L'agence européenne spécialisée dans la répression de la criminalité a annoncé, mercredi, avoir éliminé le terrible Emotet, qui sévissait depuis 2014 et avait infecté des centaines de milliers de machines dans le monde.
Sans que nous exagérions, c'est un véritable événement dans le monde de la sécurité informatique. Europol a annoncé, mercredi 27 janvier, avoir mis hors d'état de nuire l'un des botnets les puissants et les plus ravageurs de ces dix dernières années : Emotet. Une importante opération mondiale a permis de venir à bout du logiciel malveillant, qui fonctionnait sur le principe de l'envoi par e-mail de liens et de fichiers piégés, dans le but de servir de porte à de nombreux autres malwares. En septembre dernier, l'ANSSI avait alerté le public sur une recrudescence d'activité d'Emotet en France.
Emotet, ce malware redoutable d'efficacité
Pour aboutir à la prise de contrôle de l'infrastructure d'Emotet, il a fallu que huit pays coopèrent, avec une activité internationale ainsi coordonnée par Europol mais aussi Eurojust, l'Agence de l'Union européenne pour la coopération en matière de justice pénale. La France, les États-Unis, le Royaume-Uni et l'Allemagne ont ainsi collaboré avec les Pays-Bas, l'Allemagne, la Lituanie, le Canada et l'Ukraine dans cette enquête.
Depuis qu'il a été repéré comme un cheval de Troie bancaire en 2014, Emotet a beaucoup évolué. Il est devenu un incontournable moyen pour aider les cybercriminels à arriver à leurs fins, au même titre qu'un Ryuk ou un TrickBot, qui eux aussi font régulièrement l'actualité.
Nous le disions, Emotet a tout du principe de base du hameçonnage. Il utilise un botnet éponyme qui lance des campagnes massives de spam et de phishing, souvent très conséquentes en termes de chiffres. Elles consistent en l'envoi de courriers électroniques qui contiennent des liens ou des pièces-jointes piégés, souvent au format Word, et souvent sous forme de facture, d'avis expédition d'un colis ou, plus récemment, d'informations de santé qui concernent la Covid-19. Des leurres très engageants.
Si la victime potentielle ouvre le document ou clique sur le lien, Emotet s'installe tranquillement sur l'appareil. Mais les ennuis ne s'arrêtent pas là.
En monnayant ses accès auprès d'autres cybercriminels, Emotet était aussi craint que dangereux
Une fois cette étape de l'accès sur l'ordinateur franchie, Emotet prend un rôle d'ouvre-porte sur les systèmes informatiques d'une entreprise par exemple, et ce à l'aide de quelques appareils du réseau seulement. Dès que les hackers ouvrent les accès, ils les revendent alors à d'autres groupes de cybercriminels, qui prennent le relais pour mettre en place leur attaque par ransomware, qui consiste à dérober des données stratégiques ou personnelles majeures en attendant le versement éventuel d'une rançon.
Perturber l'infrastructure d'Emotet ne fut pas chose facile, vous vous en doutez. Celle du malware du groupe TA542 était basée sur des centaines de serveurs situés un peu partout dans le monde. Chacun d'entre eux possédait des fonctionnalités différentes qui leur offraient une volatilité imparable : s'occuper des PC infectés, se propager sur d'autres, s'adresser à d'autres groupes de hackers, et ainsi rendre toute interception on ne peut plus compliquée.
L'une des forces d'Emotet est d'être protéiforme. Dès qu'il est appelé, il modifie son code, ce qui le rend toujours plus offensif et, surtout, plus difficilement détectable, la plupart des programmes antivirus étant programmés pour rechercher des codes malveillants connus. Autrement dit, il était très difficile de détecter Emotet en marge de son attaque, ce qui lui permettait de progresser plus facilement, en ayant une sorte de coup d'avance.
L'infrastructure malveillante désintégrée de l'intérieur
Les forces de l'ordre des huit pays précités, dont la police nationale française et le FBI, ont pu prendre le contrôle de l'infrastructure d'Emotet cette semaine et désintégrer le réseau de l'intérieur. Tous les appareils infectés des victimes étaient ainsi redirigés vers l'infrastructure désormais contrôlée par les autorités.
Durant l'enquête, la police nationale néerlandaise (Politie) est parvenue à trouver une base de données propulsée par Emotet, qui comprenait à la fois des noms d'utilisateur, des mots de passe et des adresses électroniques volés dans le cadre des assauts menés par les hackers derrière le botnet. La Politie a mis en ligne une page qui permet de vérifier si son adresse e-mail fait partie de cette base de données. « Veuillez noter que vous ne recevrez un e-mail que si votre adresse électronique est présente dans les données saisies. Vous ne recevrez pas d'e-mail si votre adresse e-mail n'a pas été localisée pendant l'enquête », prévient la police nationale des Pays-Bas.
Que va-t-il se passer désormais, maintenant qu'Emotet est tombé ? Étant donné que l'action répressive a été menée sur l'infrastructure même du malware, il est fort possible qu'Emotet disparaisse définitivement. Mais cela dépendra aussi du sort réservé aux membres du groupe TA542. Si ces derniers sont aussi court-circuités, alors oui, les chances de voir la vie d'Emotet toucher à sa fin seront grandes.
