1/ Emotet, un réseau au cœur de la cybercriminalité mondiale
L’opération coordonnée par Europol met à terre l’une des infrastructures de cybercriminalité les plus malveillantes au niveau mondial. S’appuyant sur un réseau de plusieurs dizaines de milliers de machines infectées, ses victimes, grandes entreprises, administrations, services publics, sont partout dans le monde. En France, en septembre 2020, les services de l’Anssi (Agence nationale de la sécurité des systèmes d’information) tirait la sonnette d’alarme et constatait un ciblage d’entreprises et administrations françaises. "Il convient d’y apporter une attention particulière car Emotet est désormais utilisé pour déposer d’autres codes malveillants susceptibles d’impacter fortement l’activité des victimes", avertissaient les services de l’agence.
Au Canada, Emotet serait responsable d'environ 60% des cyberattaques intervenues ces dernières années. Aux Pays-Bas, la police néerlandaise a mis la main sur une base de données personnelles exploitée par le malware et qui comptait près d’un demi-million d’adresses emails volées, associées avec des données sensibles comme des coordonnées bancaires ou des mots de passe.
Active depuis 2014, la plate-forme Emotet agit comme un prestataire de service pour les cybercriminels. Son business model : vendre à des pirates informatiques l’accès à des ordinateurs qu’elle a auparavant infectés pour que ces derniers puissent déployer des ransomwares dans le réseau de leurs victimes, des chevaux de Troie bancaires, ou piller leurs données économiques.
Constituée de plusieurs centaines de serveurs situés à travers le monde, la plate-forme Emotet était extrêmement bien structurée avec une architecture à trois niveaux. En haut de la pyramide, un nombre limité de machines puissantes contrôlent et commandent l’ensemble des opérations. An niveau intermédiaire, des équipements sont chargés de propager et d’injecter le logiciel malveillant à l’ensemble d’un réseau après avoir seulement accédé à quelques machines. Et à la base de l’édifice, des machines infectées sous contrôle.
L’efficacité d’Emotet était redoutable. D’une part, par son mode de propagation. La plate-forme utilisait des courriers électroniques comme vecteurs d’attaque avec des pièces jointes au format Word contenant un lien infecté. "A l’origine, les campagnes de courriels d’hameçonnage lancées par Emotet consistaient à adresser des fausses factures, des fausses informations de livraison ou encore des informations sur la COVID-19", souligne le communiqué de presse de la Police nationale. D’autre part, par sa capacité à leurrer les défenses informatiques. Emotet exploite un logiciel polymorphique capable de modifier son code et ainsi d’échapper à la vigilance des antivirus.
2/ Un cyber coup de filet mondial
"Emotet est sous le contrôle total des forces de l’ordre (…) Nous avons démantelé et pris le contrôle de cette infrastructure. Des enquêtes sont en cours quant à l’identification et l’arrestation de différents acteurs impliqués dans ce phénomène criminel", précise à L’Usine Nouvelle, Claire Georges porte-parole adjointe à Europol, experte des questions de cybersécurité. Pour arriver à un tel résultat, l’opération a nécessité la mobilisation inédite et coordonnée des forces de polices d’une dizaine de pays (les Pays-Bas, l’Allemagne, la France, le Royaume-Uni, la Lituanie, l’Ukraine) mais également des Etats-Unis et du Canada. Europol a coordonné l’activité internationale.
L’opération coup de poing a démarré le 26 janvier à 8H00, heure néerlandaise. Elle est rendue possible car quelques jours auparavant, les enquêteurs avaient réussi à cartographier la centaine de serveurs impliqués et à définir les moyens techniques pour y accéder. L’objectif était alors de prendre de vitesse les criminels afin qu’ils ne puissent pas reconfigurer leur réseau. Dans l’un des centres de commandement d’Europol à la Haye aux Pays-Bas, une vingtaine d’enquêteurs internationaux dépêchés par chacun des pays concernés (déjà sur place depuis trois jours) étaient le jour J en communication permanente avec leurs collègues sur le terrain.
Dans certains cas, les policiers ont directement saisi des machines sur site, dans d’autres cas, ces machines ont été neutralisées "virtuellement grâce à l’appui technique de certains pays", nous a confié Europol. Tout s’est joué en quelques heures. "Vers la fin de la matinée, tous les serveurs étaient saisis et nous avons pu prendre le contrôle total de l’infrastructure", estime Claire Georges d’Europol. Au total, plusieurs centaines de machines ont été rendues inopérantes.
La neutralisation du réseau Emotet est l’aboutissement de deux ans d’enquête afin de localiser les différents serveurs et comprendre leur rôle dans l'organisation globale. L’enquête a été d’autant plus complexe que les criminels changeaient régulièrement l’emplacement de leurs machines pour échapper aux forces de l’ordre. Dans chacun des pays concernés, des dizaines voire des centaines d’enquêteurs numériques ont pu être mobilisés. Comme le processus judiciaire est en cours, Europol ne s’exprime sur les éventuelles arrestations qui ont pu être réalisées au cours de cette opération. Toutefois, les enquêteurs ont bien pour finalité d’identifier, localiser et arrêter les criminels afin de les présenter à la justice.
3/ Une trentaine de machines neutralisées en France
La France a contribué à la chute d’Emotet. Le 26 janvier au matin, les forces de police ont investi quatre sites et mis la main sur une trentaine de machines. Aucun individu n’a été arrêté sur le sol national à ce stade. Dans la foulée, les experts informatiques ont procédé à un travail de désinfection des machines zombies et procédé à l’analyse des serveurs. "D’un point de vue pratique, on escompte trouver des traces qui nous permettront d’élucider et de faire l’attribution d’attaques qui ont été commises par ce vecteur, détecter et mieux cerner des équipes cybercriminels qui utilisent des moyens aussi puissants", confie à L’Usine Nouvelle, Catherine Chambon, sous-directrice de la lutte contre la cybercriminalité à la direction centrale de la police judiciaire. A la tête de cette entité 140 personnes, elle a mobilisé une partie de ses équipes depuis deux ans sur l’enquête Emotet en particulier sa division "anticipation et analyse".
"Non seulement nous avons fait tomber l’infrastructure Emotet mais nous sommes à peu près certains qu’elle aura beaucoup de mal à se reconstruire vu la manière dont nous l’avons démantelée", se félicite la première cyber flic de France. Dans la lutte contre les réseaux criminels, cela s’appelle faire coup double, soit un take down doublé d’un stay down.
Aujourd’hui, les cyber policiers ont sur leurs bureaux plus de 500 dossiers en cours sur des ransomwares dont certains sont directement reliés au réseau Emotet. Les attaques sont de plus en plus ciblées en direction des entreprises aux fortes ressources financières.
