Pour gérer vos consentements :
Categories: MalwaresSécurité

Emotet démantelé : le cas juridique des botnets

Quels fondements juridiques pour les démarches qui ont mené à l’extinction d’Emotet ? Après sept ans de carrière, le botnet a officiellement disparu ce dimanche. L’infrastructure qu’on lui connaît ne donne en tout cas plus de signes d’activité. C’est la conséquence d’une « autodestruction » programmée. Les machines infectées avaient effectivement reçu une « bombe à retardement », sous la forme d’une bibliothèque logicielle.

Cette DLL – dont on trouve ici une description technique – leur était parvenue fin janvier. Son origine : des serveurs de commande d’Emotet. Serveurs qui venaient d’être saisis dans le cadre d’une opération de police internationale ayant impliqué une dizaine de pays dont la France.

L’opération avait atteint son point culminant le 26 janvier, avec des perquisitions et des arrestations en Ukraine. Là se trouvait l’épicentre supposé du botnet.

Dans leurs annonces du lendemain, Europol et les différentes parties prenantes n’avaient pas signalé l’envoi de la DLL. On l’avait néanmoins vite découverte. À la suite de quoi le département américain de la Justice (DoJ), entre autres, avait réagi. Il avait, dans les grandes lignes, fait passer le message suivant : des autorités étrangères – allemandes en l’occurrence – ont envoyé du code vers des ordinateurs situés aux États-Unis, mais à partir de serveurs localisés dans leur juridiction. Sans aller plus loin sur les fondements juridiques.

Le DoJ avait apporté une autre précision : le FBI a pu, en accord avec ses homologues, accéder à l’un des serveurs de commande d’Emotet, situé à l’étranger. Guillaume Poupard, le directeur général de l’ANSSI, a récemment évoqué ce cas au Sénat, dans le cadre de discussions sur les ransomwares. Il a rappelé que la France dispose du corpus nécessaire pour autoriser de telles techniques exploratoires, au nom de la « qualification » des menaces.

Emotet : une énième du cyberespace

Il y a quelques semaines s’est présenté, aux États-Unis, un cas de la même teneur que celui d’Emotet. Pas sur la question de l’extraterritorialité, mais sur celle de la manipulation de systèmes informatiques par les forces de l’ordre, sans avertissement des personnes concernées. Le FBI avait en effet pris l’initiative – et obtenu l’autorisation – de se connecter à des serveurs vulnérables aux failles Exchange pour y retirer des backdoors.

La « famille Emotet » avait émergé en 2014. Elle comprend plusieurs variantes du trojan bancaire Feodo, lui-même proche parent de Dridex. Avec les années, l’attribut « cheval de Troie » est resté. Mais avec des capacités élargies allant du piratage de boîtes mail à la propagation au sein des réseaux infectés. Emotet est aussi devenu un support de diffusion d’autres malwares. Notamment TrickBot, lui-même vecteur de propagation du ransomware Ryuk.

Les premières version d’Emotet reposaient sur un script mis en pièce jointe d’e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis. Les sources d’infection se sont progressivement diversifiées, en particulier à travers l’utilisation de macros dans les logiciels de la suite Office.
L’architecture d’Emotet se constituait semble-t-il de trois groupements de serveurs (Epoch 1, 2 et 3). L’opération qu’a coordonnée Europol aurait permis d’en mettre environ 700 hors ligne.

Le DoJ estime que le botnet a réuni plus de 1,6 million de machines entre avril 2020 et la saisie de son infrastructure. Du côté des forces de l’ordre ukrainiennes, on évalue à 2,5 milliards de dollars le montant global des dégâts.

Photo d’illustration © lolloj – Shutterstock

Recent Posts

Arm-NVIDIA : de la Chine aux USA, les barrières se dressent

Aux États-Unis, un nouvel obstacle se dresse face au projet de fusion Arm-NVIDIA. Quelles autres…

2 jours ago

Géolocalisation en entreprise : un suivi proportionné ?

Utilisés dans le cadre professionnel, smartphones et véhicules peuvent être géolocalisés par l'employeur. Qu'en pensent…

2 jours ago

Salesforce : avec Bret Taylor, Marc Benioff prépare sa succession

Promu co-CEO, Bret Taylor pilote avec Marc Benioff le prochain chapitre de Salesforce. Leurs mots…

2 jours ago

Data et cybersécurité : les métiers les plus mouvants du SI ?

Les métiers de la data et de la cybersécurité concentrent une part importante des évolutions…

2 jours ago

Teams Essentials : une réponse à la Commission européenne ?

Microsoft dégaine une offre qui permet d'accéder à Teams indépendamment de sa suite bureautique cloud.…

2 jours ago

« Convergences numériques 2022 » : le Cigref, Numeum et d’autres interpellent les présidentiables

Cigref, Numeum, Cinov, Afnum... L'industrie numérique française sert les rangs pour peser sur les programmes…

3 jours ago