Publié le 24 février 2021 à 14h32

Le démantèlement d’Emotet n’est qu’un répit de courte durée

Temps de lecture : 3 min

Le 27 janvier 2021, Europol annonçait une nouvelle réjouissante pour de nombreux responsables de sécurité informatique aux quatre coins du monde. Les forces de l’ordre étaient parvenues à démanteler l’infrastructure d’Emotet, un groupe à l’origine de milliers de cyberattaques. Plus précisément, les polices de différents pays européens ont saisi les serveurs de commande et contrôle (C&C) qui permettaient aux cybercriminels de contrôler leur botnet, l’ensemble de milliers de machines infectées utilisé pour lancer les campagnes d’attaques.

Avec cette confiscation, les malfrats se sont retrouvés désarmés, et leur situation ne devrait pas s’arranger : les autorités ont aussi prévu l’effacement automatique de leur malware sur tous les appareils contaminés. « C’était le groupe le plus actif, le numéro 1, donc c’est sûr que ça va nous faire une pause », soufflait David Kopp, responsable de l’équipe de réponse aux menaces de Trend Micro avec qui Cyberguerre s’est entretenu début février.

Emotet parvient-il à ressurgir ? // Source : Louise Audry pour Numerama

Mais ce dernier, qui œuvre dans le secteur depuis plus de 20 ans, ne se faisait pas d’illusion : « C’est certain que les opérations vont être stoppées un certain temps… et c’est certain que d’autres vont reprendre le même type d’opérations d’ici la fin de l’année. Ce milieu fonctionne comme celui des vendeurs de drogues : lorsque la police démantèle un réseau, un autre va prendre sa place. »

Cette vision de la situation, presque déprimante, est partagée par de nombreux experts du secteur. Ils savent que s’ils trouvent leur gagne-pain dans la protection des entreprises, leurs opposants le trouvent dans les attaques contre les entreprises. Récemment, un hacker russe confiait à l’équipe de cybersécurité de Cisco qu’il s’était tourné vers la cybercriminalité, car il y trouvait des gains nettement plus importants que de l’autre côté de l’échiquier. Il précisait même (de bonne foi ou non) que s’il habitait en occident, où les salaires sont plus élevés dans la cybersécurité, il reconsidèrerait son choix de carrière.

La cybercriminalité fonctionne comme n’importe quel marché

Pour comprendre les associations de cybercriminels, il faut comprendre qu’elles fonctionnent comme des entreprises. De nombreux malfrats vont à leur « travail » comme si c’était un emploi comme un autre. Et ils considèrent que la revente de données et l’extorsion d’argent sont des marchés parmi d’autres. C’est tout le problème : avec l’explosion des rançongiciels, les malfrats amassent des sommes en dizaines de millions de dollars, et l’attractivité du marché bondit.

Ces gains gigantesques permettent aux gangs de recruter de meilleurs hackers, et d’investir dans du matériel de meilleure qualité, pour étendre leur activité. Et comme dans tout marché, la concurrence fait rage pour obtenir les meilleures ressources, sauf qu’elle ne se plie à aucune règle. Au début du mois, Egregor subissait une opération des forces de l’ordre peu après qu’un gang rival, Revil, a publié des informations sur ses membres.

« On peut comparer le démantèlement de l’infrastructure d’Emotet à l’arrêt de la chaîne de production d’une entreprise normale. Les cybercriminels vont devoir faire face à la question de résilience, et se confronter aux mêmes problématiques que celles auxquelles se confrontent leurs victimes », évalue David Kopp. Les opérateurs d’Emotet ont un business et une place de numéro 1 à maintenir : la question est de savoir s’ils parviendront à relancer leur « production » (l’obtention d’accès à des systèmes informatiques qu’ils revendent à d’autres gangs) ou si un concurrent s’engouffrera pour mettre main sur leurs parts de marché.

La balance entre la survie d’Emotet et son remplacement par un autre gang pourrait tenir à un point sur lequel Europol n’a que très peu communiqué : l’arrestation, ou non, de ses membres les plus importants. On ne sait ni le nombre d’arrestations ni qui a été arrêté. « Même si l’infrastructure est tombée, si les cybercriminels ne sont pas arrêtés, ils vont simplement se déporter sur une autre infrastructure » prévoit l’expert de Trend Micro.

C’est ce qui s’est passé fin 2020, après le démantèlement d’un autre botnet, TrickBot, par une coalition d’entreprises menée par Microsoft. Bien que 94% des serveurs de commandes aient été saisis, le botnet a ressurgi quelques semaines plus tard, avec une autre infrastructure. Et le gang a déjà mis en place de nouvelles attaques début 2021. En revanche, si les responsables d’Emotet sont également arrêtés, alors il existe peu de chance que l’organisation ressurgisse. « Mais tant qu’il y aura de l’argent à gagner, d’autres cybercriminels reviendront », conclut David Kopp.