Fin août, la brigade du Centre de lutte contre les criminalités numériques (C3N) a déjoué une cyberattaque d’envergure mondiale. Le virus “Retadup” avait contaminé près de 850 000 ordinateurs à travers le monde notamment en Amérique centrale, du Sud et en France. C’est la société d’antivirus Avast qui a alerté le C3N en mars dernier de la présence d’un serveur infecté hébergé en Ile-de-France. Alliancy s’est entretenu avec Jan Vojtěšek, reverse engineer chez Avast, pour revenir sur cet événement et donner des précisions sur la collaboration entre public et privé dans le domaine de la cybersécurité.

Le propriétaire du virus Retadup – dont l’identité reste inconnue – infectait des ordinateurs par l’intermédiaire de liens cliquables envoyés par e-mail ou bien des clés usb.

Alliancy | Pour le virus Retadup, vous avez notifié directement le C3N de la présence de ce serveur infecté… Est-ce que c’est courant dans l’exercice de votre activité ?

Jan Vojtěšek : Nous ne notifions pas très souvent les services de police sur des serveurs de C&C (Command & Control) malveillants. Cependant, le démantèlement de Retadup montre à quel point la coopération entre l’industrie et les forces de l’ordre peut être très efficace pour lutter contre la cybercriminalité. Par le passé, la plupart des opérations de démantèlement de botnet incluaient des éditeurs d’antivirus offrant une analyse approfondie des logiciels malveillants (malwares) aux forces policières, qui disposaient de l’autorité légale pour procéder au démantèlement. Chez Avast, nous luttons sans relâche contre la cybercriminalité ; et éliminer les serveurs de C&C malveillants est l’un des moyens les plus efficaces de la combattre. Nous serions heureux de pouvoir participer de nouveau à la destruction de botnets et continuerons d’en rechercher activement pour stopper leurs activités à l’avenir.

Est-ce qu’il y a une technologie en particulier qui vous a aidé à détecter le serveur infecté ?

Jan Vojtěšek. Nous avons trouvé le serveur C&C par procédé de rétro-ingénierie sur des échantillons de Retadup. Les cybercriminels à l’origine de Retadup n’ont en aucune manière tenté de dissimuler l’emplacement réel du serveur. Aucun outil spécialisé n’était donc nécessaire.

Nous travaillons sur de nombreux projets afin de continuer d’améliorer notre détection des menaces. Notamment, nous menons actuellement de nombreuses recherches pour améliorer nos algorithmes d’apprentissage automatique (machine learning), conçus pour détecter de nouvelles variantes de programmes malveillants. Nous travaillons également beaucoup à l’amélioration de notre Agent Actions Suspectes dans la suite antivirus d’Avast, qui constitue la dernière couche de défense et permet d’arrêter en temps réel les programmes ayant un comportement malveillant.

Est-ce que vous pensez les États assez équipés pour contrer les cybermenaces ?

Jan Vojtěšek. Les États disposent souvent de beaucoup de ressources qu’ils allouent à la sécurité informatique. Cependant, en raison de sa nature asymétrique, il est souvent plus difficile de se défendre contre toutes les cybermenaces potentielles que de les créer. Le travail des États en ce sens est donc très difficile.

Les éditeurs d’antivirus comme Avast passent beaucoup de temps à analyser les derniers logiciels malveillants. Par conséquent, lorsque nous partageons des informations sur les menaces avec des autorités policières, nous leur facilitons la tâche. Nous avons beaucoup d’expérience avec les logiciels malveillants et nous sommes donc heureux de partager notre expertise dans la lutte contre les cybercriminels. Cependant, nous pensons que les forces de l’ordre sont également bien équipées pour faire face à ces menaces.

En début d’année, Florence Parly parlait de la nécessité d’adopter une « lutte informatique offensive ». Est-ce suffisant ? Pensez-vous que les entreprises ont un rôle à jouer dans cette doctrine LIO ?

Jan Vojtěšek. Se protéger contre toutes les cyberattaques est un travail incroyablement difficile. Nous pensons que la meilleure façon de le faire consiste à analyser les stratégies, les techniques et les procédures des cybercriminels. Lorsque vous savez comment ils fonctionnent, vous pourrez peut-être prévoir leur prochain mouvement et empêcher leur prochaine attaque. Notre priorité absolue est de protéger l’ensemble de nos utilisateurs contre toutes les menaces. Des initiatives, telles que la doctrine LIO, devraient aider les forces gouvernementales à rassembler plus de renseignements sur les hackers et à être plus proactives dans la lutte contre les menaces. Cependant, cette doctrine adresse des priorités différentes des nôtres (en tant que fournisseur de sécurité pour particuliers) et nous ne pensons pas que les entreprises y joueront un rôle important.