Nous sommes en mai 2025, et le botnet DanaBot, l’un des réseaux de cybercriminalité les plus traqués des dernières années, est démantelé lors d’une opération internationale d’envergure menée entre autres par Europol, et plusieurs partenaires privés et publics.
Ce n’est qu’un mois plus tard, avec la parution d’un rapport de Zscaler le 9 juin 2025, que l’on découvre l’une des raisons majeures de ce succès : une erreur de programmation, introduite lors d’une mise à jour du malware en 2022. Baptisé « Danableed », ce faux pas a permis aux chercheurs de hacker les hackers, et ce pendant trois ans. Explications.
Danabot, c’est qui ? C’est quoi ?
Pour bien saisir l’ampleur de l’affaire, il faut comprendre le fonctionnement de DanaBot. DanaBot est ce qu’on appelle un botnet : un vaste réseau composé de milliers d’ordinateurs ou d’appareils connectés à Internet, infectés à l’insu de leurs propriétaires. Une fois contaminés, ces appareils deviennent de véritables « zombies » contrôlés à distance par des cybercriminels.
Apparu en 2018, DanaBot s’est rapidement imposé comme l’un des botnets les plus sophistiqués du paysage cybercriminel. Proposé à la location sur des plateformes du darkweb, il fonctionnait selon un modèle de « Malware as a Service » : n’importe quel groupe de pirates pouvait louer l’outil pour lancer ses propres campagnes d’attaques. L’objectif principal de DanaBot était de voler des identifiants bancaires et d’autres données sensibles, en se propageant massivement grâce à des campagnes de phishing.
Une faille technique fatale pour les cybercriminels
Le point faible de DanaBot, exploité par les enquêteurs, résidait dans ses serveurs de C&C (pour Command & Control). Ces serveurs sont le centre névralgique d’un botnet : c’est par eux que les pirates envoient des instructions aux machines infectées et récupèrent les données volées.
Or, à cause de la fameuse faille « Danableed » introduite dans une mise à jour en 2022, chaque fois qu’un appareil compromis communiquait avec un serveur C&C, ce dernier renvoyait par erreur un morceau de sa propre mémoire. À chaque échange, jusqu’à 1 792 octets de données internes pouvaient ainsi être divulgués. Ces fragments contenaient parfois des informations critiques : adresses IP de victimes, identifiants volés, extraits de bases de données, voire des morceaux de code et des messages internes du groupe.
Un démantèlement rendu possible par la fuite de données
Pendant près de trois ans, les chercheurs ont surveillé attentivement le trafic de Danabot et récolté au compte goutte des informations sur le réseau cybercriminel. Grâce à ce minutieux travail de cartographie, les experts ont pu mesurer l’ampleur de l’opération : plus de 300 000 machines infectées à travers le monde et des centaines de serveurs répartis dans une douzaine de pays.
Toutes ces informations ont été transmises aux autorités, permettant l’operation « Endgame », qui a mis fin à l’activité de DanaBot. Seize membres du réseau ont été arrêtés et l’infrastructure du botnet a été neutralisée. D’après les autorités américaines, les dommages causés par Danabot, sur leurs sept ans d’activité, sont estimés à plus de 50 millions de dollars à l’échelle mondiale.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Marre des réseaux sociaux ? Rejoignez la communauté Numerama sur WhatsApp !
