Vous n'avez pas encore de notification

Page d'accueil

Options d'affichage

Abonné

Actualités

Abonné

Des thèmes sont disponibles :

Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !

Le botnet géant Avalanche tombe après quatre ans de coopération internationale

Ensemble, c'est tout
Internet 5 min
Le botnet géant Avalanche tombe après quatre ans de coopération internationale
Crédits : alexaldo/iStock/Thinkstock

Le réseau Avalanche, décrit comme la plus vaste infrastructure de contrôle de malwares, n’est désormais plus. C’est le résultat d’une opération internationale dont les préparatifs ont duré quatre ans. Cinq individus ont été arrêtés, de nombreux serveurs ont été saisis ou désactivés, et certains chiffres donnent la mesure de cet immense botnet.

Le réseau Avalanche – on ne sait pas vraiment d’où vient ce nom – existe depuis 2009. Il s’agit d’une plateforme complète de gestion des malwares, à travers des serveurs de commande et de contrôle (C&C) - un botnet. Il est lié à de nombreuses familles de logiciels malveillants comme Bolek, Citadel, CoreBot, Marcher, Nymain, Ranbuys, TeslaCrypt, Tiny Banker UrlZone ou encore Vawtrak. La liste complète est donnée par l'US-CERT.

Durant les premières années, le réseau a grandi, au point de culminer à environ un demi-million d’ordinateurs infectés. Avalanche était devenu un réseau de distribution de malwares, de spam et autres tentatives de phishing. Au plus fort de son activité, un million d’emails accompagnés de pièces jointes malveillantes étaient ainsi envoyés chaque semaine.

Des machines infectées dans plus de 180 pays

Ce n’est qu’en 2012 que l’affaire prend un nouveau tournant. Comme l’indique le communiqué d’Eurojust (pôle européen de la justice), l’Allemagne s’est penchée cette année-là sur la recrudescence des machines attaquées par un ransomware particulier. Plusieurs millions d’ordinateurs avaient ainsi été bloqués, et l’enquête est remontée jusqu’aux serveurs C&C d’Avalanche.

Une large coopération s’est alors mise en place entre les forces de l’ordre allemandes et anglaises, Europol, Eurojust, le FBI et le bureau du procureur de Pennsylvanie. Cette entente a donné lieu à une enquête qui a duré quatre ans et qui a abouti récemment à une opération de grande envergure. Elle s’est tenue le 30 novembre et a permis de mettre fin au réseau Avalanche.

Cinq personnes ont été arrêtées au terme d’une investigation qui a réclamé la participation d’enquêteurs et de procureurs dans plus de 30 pays. Elle a permis de mettre en évidence des foyers d’infection dans plus de 180 pays. 37 lieux ont été fouillés et 39 serveurs ont été saisis. 221 autres serveurs ont été mis hors ligne via l’envoi de notifications d’abus aux hébergeurs concernés.

Si l'enquête a été particulièrement longue, c'est également parce qu'Avalanche était organisé selon un modèle dit de « double flux rapide » (double fast flux). Avec une telle configuration, l'emplacement du nom de domaine et le serveur de nom (DNS) peuvent changer très rapidement.

Comme l'explique Eurojust, il s'agit d'une technique prisée des botnets, car elle permet une forte résilience face aux techniques d'investigation. Il suffit de changer d'hébergeur ou de registrar pour changer de juridiction. Multiplier ces changements, par exemple chaque jour, permet de rendre le réseau difficile à tracer, surtout pour les forces de l'ordre qui doivent se coordonner avec celles d'autres pays... Ce qui peut prendre habituellement des mois.

Plus de 830 000 noms de domaine mis hors service

Dans son communiqué, Eurojust indique que c’est la plus grande utilisation jamais enregistrée de « sinkholing » (littéralement entonnoir) contre une infrastructure de contrôle des malwares. Cette technique consiste à rediriger le trafic depuis les machines infectées vers des serveurs contrôlés par les forces de l’ordre. En tout, plus de 830 000 domaines ont été saisis, redirigés ou complétement bloqués. Pour mener à bien cette opération, un poste spécial de commandement avait été installé à la Haye, où Europol a son siège.

Durant l’ensemble de l’enquête, les deux instances européennes ont d’ailleurs servi de points de liaison entre toutes les parties. Europol a notamment épaulé les forces de l’ordre allemandes en aidant à l’identification des suspects et en facilitant le transfert des informations entre les agences impliquées. Eurojust, de son côté, a joué le rôle d’agent lubrifiant en accordant les inévitables différences juridiques entre les pays qui auraient pu enrayer la vaste machine.

L'impact financier d'Avalanche est difficile à estimer

Au-delà d’une amélioration notable de la sécurité du Net, la fin d’Avalanche est également celle des retombées financières de tous les malwares impliqués. En Allemagne uniquement, les attaques contre les systèmes bancaires en ligne ont causé plus de 6 millions d’euros de dégâts. Cependant, l’impact global, chiffré à plusieurs centaines de millions d’euros dans le monde, est difficile à chiffrer avec précision tant les malwares impliqués sont nombreux.

Comme le révèle en outre Europol, les malwares étaient accompagnés d'un système élaboré de « mules » dont la mission était de blanchir l'argent récolté frauduleusement. Il était ainsi réinvesti dans l'achat de biens divers, que l'agence ne précise pas.

Un succès incontestable mais...

