Emotet, présenté par la police comme le « logiciel malveillant le plus dangereux du monde », ne fera plus de mal. Dans un communiqué publié le 27 janvier, Europol vient d’annoncer le succès d’une opération qui a mobilisé les forces de l’ordre de huit pays. Objectif ? Prendre le contrôle de l’infrastructure qui permettait à ce redoutable « botnet » de mener ses activités.
Concrètement, la police a désormais la maîtrise physique d’Emotet. « L’action de cette semaine a permis aux autorités policières et judiciaires de prendre le contrôle de l’infrastructure et de la démanteler de l’intérieur », explique ainsi Europol. Il est ajouté que postes infectés par Emotet sont désormais orientés vers les serveurs contrôlés par les autorités.
Par ailleurs, fait savoir le centre de lutte contre les criminalités numériques de la gendarmerie, la police néerlandaise fournit un outil permettant de vérifier la présence d’une adresse e-mail dans les bases de données d’Emotet. Si c’est le cas, un mail sera envoyé, indiquent les forces de l’ordre locales. Si vous ne recevez rien au bout de quelques minutes, c’est qu’a priori tout va bien.
Pendant longtemps, Emotet aura échappé aux autorités. Il faut dire que ce « botnet » — un terme qui désigne un réseau d’ordinateurs infectés par un virus, pour ensuite les contrôler à distance, souvent à l’insu des propriétaires de ces postes informatiques — s’est complexifié avec le temps. Né en 2014, Emotet visait au départ le secteur bancaire, avant de devenir un outil plus général.
L’annonce d’Europol témoigne de l’ampleur prise par ce malware : son infrastructure comprenait « plusieurs centaines de serveurs situés dans le monde entier, tous dotés de fonctionnalités différentes afin de gérer les ordinateurs des victimes infectées, d’en diffuser de nouveaux, de servir d’autres groupes criminels et, en fin de compte, de rendre le réseau plus résistant aux tentatives de démantèlement. »
La mobilisation importante des forces de l’ordre traduit aussi à quel point Emotet était devenu en quelque sorte l’ennemi public numéro un dans le domaine des botnets, voire de la cybercriminalité en général. Pas moins de huit polices ont été sur le coup, dont celles des États-Unis, du Royaume-Uni, de l’Allemagne, du Canada et de la France, avec la police nationale. Les autorités judiciaires étaient aussi mobilisées.
Comment fonctionnait Emotet ?
Pour se propager et infecter des ordinateurs, Emotet suivait une approche assez standard de prime abord : les assaillants envoyaient des mails contenant des pièces jointes piégées ou des liens frauduleux pointant vers un document tout aussi vérolé pour piéger leurs victimes. Si elles ouvraient le document ou bien cliquaient sur l’URL, c’était fini. Le logiciel malveillant s’installait sur leur poste.
Mais là où Emotet était particulièrement redoutable, c’est qu’il pouvait exploiter d’autres courriers pour générer des hameçonnages pointus, qui reprenaient d’anciens échanges pour tromper la vigilance des destinataires. C’est ce que l’Agence nationale de la sécurité des systèmes d’information relevait, en constatant que l’administration française était aussi en difficulté :
« Les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes. »
De cette façon, les opérations de phishing sont bien plus convaincantes et augmentent significativement les taux de contamination. Les malfaiteurs n’envoyaient pas les faux mails depuis l’adresse comprise, mais l’imitait. Une façon pour eux de rester très discrets et de répéter les usurpations d’identité, sans que les lecteurs malheureux de ces mails piégés ne se rendent compte de quoi que ce soit.
Parmi les autres logiciels malveillants qui profitaient des portes ouvertes par Emotet figuraient des outils pour dérober des données sur les postes informatiques, mais aussi des chevaux de Troie pour réaliser diverses actions nuisibles, ou encore des rançongiciels, ces programmes qui bloquent l’accès à des dossiers et des fichiers et exigent le paiement d’une rançon pour les libérer.
Un botnet prisé
Dernièrement, le nom d’Emotet revenait souvent dans les classements des pires menaces informatiques, mais aussi dans des incidents visant spécifiquement le secteur médical, y compris avant l’émergence de l’épidémie de coronavirus. Cela ne s’est pas arrangé après, puisque l’inquiétude légitime autour de cette nouvelle maladie a aussi servi de vecteur bien commode pour infecter encore plus d’ordinateurs.
Emotet était par ailleurs une portée d’entrée pour d’autres logiciels malveillants, à l’image de TrickBot (un malware qui est allé jusqu’à pousser Microsoft à monter une coalition pour tenter de l’abattre) et Ryuk. Le coup porté à Emotet pourrait provisoirement perturber les activités de ces malwares, le temps du moins que leurs responsables s’adaptent à cette nouvelle donne.
D’ailleurs, le ou les responsables d’Emotet n’ont pas oublié de monnayer les capacités d’Emotet auprès de leurs pairs cybercriminels. Du fait de l’ampleur des ordinateurs qui ont été infectés, de l’ordre de plusieurs milliers, mais aussi de la difficulté à le repérer et à le combattre, Emotet était prisé — en témoignent TrickBot et Ryuk, mais aussi toutes sortes de rançongiciels
Si Europol se satisfait d’avoir réussi à abattre Emotet, l’agence européenne de police criminelle est silencieuse sur l’arrestation de personnes suspectées d’être impliquées dans le pilotage d’Emotet. La neutralisation des responsables constitue un enjeu important, car cela peut déterminer la suite des évènements, avec l’émergence ou non d’un « Emotet 2 », encore plus résilient et insaisissable.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.