éteindre, redémarrer ou bien se déconnecter de la machine
- Mettre à jour une copie de lui-même grâce aux communications avec le serveur C&C (commande et contrôle)
- Ré-exécuter une copie de lui-même
Retadup possède également une liste d’antivirus, de noms de scripts, d’outils d’analyse, de sandboxes ou de machines virtuelles. Si un de ces outils est repéré par le malware, alors il s’auto-détruit. C’est l’une des principales raisons qui explique que Retadup est resté peu connu pendant si longtemps. D’autre part, selon Avast, le malware a bénéficié du peu d’intérêt que la communauté de la sécurité informatique lui a manifesté. Aucun outil de désinfection n’avait été mis à disposition du public et les meilleures sources de renseignement pour les victimes provenaient de vidéos YouTube réalisées par des internautes. Mais celles-ci ne couvraient pas toutes les différentes variantes du malware, ce qui a permis aux auteurs de continuer à infecter des internautes.
Au total, la gendarmerie nationale a indiqué qu’entre 850 000 et 1,3 millions de machines avait été infecté (les sources divergeant à ce sujet), principalement des machines sous Windows 7 (cf Figure 2). Selon Avast, environ 85% des machines infectées ne possédaient pas d’antivirus, et parmi celles restantes, beaucoup l’avaient désinstallé.
Comment s’est opéré la “désinfection” ?
Un travail d’équipe
C’est l’entreprise tchèque Avast Software, créateur de l’antivirus du même nom, qui prévient la gendarmerie française car la majorité de l’infrastructure de Retadup est située en France, en Île-de-France.
En surveillant Retadup, les autorités réalisent qu’une partie de l’infrastructure de contrôle est située aux Etats-Unis. S’installe alors une coopération internationale entre la Gendarmerie française et le FBI. Cette coopération fait écho aux idées avancées lors du G7 de Paris en 2019, qui a fait de la coopération internationale en matière de cybersécurité une de ses priorités.
De plus, cette coopération a été double, puisque la défense face à Retadup a aussi été le fruit d’une coopération public-privée. En effet, les équipes de la Gendarmerie française (publique), d’Avast (privée) et dans une moindre mesure du FBI (publique) ont dû se coordonner pour mettre en place la désinfection.
Mise en place de la désinfection
Le serveur C&C étant situé dans un data center près de Paris, la Gendarmerie a dû négocier avec la justice française pour y avoir accès. Pendant que le C3N (Centre de Lutte contre les Criminalités Numériques) faisait une demande de perquisition auprès du procureur, Avast effectuait une surveillance du serveur Retadup pour analyser son fonctionnement. Cela leur permettait d’être averti à chaque fois que le logiciel évoluait.
Avec l’aval du procureur, les autorités ont obtenu de l’hébergeur des snapshots, c’est-à-dire des copies du serveur C&C. La Gendarmerie a transmis une partie de ses copies à Avast.
Pourquoi uniquement une partie ? Principalement pour des raisons de respect de vie privée. En effet, le serveur possédait un grand nombre d’informations confidentielles sur les utilisateurs des machines contrôlées.
Durant cette période, la priorité pour Avast et la Gendarmerie était de ne pas se faire repérer par l’auteur du malware. En effet, si ce dernier réalisait que la fin de son malware était proche, il aurait pu décider de l’exploiter comme un ransomware en prenant en otage les données des machines zombies pour demander des rançons.
Une fois les snapshots récupérés, les équipes Avast ont pu procéder à l’étude approfondie de son fonctionnement par reverse engineering. Grâce à cette étude, ils ont trouvé une faille dans le protocole de Retadup, exploitable en prenant le contrôle du serveur C&C. En effet, envoyer une commande vide permettait de désinstaller le malware des machines infectées.
Les détails techniques de cette faille n’ont à ce jour pas encore été dévoilés, principalement par soucis de sécurité. En effet, de futurs malwares pourraient s’en inspirer et ainsi apprendre à la contourner. De plus, la procédure de désactivation du malware sur les ordinateurs des victimes n’est pas fini : des machines peuvent être restées éteintes depuis la mise en place du démantèlement et ont donc toujours la version active de Retadup.
Par ailleurs, la désinfection de Retadup nous offre une belle leçon d’ironie. Lors de son étude, les ingénieurs Avast se sont ainsi rendu compte qu’une grande partie des fichiers du serveur malveillant étaient eux mêmes infectés par un autre virus, Neshta ! Pour Avast, c’est une bonne publicité pour leur logiciel de protection (qui aurait pu protéger l’attaquant de Neshta) et pour les auteurs de malware, c’est un bon rappel qu’il est essentiel d’utiliser un antivirus…
Phase de désinfection
A partir des snapshots du serveur, les ingénieurs Avast ont pu réaliser une copie du serveur malware. Ce serveur prenait en compte la faille de sécurité trouvée en amont, et a été installé à la place de celui malveillant. Les machines infectées, qui ne savaient pas que le serveur avait été changé, venaient s’y connecter pour demander des ordres. C’est à ce moment que la faille de protocole était exploitée, puisque le serveur renvoyait une commande vide provoquant l’autodestruction du malware. Ainsi, les machines ne communiquaient plus avec le serveur et étaient donc désinfectées.
