Alexander Limbach - stock.adobe.com

Emotet : le monde français de l’éducation dans une situation préoccupante

Les systèmes de messagerie électronique de près de la moitié des académies de l’Hexagone apparaissent détournés par les opérateurs de ce redoutable cheval de Troie.

La France compte 30 académies. Les systèmes de courriel de 14 d’entre elles apparaissent avoir été récemment utilisés pour diffuser le cheval de Troie Emotet, selon les données du service haveibeenEmotet lancé tout début octobre par l’italien TG Soft.

De fait, selon ces données, des e-mails piégés semblent avoir été distribués par les serveurs de messagerie des académies en question, entre le mois d’août et la fin septembre : les noms de domaine correspondant apparaissent plusieurs fois comme « émetteur réel » dans le jeu de données de l’éditeur italien.

Notre confrère Bertrand Mallen, de France 3 Centre-Val de Loire, a attiré plus tôt aujourd’hui notre attention sur l’académie d’Orléans-Tours, dont le nom de domaine apparaît plus de 200 fois comme émetteur réel dans le jeu de données de TG Soft. Mais à cela s’ajoutent les académies d’Amiens, Aix-Marseille, Créteil, Grenoble, Lyon, Montpellier, Nancy-Metz, Nantes, Paris, Rennes, Strasbourg, Toulouse, et Versailles. Le cas de l’académie de Montpellier apparaît particulièrement spectaculaire, avec rien moins que 567 occurrences. L’Agence nationale pour la sécurité des systèmes d’information (Anssi) a été informée.

Les données de haveibeenEmotet donnent une idée de l’intensité avec laquelle les opérateurs d’Emotet ont détourné la messagerie de l'académie de Montpellier.

Dans le secteur public, Orléans Métropole et la communauté de commune Jura Nord semblent ainsi ne représenter qu’une petite part émergée de l’iceberg. La bonne nouvelle est que les opérateurs d’Emotet semblent faire une pause, après un mois de septembre record pour les attaques de ransomware. De quoi, peut-être, donner un peu de temps aux équipes concernées pour procéder aux opérations de nettoyage nécessaires et vérifier leur stratégie défensive.

Selon Check Point, Emotet s’est octroyé la première marche du podium des menaces en France, au mois de septembre, devançant largement les chevaux de Troie Trickbot et Dridex, ainsi que le téléchargeur Valak.

[mise à jour 09/10/2020 @ 11h] En poursuivant nos recherches, dans les données de TG Soft, nous avons trouvé 11 établissements de l'enseignement supérieur dont les systèmes de messagerie électronique apparaissent avoir été récemment détournés pour l'envoi de pourriels piégés avec Emotet. 

Pour approfondir sur Menaces, Ransomwares, DDoS