Le résultat de l’opération est évidemment un immense succès pour les agences impliquées, et plus globalement pour la coopération internationale, l’extinction d’Avalanche prouvant qu’elle est possible en dépit des nombreuses barrières à surmonter.

Et pour l’heure, le temps est aux congratulations. Sir Julian King, commissaire européen à la sécurité de l’Union, a ainsi indiqué : « Avalanche montre que nous ne pouvons être victorieux dans notre combat contre le cybercrime que si nous travaillons ensemble, à travers les divisions et les frontières ». Michèle Coninsx, présidente d’Eurojust ajoute qu’aujourd’hui « marque un moment important dans la lutte contre le cybercrime organisé », tout en prouvant « l’importance pratique et stratégique d’Eurojust dans la promotion de la coopération internationale ».

... la lutte continuera

Il est important de noter que même si l’opération est un franc succès et donnera sans doute à réfléchir à quelques pirates, le phénomène des botnets ne va pas pour autant disparaître. Ce jeu du chat et de la souris est permanent : les techniques évoluent, les enquêtes continueront. Par ailleurs, la disparition d’Avalanche signifie celle de l’infrastructure de contrôle, pas celle des malwares toujours installés sur les machines.

Sur ce point, on signalera en particulier le billet de blog de Shadow Server au sujet de l’opération contre Avalanche, qui se termine par une liste assez exhaustive des outils mis en avant par les éditeurs de solutions de sécurité contre ces familles de logiciels malveillants. On trouve ainsi des utilitaires spécifiques proposés par Avira, BitDefender, ESET, Kaspersky, McAfee ou encore Symantec.

Enfin, précisons que cette opération a été menée en pleine Botconf, une conférence spécialisée en France. Des détails supplémentaires pourraient donc apparaître prochainement.

78 commentaires
Avatar de tpeg5stan Abonné
Avatar de tpeg5stantpeg5stan- 02/12/16 à 16:27:39

Signaler ce commentaire aux modérateurs :

Bravo à Eurojust 

Avatar de GuiJo INpactien
Avatar de GuiJoGuiJo- 02/12/16 à 16:31:30

Signaler ce commentaire aux modérateurs :

Participation de la gendarmerie français à l'opération = zero, trop occupée à la protection de nos "ayants-droit"

Avatar de Obidoub Abonné
Avatar de ObidoubObidoub- 02/12/16 à 16:37:45

Signaler ce commentaire aux modérateurs :

omg enfin une opération utile

Avatar de Timothée INpactien
Avatar de TimothéeTimothée- 02/12/16 à 16:38:56

Signaler ce commentaire aux modérateurs :

Au suivant!

Avatar de picatrix INpactien
Avatar de picatrixpicatrix- 02/12/16 à 16:45:01

Signaler ce commentaire aux modérateurs :

maintenant qu'ils ont saisi les machines qui servaient à commander le botnet, ils vont l'utiliser pour leurs actions de police ?
un peu comme les voitures des trafiquants qui servent à la police.

Avatar de UpByvM_jEBXe3b INpactien
Avatar de UpByvM_jEBXe3bUpByvM_jEBXe3b- 02/12/16 à 16:49:48

Signaler ce commentaire aux modérateurs :

The global effort to take down this network involved the crucial support of prosecutors and investigators from 30 countries. [/QUOTE]
[quote]Countries involved: Armenia, Australia, Austria, Azerbaijan, Belgium, Belize, Bulgaria, Canada, Colombia, Finland, France, Germany, Gibraltar, Hungary, India, Italy, Lithuania, Luxembourg, Moldova, Montenegro, Netherlands, Norway, Poland, Romania, Singapore, Sweden, Taiwan, Ukraine, United Kingdom and United States of America.

Sans oublier qu'Europol et EuroJust sont des agences européennes dont la France est membre et auxquelles elles envoient des agents.

Avatar de totop Abonné
Avatar de totoptotop- 02/12/16 à 16:52:08

Signaler ce commentaire aux modérateurs :

Des fan de Final Fantasy 7 ?

Avatar de latlanh INpactien
Avatar de latlanhlatlanh- 02/12/16 à 16:52:40

Signaler ce commentaire aux modérateurs :

rooooo si tu es réaliste aussi , c'est quand même plus drole un dredi de dire que les gendarme francais feraient mieux de s'attaquer aux botnet et au terroriste qu'à z-t... C'est bien connu que Tout les gendarmes travaillent uniquement sur une affaire a la fois!

Avatar de jackjack2 Abonné
Avatar de jackjack2jackjack2- 02/12/16 à 16:57:47

Signaler ce commentaire aux modérateurs :

Par ailleurs, la disparition d’Avalanche signifie celle de l’infrastructure de contrôle, pas celle des malwares toujours installés sur les machines.

Pour moi ça résume vraiment tout...
Alors oui c'est bien, mais pour moi il n'y a pas assez d'efforts (législatifs surtout) dans la prévention des infections
Mais bon comme d'hab hein, la prévention c'est toujours "le truc cher qui rapporte pas", dans tous les domaines

Avatar de romu79 Abonné
Avatar de romu79romu79- 02/12/16 à 16:59:41

Signaler ce commentaire aux modérateurs :

Les autorités compétentes ont dû commencer à s'en occuper quand quelques pontes du gvt allemand on commencé a voir des popups de ransonware apparaitre sur leur pc du "boulot" (ou celui de leur secrétaires)...

Il n'est plus possible de commenter cette actualité.
Page 1 / 8