Le 1er juillet 2019, le serveur copie a été mis en place. Fin août 2019, ce sont environ 850 000 machines qui se sont connectées au serveur, et qui ont ainsi reçu l’ordre de désinfection. Aujourd’hui, on compte encore environ 10 000 machines par jour qui se connectent au serveur.
La Gendarmerie a donc décidé de le laisser en place encore quelques temps, car certaines machines contaminées n’avaient toujours pas été allumées, et n’avaient donc pas été nettoyées.
L’initiative du C3N a donc, d’un point de vue technique, été un succès. Elle a été chaleureusement applaudie, mais au milieu des experts enthousiastes, quelques voix se sont levées, soulevant notamment la question de la légitimité d’une telle initiative.
La controverse de la désinfection
Pourquoi y a-t-il controverse ?
La procédure de désinfection de Rétadup présente un fait notoire majeure et une innovation dans le secteur. Comme expliqué précédemment, la Gendarmerie ne s’est pas contentée de suivre la procédure habituelle qui consiste à faire tomber le serveur C&C, mais a en plus décidé de désinfecter les machines victimes.
Certains experts du domaine se sont ainsi posés la question de la légitimité d’une telle actions. La loi Godfrain de 1988 punit en effet l’accès et la modification par une personne non autorisée du système d’information d’autrui.
Les personnes victimes n’ont pas été mises au courant que leur ordinateur avait été touché par le botnet, et que la Gendarmerie allait procéder à sa désinfection. Si la procédure s’était mal passée, provoquant ainsi la perte de données voire de la machine, qui aurait-été considéré comme responsable ? La Gendarmerie aurait-elle procédé au remplacement de toutes les machines ? Cela paraît aujourd’hui peu probable, les ordinateurs touchés étant des machines personnelles qui relevaient donc de la propriété privée.
Extraterritorialité et souveraineté
Cette question d’autorité est d’autant plus importante que les gendarmes français ont agi sur des machines extérieures à leur territoire. Certains experts soulèvent la question de droit d’intervenir dans un pays étranger, comme par exemple Jean Philippe Gaulier, cofondateur de Cyberzen, entreprise de sécurité informatique (cf Figure 3).
Ainsi, Rétadup serait cas d’extraterritorialité, c’est à dire, comme défini dans le droit international, un cas où un pays laisse s’exercer l’autorité d’un état étranger sur son propre territoire. Ici, la France aurait entravé la souveraineté de pays d’Amérique Latine, qui, même s’ils ont été les plus touchés, n’ont pas été mis au courant de l’initiative française, et n’ont pas participé à la désinfection.
D’un point de vue juridique, l’article 113.2 du code pénal français prévoit que lorsqu’un crime “informatique” est commis à l’encontre d’une personne française, ce crime est considéré comme un crime français.
En vue de cet article, il n’est pas certain que, si la situation avait été inversée, les autorités françaises auraient appréciées une intervention de la part de pays d’Amérique Latine.
La défense des autorités françaises
Face à ces critiques, le général d’armée Watin-Agouard met en lumière les raisons de la France de ne pas avoir prévenu les victimes situées en Amérique du Sud. Il souligne les difficultés de la coopération bilatérale, qui auraient rendu très longue et pénible l’initiative de désinfection. Prévenir individuellement le million de machines touchées aurait été fastidieux, voire contre productif. En effet, pour limiter les campagnes de phishing, les messages de la part des forces gouvernementales doivent être fortement limités.
Théodore Christakis, spécialiste du droit international applicable à l’espace numérique, souligne le fait que la désinfection de Rétadup tombe sous le joug de la règle “bona fide”, c’est à dire que les autorités françaises ont agi de bonne foi, sans intention malicieuse ou volonté de prendre le contrôle des machines.
La question n’est pas simple, surtout que la gendarmerie n’a eu aucun contact direct avec les machines infectées, et n’a fait qu’exploiter une faille dans le malware. Ainsi, il n’y a pas eu exécution directe de code, et encore moins de prise de contrôle de ces machines.
Un besoin de lois internationales
En plus de son intérêt technique, Retadup apparaît surtout comme un cas d’école de la complexité judiciaire dans la cybersécurité et du manque de clarté dans ce domaine. Le monde du numérique ne respecte que très peu les frontières étatiques, et les autorités nationales se retrouvent alors vite dans des positions difficiles. Tant qu’aucun dégât n’est causé, la bonne foi de ces derniers leur assure une protection face aux critiques, néanmoins, il paraît important de se réunir et de fixer des règles claires de coopération internationale.
