Dimanche 25 avril 2021 était le jour de l’auto-destruction d’Emotet, le « malware le plus dangereux du monde », dixit Europol.  Fin janvier, le travail d’une coalition internationale de 8 pays, avec en fer de lance les polices allemande et néerlandaise, avait permis de saisir les principaux serveurs de commande et contrôle du gang Emotet. Autrement dit, les autorités avaient pris le contrôle des manettes de pilotage du botnet, un ensemble de millions d’appareils infectés que le gang pouvait mobiliser dans des campagnes de phishing, entre autres actes malveillants. Il était temps : créé en 2014, Emotet gagnait sans cesse en puissance. Il s’était converti dans la vente d’accès aux réseaux informatiques de ses victimes, qu’il monnayait aux terribles gangs rançongiciels.

Pendant les 3 mois qui ont séparé la saisie des serveurs et la destruction d’Emotet, les autorités ont profité de leur mainmise pour collecter des preuves sur l’activité des cybercriminels. Mais dès le début, elles avaient prévu l’après-enquête. Les forces de l’ordre ont développé un script, déposé sur chaque appareil infecté, dans l’objectif de désinstaller toute trace d’Emotet. Le dimanche 25 avril était peut-être le dernier jour du plus célèbre des botnets, même si le précédent Trickbot a prouvé qu’il était difficile de les enterrer à jamais.

Image d'erreur

Have I Been Pwned reçoit des données envoyées par le FBI lui-même. // Source : Louise Audry pour Numerama

La désinstallation n’est pas la seule mesure anticipée par les forces de l’ordre. Elles ont aussi prévu un moyen d’avertir les victimes du botnet, qui s’appuie entièrement sur la structure privée de Have I Been Pwned. L’Australien Troy Hunt, fondateur et unique gestionnaire du site, a annoncé l’indexation d’adresses email issues de l’enquête dans un billet de blog du 27 avril.

Concrètement, le FBI et ses partenaires lui ont fourni une gigantesque base de données provenant de l’enquête sur Emotet. Dans le détail, elle contient 4 324 770 adresses email, issues de deux jeux de données constitués séparément. Le premier jeu contenait les identifiants des adresses email en question, et les malfaiteurs s’en servaient pour envoyer des emails de spam depuis l’adresse des victimes. Le second jeu contient toutes sortes d’identifiants collectés depuis des navigateurs infectés, qui servaient de porte d’entrée sur différents services.

Le FBI communique des données volées à un site tiers

Have I Been Pwned (HIBP) a une place étrange dans l’écosystème de la cybersécurité. Ce site accumule des centaines de fuites de données pour permettre aux visiteurs de savoir (gratuitement) si leur adresse email — et dans des cas exceptionnels, leur numéro de téléphone — fait partie d’une ou plusieurs fuites. HIBP ne donne pas le détail des données qui accompagnent l’adresse email, mais il offre un ou deux paragraphes d’information sur chaque fuite dont elle fait partie. Les données d’Emotet ont été classées comme « sensibles » par Troy Hunt, et il faudra que le propriétaire de l’adresse email clique sur un lien reçu à son adresse pour accéder au résultat de la recherche. Ainsi, lui seul pourra obtenir l’information.

Si la place de Have I Been Pwend est étrange, c’est parce qu’il stocke des données personnelles, obtenues de manière illégale, que des contributeurs lui ont envoyées. Mais puisqu’il s’en sert pour faire de la prévention auprès des victimes depuis 7 ans, les autorités le tolèrent, bien que son activité ne soit pas vraiment compatible avec certains textes de loi comme le règlement général européen sur la protection des données (RGPD). Troy Hunt, fondateur et gestionnaire unique du site ne cache pas que ses bonnes relations avec les autorités des différents pays lui ont permis de pérenniser son site d’utilité publique. Résultat : à Cyberguerre, il expliquait ne jamais avoir été inquiété par les régulateurs.

Non seulement le FBI et ses équivalents ne le voient pas comme une menace, mais elles le voient même comme un allié, avec pour preuve ce transfert des données des victimes d’Emotet. Il faut dire qu’il n’existe pas d’alternative publique à son site, et les autorités ne semblent pas en chercher. Elles font donc confiance à un homme seul pour traiter ces données inédites, qui ne circulent pas massivement sur les réseaux de cybercriminels. Certes, Troy Hunt a fait preuve de transparence et de sérieux au cours des années, mais la confiance qui lui est accordée est exceptionnelle.

Dans son blog, l’Australien rappelle qu’il a déjà travaillé une première fois avec les forces de l’ordre. Mais c’était avec la police estonienne, pour un événement d’une tout autre ampleur que le démantèlement d’Emotet. Cette affaire inédite va-t-elle servir de base à d’autres collaborations ?

une comparateur meilleur vpn numerama

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.