Comment Emotet, le logiciel malveillant le plus dangereux au monde, a été démantelé

C'est une opération qui a nécessité une longue préparation et une parfaite coordination entre les différents États qui luttent depuis des années contre Emotet, qualifié de logiciel malveillant "le plus dangereux au monde". Cette semaine, Europol a annoncé le démantèlement de l'infrastructure dont le contrôle a été pris par les autorités de huit pays dont la France, les États-Unis, le Royaume-Uni ou encore l’Allemagne.

Emotet a été lancé en 2014 avec pour objectif, en infectant des centaines de milliers d'ordinateurs dans le monde, de réclamer une rançon en échange de la restitution du contrôle et des données de la machine. Son démantèlement est une victoire et une véritable avancée pour les acteurs de la lutte contre la cybercriminalité, comme l'explique à BFMTV.com Catherine Chambon, la sous-directrice de la lutte contre la cybercriminalité à la Direction centrale de police judiciaire. En France, 32 serveurs appartenant à ce réseau ont été localisés et neutralisés, de quoi faire avancer les enquêtes menées sous la section J3 du parquet de Paris.

· BFMTV.com: Concrètement, comment fonctionnait Emotet?

CATHERINE CHAMBON: "Emotet, c'est un ouvreur de portes. C’est un outil de cybercriminalité utilisé pour déployer des outils malveillants et obtenir à l’issue d’un chiffrement de données, qu’on appelle ransomware (ou rancongiciel), le paiement d’une rançon pour débloquer et déchiffrer les données qui auraient été compromises. Il se diffuse par voie de campagne de hameçonnage, par des envois de mails massifs, des fichiers Word souvent ou des liens qui portent des formes tout à fait anodines, ce qui peut tromper la vigilance de la victime. En cliquant sur ces liens, la machine va être infectée, et va se retrouver dans une situation de compromission, avec, ou pas, des injections de logiciels malveillants. Si des logiciels malveillants ne sont pas implantés, c’est à ce moment-là une machine, qui est contrôlée par les cybercriminels et qui participe sans le savoir à un réseau qu’on appelle un réseau zombie".

· En France, quelle a été la nuisance d'Emotet?

"La sous-direction de la lutte contre la cybercriminalité travaille sur des attaques commises par le biais d’Emotet sur des entreprises. Très ponctuellement, ça peut être des machines de particuliers qui peuvent avoir été compromises. Mais pour avoir un réseau zombie, ce qui compte au départ, c’est la capacité à générer une puissance de tir qui part des machines zombie. Dans nos enquêtes, nous prenons en compte la recherche du profit, avec les rançongiciels notamment, ou l’exfiltration de données qui peuvent être extrêmement sensibles dans certaines entreprises. Ces données représentent un patrimoine immatériel de grande valeur, qui peut être négocié par la suite sur des marchés parallèles, comme pour de l'espionnage".

· Peut-on évaluer le préjudice causé par Emotet?

"Le préjudice est très difficile à évaluer. C’est difficile de recenser toutes les victimes qui auraient payé aux équipes cybercriminelles une rançon, combien elles sont et combien elles ont payées. Nous n'avons pas de visibilité complète de la nuisance réelle de cet outil et de la propension que les entreprises ont, on le conçoit même si ce n’est pas le bon réflexe, de payer la rançon pour remettre le plus vite en marche leur capacité de travail".

Mais quand vous avez une entreprise mise à plat parce qu’elle a subi un ransomware, qu’elle a perdu ses capacités de production, ça dépasse largement le financier.

· Comment la sous-direction de la lutte contre la cybercriminalité a travaillé et travaille sur ces enquêtes?

"Nous avons travaillé à partir de victimes qui ont vu leurs données chiffrées, donc à partir des plaintes dont nous sommes saisis par le parquet de Paris. Il faut ensuite identifier des IP (des adresses, NDLR), vérifier leur toxicité et remonter sur ces IP pour localiser et cartographier les serveurs et les machines compromises. C'est un travail de longue haleine qui nécessite des compétences techniques très particulières. Il s’appuie chez nous à la fois sur des enquêteurs, car ça reste une procédure judiciaire, il faut arrêter des criminels, et en même temps sur le Centre de réponse à incidents de la police judiciaire (CSIRT-PJ), qui a des compétences techniques beaucoup plus élaborées et peut travailler en profondeur sur les aspects des IP et de l'environnement technique d’Emotet".

· Depuis six ans, Emotet a contaminé des centaines de milliers d'ordinateurs, pourquoi cela a-t-il été si difficile de le démanteler?

"Ce sont des infrastructures déconcentrées, qui sont sur un grand nombre de pays et qui représentent plusieurs dizaines de milliers de serveurs. Il faut pouvoir cartographier l’infrastructure qui de surcroît évolue, puis localiser et comprendre le fonctionnement de l’infrastructure, le rôle des différents serveurs les uns par rapport aux autres et leur implication dans la commission d’infractions cybercriminelles. Il faut ensuite assortir l’ensemble des Etats qui sont investis dans les enquêtes. Là il y a l’Europe, avec Europol et Eurojust, il y a les Etats-Unis et le Canada. Il fallait arriver à créer les conditions d’un démantèlement coordonné entre tous les Etats, au jour J, à la même heure".

Le démanteler, c'est lui couper Internet, l'empêcher de communiquer. Mais il faut aussi l'annihiler complètement, de sorte qu’il ne puisse pas se remettre en place.

· Existe-t-il d'autres logiciels malveillants de ce type?

"Il existe d’autres logiciels malveillants dans le monde mais des logiciels qui présentent une capacité d’organisation, de distribution et d’injection de cette nature-là, je pense que c’est celui que l’on peut qualifier de plus dangereux depuis quelques années".

· Derrière ce logiciel, il y a de l'humain. Des interpellations ont-elles eu lieu?

"Il y a des groupes criminels qui sont maintenant à identifier. Il y a ceux qui sont derrière Emotet, qui a fortement évolué et qui s’est réellement professionnalisé. Ces individus louaient les capacités et l'infrastructure d'Emotet, qui est devenu un outil de distribution particulièrement prisé des autres équipes criminelles. Eux déploient des ransomwares (ou rancongiciels) extrêmement nocifs sur des institutions ou sur des entreprises privées avec pour objectif bien évidemment de récupérer de l’argent. Par rebond, cela fait beaucoup de dossiers, sans compter ceux qui ne portent pas plainte".