En janvier 2021, la neutralisation de l’un des réseaux les plus malveillants au monde avait été saluée de toutes parts. Après plus de deux ans d’enquête, Europol avait coordonné une opération inédite, marquée par la collaboration de plusieurs pays dont la France : la mise hors d’usage d’une infrastructure dispersée à travers le monde et deux arrestations revendiquées par l'Ukraine. Mais la victoire n’a été que temporaire. Depuis le 14 novembre, des traces d’Emotet ont été relevées. Le logiciel malveillant a été remis sur pied, alertent les experts.
De quoi signer un aveu d’échec pour la lutte contre la cybercriminalité ? Non, bien au contraire. « Le retour d’Emotet ne change pas le fait qu’en le démantelant une première fois, les autorités ont démontré leurs capacités à contrecarrer ces groupes de cybercriminels, estime Nicolas Quintin, analyste en Cyber Threat Intelligence chez Thales. Elles ont fait mal à l’écosystème et ont permis aux entreprises d’être moins sous pression pendant presque un an. »
Selon Nicolas Quintin, le fait qu’Emotet soit de retour témoigne du fait que ses partenaires étaient plus faibles sans lui. Car le groupe derrière le logiciel fonctionnait de manière très organisée avec deux autres groupes, qui avaient chacun leur outil. « La cybercriminalité est très organisée aujourd’hui, avec une division technique du travail. A l’époque, les opérateurs d’Emotet se chargeaient d’infecter les machines, puis le logiciel déployait le cheval de Troie Trickbot, qui se chargeait ensuite d’ouvrir la voie au ransomware Conti. Aujourd’hui, les trois fonctionnent à nouveau ensemble, avec une inversion des rôles puisque c’est Trickbot qui télécharge désormais Emotet. »
Tirer de précieux enseignements
De quoi faire l’hypothèse que les groupes derrière Trickbot et Conti ont aidé à remettre Emotet sur pied. « Il semblerait que les autres malwares avaient besoin d’Emotet pour fonctionner et rester compétitif sur le marché du ransomware », analyse Nicolas Quintin.
Pour l’instant, Emotet n’est pas aussi puissant qu’avant son démantèlement. Pour Loic Guezo, directeur stratégie chez Proofpoint, cette renaissance progressive peut être riche d’enseignements. « Le retour d’Emotet est une étape incontournable dans la compréhension des dispositifs cybercriminels. On peut encore suivre de très près comment le logiciel réémerge, pour comprendre comment il se recrée et anticiper le prochain dispositif de lutte contre cybercriminalité. » Des nouvelles étapes attendent donc les forces de police, mais aussi les entreprises, qui vont devoir renforcer leur vigilance et leur défense.
