Le 7 septembre dernier, l’Anssi (Agence Nationale de la Sécurité des Systèmes d’information) a publié un bulletin d’alerte contre un ransomware nommé Emotet. Ciblant des administrations publiques ainsi que de grandes sociétés françaises, celui-ci présente un danger pour l’intégrité de leurs informations. Que sait-on de ce logiciel malveillant ? La réponse dans la suite.
Qui se cache derrière le nom « Emotet » ?
Emotet n’est pas un virus comme les autres. Il s’agit d’un trojan apparu pour la première fois en 2014. Frappant principalement par email (il peut envoyer plus de 500 000 emails infectés par jour), il a commencé par s’attaquer aux données de banques autrichiennes et allemandes. Maintenant qu’il s’est répandu, personne n’est à l’abri de ses dégâts (particuliers, entreprises, institutions étatiques, etc.).
Comment fonctionne Emotet ?
Pour infecter ses victimes, Emotet utilise une technique de piratage très connue, mais qu’il est toujours difficile de prévenir : le phishing ! Les initiateurs de l’attaque envoient en masse à leurs victimes potentielles des emails bien structurés, contenant un document en pièce jointe. Ce dernier peut correspondre à une facture ou à un bon de commande bidon.
Une fois le document ouvert, celui-ci fait appel à un script qui parcourt des URL de sites web détournés afin d’importer Emotet dans la machine et l’infecter en masse. Mis à part cela, le virus a prouvé qu’il pouvait également dérober les identifiants et mots de passe des boîtes mails de ses victimes. Ce qui le rend davantage plus dangereux.
Résumant tout cela, l’Anssi a précisé dans son bulletin : « Les attaquants produisent des courriels d’hameçonnage prenant la forme d’une réponse à une chaîne de courriels échangés entre l’employé et des partenaires de l’entité pour laquelle il travaille. L’objet légitime du courriel d’hameçonnage est alors précédé d’un ou plusieurs « Re : », et le courriel lui-même contient l’historique d’une discussion, voire même des pièces jointes légitimes ».
Qu’est-ce qui a poussé l’Anssi à réagir ?
Si l’Anssi a décidé de lancer une alerte durant la première semaine de septembre 2020, c’est parce que plusieurs institutions françaises ont été victimes d’attaques cybernétiques. Parmi ces organisations, nous retrouvons le tribunal de Paris dont certains magistrats ont été contraints de reporter le traitement des affaires qui leur sont confiées.
Aude Buresi, la juge d’instruction au pôle national financier a elle aussi été victime de ces multiples attaques. Pour ceux qui ne connaissent pas cette juriste, sachez que c’est à elle que sont confiées des affaires sensibles d’Etat comme celles de la Lybie où l’ex-président Nicolas Sarkozy est impliqué.
N’étant pas en reste, le ministère de l’Intérieur a lui aussi déclaré avoir fait face à une campagne de phishing. Pour en atténuer les effets, plus aucun collaborateur travaillant au ministère n’a le droit d’ouvrir un document au format .Doc.
Reste à savoir que l’enquête en cours n’a toujours pas pu faire le lien entre la réapparition de Emotet et les attaques de Phishing dont des institutions juridiques à Paris ont étés victimes. Dans son bulletin, l’Anssi s’est contenté de détailler les mesures à adopter pour se prémunir contre tout type d’attaques informatiques. Elle s’est également dite prête à apporter son soutien aux victimes et à intervenir si cela s’avérait nécessaire.