SINGAPOUR – Une opération internationale, coordonnée à partir du Complexe mondial INTERPOL pour l’innovation (CMII), à Singapour, a été lancée contre le botnet Simda, dont on estime qu’il aurait infecté plus de 770 000 ordinateurs, dans le monde entier.
À la suite d’une série d’actions déployées simultanément aux quatre coins du globe jeudi 9 avril, 10 serveurs de commande et de contrôle ont été saisis aux Pays-Bas et d’autres serveurs neutralisés aux États-Unis, en Russie, au Luxembourg et en Pologne.
Le service de Microsoft chargé de la lutte contre la criminalité numérique a fourni des renseignements techniques à INTERPOL et à d’autres partenaires après la mise en évidence par ses analyses de données massives d’une très forte augmentation du nombre de contaminations par le botnet Simda partout à travers le monde.
Le Centre INTERPOL de lutte contre la criminalité numérique (IDCC) du CMII a collaboré avec les sociétés Microsoft, Kaspersky Lab et Trend Micro ainsi qu’avec l’Institut de cyberdéfense du Japon afin de réaliser des analyses complémentaires qui ont permis de dresser une carte de propagation révélant la diffusion mondiale du botnet et la localisation des serveurs de commande et de contrôle.
Simda était utilisé par des cybermalfaiteurs pour prendre à distance le contrôle d’ordinateurs et pouvoir ainsi voler des données personnelles, notamment des mots de passe donnant accès à des comptes bancaires, et également installer et propager d’autres codes malveillants.
La plupart des utilisateurs ne se rendent pas compte que leur ordinateur a été infecté ; il est donc recommandé de vérifier sa machine et d’exécuter un programme antivirus à large spectre. Microsoft a mis en ligne un outil permettant de nettoyer les ordinateurs contaminés et de restaurer leurs capacités, outil qu’il a également mis à la disposition des centres de veille, d’alerte et de réponse aux attaques informatiques (CERT) et des fournisseurs de services Internet pour que leurs clients puissent nettoyer leurs ordinateurs infectés et pour protéger les utilisateurs.
Actif depuis déjà plusieurs années, Simda a été constamment perfectionné de manière à être en mesure d’exploiter toute vulnérabilité, de nouvelles versions toujours plus difficiles à détecter étant régulièrement générées et diffusées à intervalles de quelques heures. Simda a été utilisé pour commettre des infractions au préjudice de particuliers, d’établissements financiers et de l’Internet lui-même, en captant et en redirigeant le trafic.
Au cours des deux premiers mois de 2015, quelque 90 000 nouvelles contaminations ont été enregistrées sur le seul territoire des États-Unis. Simda s’est répandu dans plus de 190 pays, les États-Unis, le Royaume-Uni, la Turquie, le Canada et la Russie figurant parmi les plus gravement touchés.
« Le succès de cette opération démontre l’utilité et la nécessité des partenariats entre les services chargés de l’application de la loi, aux niveaux national et international, et les entreprises privées pour lutter contre la menace mondiale que constitue la cybercriminalité », a indiqué M. Sanjay Virmani, Directeur de l’IDCC. « Cette opération a porté un coup sérieux au botnet Simda. INTERPOL continuera à aider ses pays membres à protéger leurs citoyens des cybermalfaiteurs et à travailler à la détection des autres nouvelles menaces ».
M. Wilbert Paulissen, chef de la Division centrale des enquêtes criminelles de la police néerlandaise, a déclaré : « Travailler ensemble est d’une extrême importance pour faire face à la cybercriminalité dans le monde entier. On est heureux de voir chacun des partenaires intervenant dans une enquête sur une affaire de cybercriminalité travailler dans le même but : arrêter les responsables et les traduire en justice ».
« Le Complexe mondial INTERPOL pour l’innovation mis en place à Singapour donnera les moyens d’intensifier la lutte contre la cybercriminalité dans le monde entier », a ajouté M. Paulissen.
« Notre action collective et notre coopération dans cette enquête nous ont permis d’agir efficacement contre cette menace constante et en perpétuelle évolution », a affirmé M. Joseph Demarest, Directeur adjoint, Division Cybercriminalité du FBI. « Nous continuerons à travailler aux côtés de nos partenaires internationaux et des services chargés de l’application de la loi des autres pays afin de traquer les cybermalfaiteurs sans relâche et dans le monde entier ».
Le recueil de renseignements est à présent en cours dans le but de parvenir à identifier les créateurs de Simda, qui avaient mis en œuvre un véritable modèle économique pour tirer profit de leurs activités illicites, se faisant payer pour chaque installation de programme malveillant.
Ont participé à l’opération des personnels du service de lutte contre la criminalité liée aux technologies de pointe (NHTCU) de la Police nationale néerlandaise, des agents du FBI des États-Unis, de la section Nouvelles technologies de la Police du Grand-Duché de Luxembourg et du Département « K » de lutte contre la cybercriminalité du ministère de l’Intérieur russe, appuyé par le Bureau central national INTERPOL à Moscou.
Les CERT nationaux et régionaux seront tenus informés des faits nouveaux afin de pouvoir communiquer à leurs partenaires tout élément utile pour réduire les risques.
Microsoft a développé un outil de nettoyage gratuit spécialement conçu pour éliminer Simda. Si votre ordinateur a été infecté par Simda.AT, effectuez une analyse complète de votre environnement au moyen de Microsoft Safety Scanner, Microsoft Security Essentials ou Windows Defender.
Kaspersky Lab a mis en ligne une page dédiée permettant à tout un chacun de vérifier si l’adresse IP de son ordinateur a été détectée comme faisant partie d’un botnet Simda (https://checkip.kaspersky.com).
Des programmes antivirus gratuits sont mis à disposition par :
Kaspersky Lab (http://www.kaspersky.com/security-scan),
Trend Micro (http://housecall.trendmicro.com/), et
l’Institut de cyberdéfense du Japon (http://www.cyberdefense.jp/simda/).
Il est recommandé aux utilisateurs de nettoyer régulièrement leurs ordinateurs, en particulier après avoir découvert une contamination par Simda, car même après élimination de ce dernier, d’autres programmes malveillants peuvent subsister.
Les résultats de l’opération ont été annoncés lors de l’ouverture officielle du Complexe mondial INTERPOL pour l’innovation. Ce centre à la pointe de la technologie offrira aux 190 pays membres de l’organisation internationale de police des installations de recherche et développement pour les aider à détecter les infractions et à identifier leurs auteurs, assurer des formations innovantes, apporter un appui opérationnel et établir des partenariats.