[Alerte vulnérabilité informatique] Infection par le virus Qakbot/Qbot

Si vous avez été redirigé(e) sur cette page par votre fournisseur d’accès à Internet, vous êtes susceptible d’être concerné(e) par l’alerte présentée ci-dessous.

Contexte

Le 26 août 2023, le Bureau fédéral d’enquête américain (FBI) a lancé une opération de démantèlement et de désinfection du réseau malveillant Qakbot, en lien avec les autorités judiciaires allemandes, néerlandaises, britanniques et françaises.

Actif depuis 2008, Qakbot (également appelé Qbot) est à l’origine un cheval de Troie bancaire, c’est-à-dire un programme malveillant (virus) utilisé pour dérober des informations bancaires sur la machine de la victime. Il a ensuite été utilisé pour créer un réseau de machines compromises (ou botnet) et sert régulièrement de point d’entrée pour des cybercriminels dans le réseau informatique de leurs victimes, par exemple pour des attaques par rançongiciel.

Qakbot est généralement distribué par le biais de campagnes d’hameçonnage par courrier électronique.

En France, l’Office Central de Lutte contre la Criminalité liée aux Technologies de l’Information et de la Communication (OCLCTIC) et la section J3 Cybercriminalité du parquet de Paris ont participé à l’opération. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) apporte son soutien à l’opération en participant à l’identification et à la notification des victimes sur le périmètre français.

Pour en savoir plus sur l’opération de démantèlement et déposer plainte, vous pouvez consulter la communication du parquet de Paris à l’adresse suivante : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/victimes-qbot

Votre matériel informatique est potentiellement concerné

Dans le cadre de ses missions de prévention, l’ANSSI* vous informe que l’un de vos équipements a été concerné par une infection par le programme malveillant Qakbot ; ces infections peuvent avoir été détectées il y a plusieurs mois. Seuls des ordinateurs, tablettes et/ou serveurs sous Microsoft Windows sont concernés et des vérifications de ces appareils sont nécessaires. Pour cela :

– Vérifiez que votre antivirus est en état de fonctionnement et à jour ;

– Faites une analyse antivirale approfondie et complète de vos appareils concernés après avoir vérifié qu’aucun composant (dossier, programme…) n’est exclu de l’analyse ;

– Si votre antivirus détecte des logiciels malveillants, il vous proposera de les « mettre en quarantaine », c’est-à-dire de les empêcher d’agir, voire de les supprimer directement lorsque cela est possible ;

– Redémarrez votre appareil après cette opération.

Retrouvez cette procédure en détail ainsi que les recommandations supplémentaires de Cybermalveillance.gouv.fr en cas d’infection par un virus à l’adresse suivante : https://www.cybermalveillance.gouv.fr/tous-nos-contenus/fiches-reflexes/virus-informatiques#victime-virus

Vous avez besoin d’assistance

Si vous êtes un particulier, le dispositif Cybermalveillance.gouv.fr** propose un service en ligne qui peut vous mettre en relation avec un prestataire de service informatique près de chez vous en mesure de vous assister. Voir ici.

Si vous êtes une entreprise, une collectivité ou une association, prenez contact avec votre service informatique ou votre prestataire de service informatique pour vous accompagner dans les démarches à entreprendre.
Si vous n’avez pas encore de prestataire de service informatique, le dispositif Cybermalveillance.gouv.fr propose un service en ligne qui peut vous mettre en relation avec un prestataire de service informatique près de chez vous en mesure de vous assister. Voir ici.

Pour en savoir plus sur ce dispositif d’alerte, vous pouvez consulter la FAQ.