Directeur de Panda Labs, Luis Corrons a participé de bout en bout à la longue enquête qui a permis à démanteler le botnet Mariposa. Pour France24.com, il nous fait le récit de cette longue traque.
FRANCE 24 - Quand avez-vous entendu parler pour la première fois du botnet Mariposa ?
Luis Corrons - Cela remonte à mai 2009. A cette époque, une société de sécurité informatique canadienne, Defense Intelligence, a découvert qu’un programme malicieux [un "cheval de Troie"] avait transformé l’ordinateur de l’un de leurs clients en bot, ce qui veut dire qu'il pouvait être contrôlé à distance. Leurs responsables nous ont contactés car la piste remontait à un serveur situé en Espagne. Ce serveur s’appelait Mariposa ["papillon" en espagnol].
F24 - Quelles ont été vos premières découvertes sur Mariposa ?
L. C. - Au début, nous pensions avoir affaire à un botnet traditionnel. Nous avons rapidement découvert que ces criminels utilisaient quatre serveurs, situés en Espagne et aux Etats-Unis. Ce qui est normal pour dans ce genre de cas. Comme nous avions en notre possession plusieurs ordinateurs infectés, nous avons pu voir quelles données étaient subtilisées. Là encore, il n’y avait rien d’extraordinaire. Ils utilisaient les ordinateurs zombis pour envoyer des spams publicitaires et récupérer les données bancaires. Ce n’est que plus tard que nous avons découvert qu’ils louaient et avaient même vendu à d’autres cyberpirates une petite partie des accès aux ordinateurs zombis.
F24 - Combien de temps avez-vous mis pour disposer d'une vision d’ensemble de ce réseau ?
L. C. - Nous n’avons eu de vision d’ensemble que lors du dénouement à la fin 2009. Mais il nous a fallu plusieurs mois pour collecter toutes les informations relatives aux serveurs. Quand nous avons su à qui nous avions affaire, il ne restait plus qu’à fermer ces serveurs. Mais pour ce faire, les interventions de la police et de la justice étaient nécessaires. C’est pourquoi nous avons contacté la Guardia civil, en Espagne, et le FBI, aux Etats-Unis.
F24 - Comment avez-vous procédé pour faire fermer les serveurs ?
L. C. - Nous avons arrêté un plan d’action en août 2009. La grande difficulté était de pouvoir fermer tous les serveurs en même temps. Car pour faire fonctionner un tel réseau, un seul serveur suffit. Ils en utilisent plusieurs pour contrecarrer une panne ou une attaque. Pour mettre toutes les chances de notre côté, nous avons décidé d’agir le 23 décembre, deux jours avant Noël, en espérant que les cyberpirates fussent occupés ou en vacances.
F24 - Que s’est-il passé ce 23 décembre ?
L. C. - A 17 heures, nous avons relié les ordinateurs infectés à nos serveurs et non plus à ceux du réseau Mariposa que nous avons fait fermer. Concrètement nous étions devenus le botnet ! Et là, ce fut le choc : nous étions reliés à des millions d’ordinateurs ! Généralement, un botnet est constitué d’une centaine d’ordinateurs…
F24 - Les cybercriminels ont-ils réagi ?
L. C. - Pendant deux jours, oui. Une bataille s'est engagée pour savoir qui allait reprendre le dessus. A un moment, l’un d’entre eux a même réussi à remettre la main sur l’un des serveurs et l’a utilisé pour lancer une contre-attaque. C’est lors ce bras de fer qu’un cyberpirate a fait une erreur fatale. Depuis le début, ils utilisaient des programmes leur garantissant l'anonymat sur la Toile. Mais dans le feu de l’action, l'un d'entre eux a oublié cette précaution et s’est connecté depuis chez lui en toute transparence.
F24 - A ce moment-là, vous connaissiez le nom de l’un des responsables de Mariposa...
L. C. - Nous connaissions seulement son adresse et la Guardia civil a pu l'interpeller chez lui. Lorsque la police est arrivée, il a tenté de tout effacer sur son ordinateur, mais n’a pas réussi. En analysant son disque dur, les enquêteurs ont retrouvé des discussions donnant des informations sur les deux autres Espagnols impliqués dans le réseau. Le 23 février, les trois responsables espagnols étaient arrêtés.
F24 - En sait-on davantage sur ce réseau depuis l'arrestation de ses responsables ?
L. C. - Les trois personnes interpellées ont entre 25 et 31 ans. Ils n'ont pas de connaissances poussées en matière informatique et n'avaient acheté que pour quelques centaines d’euros de programmes malicieux. Il ne leur a fallu que quelques mois pour infecter 12,7 millions d’ordinateurs. Aucun d’entre eux n’avait de travail : ils vivaient uniquement des revenus de ce business. Sur l'un des ordinateurs, nous avons retrouvé les données confidentielles de 800 000 personnes, de leurs codes d'accès à leur messagerie à leur numéro de carte de crédit en passant par le numéro de sécurité sociale.
F24 - Le réseau est-il aujourd'hui complètement démantelé ?
L. C. - La police m’a dit qu’un suspect était encore en liberté, probablement pas en Espagne, mais qu’il devrait être appréhendé dans quelques semaines. En revanche, le créateur du programme malicieux court toujours.