C'était une grande victoire des autorités contre les cybercriminels : le 27 janvier 2021, une coalition menée par Europol réussissait à démanteler Emotet, le plus actif des "botnets". Ce terme désigne un ensemble de milliers, voire de centaines de milliers dans ce cas, de machines infectées par un malware (logiciel malveillant), que les cybercriminels peuvent contrôler depuis un même centre de commande. Ils s'en servent pour lancer des opérations massives comme des envois de phishings (des courriels piégés, Ndlr) ou des attaques par déni de service, qui consistent à surcharger un site de trafic Internet pour le faire tomber hors ligne.
Le botnet Emotet, lui, déployait aussi un logiciel malveillant du même nom, particulièrement virulent, capable de voler toutes sortes d'informations sur les ordinateurs de ses victimes. Actif pendant près de 6 ans, l'organisation prenait de plus en plus de place dans l'écosystème cybercriminel, et s'était imposée comme l'une des principales menaces pour les entreprises, au point que Europol lui avait attribué le titre officieux de « logiciel malveillant le plus dangereux du monde ». Son démantèlement avait donc offert une trêve grandement espérée aux équipes de sécurité. Mais elle fut de courte durée : selon plusieurs sources repérées par The Record, Emotet tente de reconstruire son botnet à peine 10 mois après le démantèlement. S'il y parvient, il pourrait relancer ses campagnes d'attaques, et redéployer à grande échelle son logiciel malveillant.
Très mauvaise nouvelle pour les entreprises
L'alerte provient du compte Twitter Cryptolaemus, spécialisé dans la veille sur les activités d'Emotet, et alimenté par une vingtaines d'experts. D'après eux, Emotet s'appuie sur une autre organisation cybercriminelle, TrickBot, pour infecter de nouvelles machines et ainsi recréer son botnet. Encore relativement petite, son infrastructure lui a tout de même permis de lancer une première campagne d'emails malveillants, dans la nuit du 15 au 16 novembre.
Cette tentative de retour pourrait surprendre : Europol avait mis la main sur les centaines d'ordinateurs qui servaient de centres de commande au botnet, afin de démanteler l'infrastructure de l'intérieur. Pour garantir sa disparition, les autorités avaient même programmé une désinstallation automatique du malware Emotet sur toutes les machines infectées. Rarement un botnet n'avait été frappé aussi lourdement. En revanche, les forces de l'ordre n'avait pas pu arrêter toutes les têtes de l'organisation.
Si les experts ne s'attendaient pas forcément à un retour, il n'espéraient cependant pas plus qu'un court répit après l'opération policière. Car le marché cybercriminel fonctionne sur les mêmes principes qu'un marché normal : si la demande existe, des acteurs vont l'adresser. La question était plutôt de savoir qui prendrait les parts de marché laissées par Emotet, et si le gang pouvait proposer une nouvelle offre avant qu'un autre acteur ne s'impose.
Emotet avait trouvé ces dernières années une activité particulièrement lucrative : il s'était spécialisé dans l'obtention et la revente d'accès aux réseaux informatiques de ses victimes. Ses principaux acheteurs ? Les gangs de rançongiciel, qui utilisaient l'accès initial fourni par le botnet pour déployer leurs logiciels malveillants capables de paralyser des entreprises pendant plusieurs semaines. Le retour d'Emotet serait donc une double peine pour les entreprises, qui devraient faire face à Emotet lui-même d'une part, et à des attaques de rançongiciel plus nombreuses d'autre part.
Le Qatar pourrait acheter 120 véhicules blindés VBCI fabriqués par KNDS France
Sujets les + commentés