peterschreiber.media - stock.ado

Emotet : le monde du notariat concerné à son tour

Chez 3DX Internet, Christophe Dary a repéré une dizaine d’adresses e-mail d’offices notariaux impliquées dans la diffusion d’Emotet, ce cheval de Troie. Les données de TG Soft laissent entrevoir d’éventuels détournements de comptes.

Christophe Dary, fondateur de 3DX Internet, conseille les entreprises dans la mise en œuvre de DMARC, pour renforcer la sécurité des correspondances en authentifiant les messages électroniques à partir du nom de domaine. Aujourd’hui, sur LinkedIn, il alerte : il a observé des malspams diffusant le maliciel Emotet et prétendant venir d’adresses d’offices notariaux. Il ne semble pas être le seul.

Dans les données utilisées par TG Soft pour alimenter son service haveibeenEmotet, on trouve ainsi le nom de domaine notaires.fr observé 94 fois pour l’envoi d’e-mails piégés – à partir de ses serveurs de messagerie – et rien moins que 620 fois en usurpation d’identité. De quoi laisser entrevoir la compromission d’au moins un compte de messagerie.

Les données du service Abuse.ch font ressortir une courte pause des opérateurs d’Emotet sur la première moitié du mois d’octobre. Celle-ci a malheureusement été suivie d’une reprise à des niveaux comparables à ceux de la fin septembre, voire ponctuellement plus élevés.

Il y a bientôt deux mois, c’est le monde de la magistrature qui apparaissait en alerte maximale face à la menace que représente Emotet. Mais début octobre, plus d’une centaine d’e-mails propageant ce cheval de Troie avaient été observés, envoyés depuis les serveurs de messagerie de la collectivité. Il semblait avoir également frappé, avec succès, chez Airbus, Faurecia, Fortinet, Imerys, ou encore Veolia.

Les dernières données de TG Soft, actualisées au 27 octobre, laissent entrevoir que la situation a été maîtrisée au sein de ces entreprises. Pour Veolia, par exemple, le nom de domaine apparaissait 4 fois en émetteur réel au 23 septembre, pour 27 dans le jeu de données actualisé au 29 septembre. Un chiffre stable après les actualisations des 22, 26 et 27 octobre. Autrement dit : il n’y a pas eu de nouvelle observation de malspam Emotet envoyé via les serveurs de messagerie de l’entreprise, depuis l’actualisation du 29 septembre ; une bonne raison de penser que la situation est maîtrisée.

Mais cela ne vaut pas forcément pour la métropole d’Orléans. Fin septembre, son nom de domaine apparaissait 126 fois comme émetteur réel de malspam. Aujourd’hui, ce chiffre a progressé à 178, contre 156 au 22 octobre et 168 au 26, tout cela malgré, donc, la trêve temporaire accordée par les opérateurs d’Emotet.

Toujours début octobre, Bertrand Mallen, de France 3 Centre-Val de Loire, attirait notre attention sur la situation de l’académie d’Orléans-Tours, dont le nom de domaine apparaissait plus de 200 fois comme émetteur réel dans le jeu de données de TG Soft. Là, ce chiffre est passé à 228 dans le jeu de données actualisé au 22 octobre, puis à 234 quatre jours plus tard, et à 247 au 27 octobre.

Ce n’est pas la seule académie concernée : pour celle de Montpellier, le compte d’apparition du nom de domaine comme émetteur réel est passé de 598 au 22 octobre, à 605 au 27. Et le compte progresse, hélas, encore pour l’académie de Rennes, ainsi que les universités Aix-Marseille et Artois. Mais pour le reste des institutions pédagogiques sur lesquelles nous nous étions préalablement penchés, le compte ressort stable, à ce jour.

Pour approfondir sur Menaces, Ransomwares, DDoS