🔴 Soldes d'été : jusqu'à - 50% sur le high-tech 🔴 Soldes d'été : jusqu'à - 50% sur le high-tech

Emotet, le malware le plus dangereux au monde, démantelé par Europol

28 janvier 2021 à 10h18
6
malware © shutterstock.com
© shutterstock.com

L'agence européenne spécialisée dans la répression de la criminalité a annoncé, mercredi, avoir éliminé le terrible Emotet, qui sévissait depuis 2014 et avait infecté des centaines de milliers de machines dans le monde.

Sans que nous exagérions, c'est un véritable événement dans le monde de la sécurité informatique. Europol a annoncé, mercredi 27 janvier, avoir mis hors d'état de nuire l'un des botnets les puissants et les plus ravageurs de ces dix dernières années : Emotet. Une importante opération mondiale a permis de venir à bout du logiciel malveillant, qui fonctionnait sur le principe de l'envoi par e-mail de liens et de fichiers piégés, dans le but de servir de porte à de nombreux autres malwares. En septembre dernier, l'ANSSI avait alerté le public sur une recrudescence d'activité d'Emotet en France.

Emotet, ce malware redoutable d'efficacité

Pour aboutir à la prise de contrôle de l'infrastructure d'Emotet, il a fallu que huit pays coopèrent, avec une activité internationale ainsi coordonnée par Europol mais aussi Eurojust, l'Agence de l'Union européenne pour la coopération en matière de justice pénale. La France, les États-Unis, le Royaume-Uni et l'Allemagne ont ainsi collaboré avec les Pays-Bas, l'Allemagne, la Lituanie, le Canada et l'Ukraine dans cette enquête.

Depuis qu'il a été repéré comme un cheval de Troie bancaire en 2014, Emotet a beaucoup évolué. Il est devenu un incontournable moyen pour aider les cybercriminels à arriver à leurs fins, au même titre qu'un Ryuk ou un TrickBot, qui eux aussi font régulièrement l'actualité.

Nous le disions, Emotet a tout du principe de base du hameçonnage. Il utilise un botnet éponyme qui lance des campagnes massives de spam et de phishing, souvent très conséquentes en termes de chiffres. Elles consistent en l'envoi de courriers électroniques qui contiennent des liens ou des pièces-jointes piégés, souvent au format Word, et souvent sous forme de facture, d'avis expédition d'un colis ou, plus récemment, d'informations de santé qui concernent la Covid-19. Des leurres très engageants.

Si la victime potentielle ouvre le document ou clique sur le lien, Emotet s'installe tranquillement sur l'appareil. Mais les ennuis ne s'arrêtent pas là.

En monnayant ses accès auprès d'autres cybercriminels, Emotet était aussi craint que dangereux

Une fois cette étape de l'accès sur l'ordinateur franchie, Emotet prend un rôle d'ouvre-porte sur les systèmes informatiques d'une entreprise par exemple, et ce à l'aide de quelques appareils du réseau seulement. Dès que les hackers ouvrent les accès, ils les revendent alors à d'autres groupes de cybercriminels, qui prennent le relais pour mettre en place leur attaque par ransomware, qui consiste à dérober des données stratégiques ou personnelles majeures en attendant le versement éventuel d'une rançon.

Perturber l'infrastructure d'Emotet ne fut pas chose facile, vous vous en doutez. Celle du malware du groupe TA542 était basée sur des centaines de serveurs situés un peu partout dans le monde. Chacun d'entre eux possédait des fonctionnalités différentes qui leur offraient une volatilité imparable : s'occuper des PC infectés, se propager sur d'autres, s'adresser à d'autres groupes de hackers, et ainsi rendre toute interception on ne peut plus compliquée.

L'une des forces d'Emotet est d'être protéiforme. Dès qu'il est appelé, il modifie son code, ce qui le rend toujours plus offensif et, surtout, plus difficilement détectable, la plupart des programmes antivirus étant programmés pour rechercher des codes malveillants connus. Autrement dit, il était très difficile de détecter Emotet en marge de son attaque, ce qui lui permettait de progresser plus facilement, en ayant une sorte de coup d'avance.

L'infrastructure malveillante désintégrée de l'intérieur

Les forces de l'ordre des huit pays précités, dont la police nationale française et le FBI, ont pu prendre le contrôle de l'infrastructure d'Emotet cette semaine et désintégrer le réseau de l'intérieur. Tous les appareils infectés des victimes étaient ainsi redirigés vers l'infrastructure désormais contrôlée par les autorités.

Durant l'enquête, la police nationale néerlandaise (Politie) est parvenue à trouver une base de données propulsée par Emotet, qui comprenait à la fois des noms d'utilisateur, des mots de passe et des adresses électroniques volés dans le cadre des assauts menés par les hackers derrière le botnet. La Politie a mis en ligne une page qui permet de vérifier si son adresse e-mail fait partie de cette base de données. « Veuillez noter que vous ne recevrez un e-mail que si votre adresse électronique est présente dans les données saisies. Vous ne recevrez pas d'e-mail si votre adresse e-mail n'a pas été localisée pendant l'enquête », prévient la police nationale des Pays-Bas.

Que va-t-il se passer désormais, maintenant qu'Emotet est tombé ? Étant donné que l'action répressive a été menée sur l'infrastructure même du malware, il est fort possible qu'Emotet disparaisse définitivement. Mais cela dépendra aussi du sort réservé aux membres du groupe TA542. Si ces derniers sont aussi court-circuités, alors oui, les chances de voir la vie d'Emotet toucher à sa fin seront grandes.

Emotet Infographie © Europol
© Europol
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
6
7
maxxous59
Mes adresses son safe, j’avais pas trop d’inquiétudes mais une vérification ne fait pas de mal.
nicgrover
Et les enfoirés derrière tout ça ? On leur a coupé les cou… le courant ?
keyplus
une bonne nouvelle
leaskim
Dommage, on ne peut pas vérifier un domaine entier.
promeneur001
Je ne comprends pas. On nous explique que les ransomwares et autres utilisent des courriels piégés. Or basiquement un anti-virus surveille n’importe quel fichier à son ouverture avant de donner la main à l’application. Donc soit aucun antivirus n’est installé soit l’antivirus ne surveille pas l’ouverture des fichiers. Dans les deux cas le service informatique ne fait pas son travail.
loloaml
Comme quoi, quand ils veulent s’en donner la peine, ils peuvent nettoyer…
Voir tous les messages sur le forum

Actualités du moment

L'opérateur RED by SFR casse les prix sur ses forfaits 4G sans engagement
DJI lance Care Refresh : un service pour assurer caméras et drones de la marque
Intel met un demi-milliard de dollars sur la table au Vietnam pour améliorer sa production de puces 5G
Nouvelle baisse de prix pour le Huawei P30 Pro 128 Go pour les Soldes
Après Facebook, Google explique les conséquences de la politique de vie privée d'Apple
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Mini critique Truth Seekers (S01)
Mini critique The Mandalorian (S02E01)
Mini critique Moonbase 8 (S01E01)
Mini critique WandaVision (S01E01E02)
Haut de page