Tic, toc, tic , toc… les jours d’Emotet sont comptés. Mercredi 27 janvier, une coalition de forces de l’ordre menée par Europol a saisi les infrastructures informatiques liées au logiciel malveillant tant redouté. Plus précisément, elle a mis la main sur les serveurs de commande et contrôle (C&C) de l’organisation criminelle.

Ces machines servaient à coordonner les actions du botnet, un ensemble de milliers de machines infectées par Emotet, que les malfaiteurs utilisaient pour lancer des attaques massives. Une fois qu’un appareil était infecté, il signalait au serveur C&C qu’il était disponible, à la recherche de nouvelles instructions.

D’après ZDNet, la police néerlandaise a remplacé deux des trois principaux serveurs de commande et contrôle (C&C) de l’organisation criminelle par des serveurs en sa possession. Le Bleeping Computer relève que la police fédérale allemande (la Bundeskriminalamt ou BKA) a fait de même de son côté de la frontière. Désormais, les appareils compromis par Emotet entrent en contact non plus avec l’infrastructure des cybercriminels, mais avec celle des autorités. Elles peuvent ainsi collecter des preuves contre les malfaiteurs et dresser un inventaire plus précis de la taille du botnet et de son nombre de victimes. Et dans le même temps, Emotet ne peut pas être exploité à des fins malveillantes.

herverony.jpg

Les policiers ont touché Emotet à sa tête, mais pourront-ils s’en débarrasser vraiment ? // Source : Louise Audry pour Numerama

Les forces de l’ordre ont donc pris le contrôle de la tête du botnet, mais elles ne l’ont pas encore supprimé, le temps de pousser leur travail d’enquête. En revanche, elles ont déjà prévu un grand nettoyage. À l’aide des canaux de communication auparavant employés par les cybercriminels, les policiers ont déployé une mise à jour piégée d’Emotet : ils ont placé dans les fichiers un morceau de code destiné à la désinstallation du malware. Une sorte de bouton d’autodestruction, soumis à un compte à rebours. Repéré par plusieurs entreprises de cybersécurité, dont MalwareBytes, le module se déclencherait le 25 avril 2021 à midi. Après cette date, les appareils infectés pour le malware en seront débarrassés.

La fin d’Emotet (ou pas)

Cette date marquera-t-elle la fin d’Emotet ? Les actions menées contre TrickBot en novembre 2020 ont à nouveau rappelé à quel point il était difficile de faire disparaître un botnet. Bien qu’une alliance menée par Microsoft avait mis hors d’état de nuire la quasi-totalité de ses serveurs C&C, TrickBot était de nouveau opérationnel quelques semaines plus tard. L’opération n’a pour autant pas été inutile : elle a diminué les capacités de TrickBot, arrêté temporairement son activité et fragilisé la confiance de ses partenaires. Mais elle n’est pas parvenue à le faire disparaître. Dans le cas d’Emotet, le déploiement du module de suppression peut donner des espoirs supplémentaires. Sans serveur de commande et sans machine infectée, le gang Emotet n’aurait presque aucune base pour se reconstruire.

Par effet domino, la chute d’Emotet — qu’elle soit provisoire ou non — va endommager l’activité d’autres organisations de cybercriminels. Et pour cause : Emotet s’était spécialisée dans la vente d’accès aux réseaux de ses victimes. Des associations de malfaiteurs les achetaient pour déployer à leur tour leur propre malware. Ces dernières années, les gangs TrickBot et Qbot ont ainsi régulièrement employé les canaux ouverts par Emotet, avec pour objectif final d’eux-mêmes ouvrir la porte à des rançongiciels comme ceux de Ryuk ou Egregor. Autrement dit, pour une victime, Emotet était le plus souvent le premier symptôme inquiétant d’une attaque encore plus grave. Et sans lui, les autres organisations criminelles vont devoir repenser leurs méthodes d’infection.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.