chalabala - Fotolia
Europol annonce prudemment la « perturbation » d’Emotet
Ce coup porté à une menace majeure est présenté comme le fruit d’une coopération internationale très large. Il pourrait contribuer fortement, au moins dans un premier temps, à atténuer une autre menace : celle des ransomwares.
Europol vient d’annoncer « la perturbation de l’un des botnets les plus significatifs de la décennie écoulée : Emotet ». Et de préciser, dans un communiqué de presse, que « les enquêteurs ont maintenant pris le contrôle de son infrastructure dans le cadre d’une action internationale coordonnée ». De fait, cette opération a mobilisé les forces de l’ordre en Allemagne, au Canada, aux États-Unis, en France, en Lithuanie, aux Pays-Bas, au Royaume-Uni, et en Ukraine, où des arrestations sont survenues.
Une prise de contrôle en profondeur
Europol explique que les participants à l’opération ont réussi à « faire tomber [l’infrastructure d’Emotet] de l’intérieur. Les machines infectées de victimes ont été redirigées vers cette infrastructure contrôlée par les forces de l’ordre. Il s’agit d’une nouvelle approche, unique, pour perturber effectivement les activités des facilitateurs de la cybercriminalité ». La police ukrainienne décrit de son côté une infrastructure composée de 90 serveurs répartis dans différents pays et aujourd’hui « complètement bloqués ». Elle estime qu’Emotet a causé autour de 2,5 mds $ de dommages « à des banques et institutions financières aux États-Unis et en Europe ».
Selon un chasseur d’Emotet, l’intervention coordonnée des forces de l’ordre a contribué à frapper le botnet en profondeur. Ce mardi 26 janvier, plusieurs chasseurs d’Emotet ont d’ailleurs observé, sans le savoir alors, l’opération en cours. TG Soft relevait ainsi « une mise à jour d’une vieille charge » de l’un des sous-botnets d’Emotet (on parle d’epoch). Avant qu’un chercheur ne constate la même chose sur les trois avec à chaque fois… changement de centre de commande et de contrôle, sur une adresse IP en Allemagne, attribuée à la filiale de Deutsche Telekom, T-Systems.
Un véritable succès
Cette annonce a été très largement saluée et accueillie avec un enthousiasme prononcé par la communauté de la cybersécurité, et en particulier les chasseurs d’Emotet. Il faut dire que ce botnet représentait une menace de grande envergure. Il a notamment été utilisé dans le cadre d’attaques ayant conduit au déploiement du rançongiciel Ryuk. On lui connaît une quinzaine d’attaques en 2020, dont le Danois ISS World, ou Sopra Steria en France, mais également plusieurs établissements de santé outre-Atlantique.
Dans l’Hexagone, Emotet s’est tout particulièrement fait remarquer à la rentrée 2020, avec un véritable coup de tocsin sur le monde de la magistrature. En nous appuyant sur les données de l’Italien TG Soft, éditeur du service haveIbeenEmotet, nous avons pu identifier d’autres organisations ayant été affectées par Emotet : Orléans Métropole, Airbus, Faurecia, Fortinet, Imerys, ou encore Veolia, sans compter plusieurs académies, le monde du notariat, et encore Econocom.
Mais pour combien de temps ?
En fin de semaine dernière encore, selon les données de TG Soft, il y avait un ou plusieurs comptes de messagerie compromis par Emotet aux académies d’Orléans-Tours et de Rennes, à la métropole d’Orléans, ou encore chez les notaires. Mais il convient de souligner que faire la chasse aux comptes de messagerie compromis n’est pas trivial. Cédric Foll, directeur des infrastructures et du support informatique de l’université de Lille, et rédacteur en chef du magazine MISC, nous a d’ailleurs détaillé les contrôles utilisés pour cela.
Mais quelles seront la durée et l’ampleur du répit ? Car si Emotet, associé au groupe TA542, a su largement faire parler de lui, c’était loin d’être la seule menace touchant à la messagerie électronique. Dans ce contexte, il est toujours aussi important de soigner ses enregistrements DNS, et de mettre en place de quoi détecter, puis bloquer, une éventuelle intrusion.