Ignorer le contenu principal

Emotet est un programme informatique malveillant initialement développé sous la forme d'un cheval de Troie ciblant les données bancaires. Son objectif visait à accéder aux appareils d'autres personnes et à espionner leurs données privées sensibles. Emotet est capable de tromper les programmes antivirus courants sans se faire détecter. Une fois l'ordinateur infecté, le programme malveillant se propage comme un ver informatique et tente d'infiltrer d'autres ordinateurs du réseau.

Emotet se propage principalement via des spams. L'email en question contient un lien malveillant ou un document infecté. Si vous téléchargez le document ou cliquez sur le lien, un autre programme malveillant se télécharge automatiquement sur votre ordinateur. Les emails semblent tout à fait authentiques.

Le nom Emotet

Emotet a été détecté pour la première fois en 2014, alors que les clients de banques allemandes et autrichiennes étaient la cible du cheval de Troie. Emotet est parvenu à accéder aux données de connexion des clients. Au cours des années suivantes, le programme malveillant s’est propagé dans le monde entier.

D'un cheval de Troie ciblant les données bancaires, Emotet est devenu un dropper, ce qui signifie que le cheval de Troie charge des programmes malveillants. Ce sont ces programmes qui sont responsables des dégâts que nous connaissons sur les systèmes. Dans la plupart des cas, les programmes suivants ont été « déposés » :

  • Trickbot : cheval de Troie ciblant les données bancaires, qui tente d'accéder aux données de connexion des comptes bancaires.
  • Ryuk : cheval de Troie de chiffrement, également appelé cryptotrojan ou ransomware, qui chiffre les données et empêche ainsi l'utilisateur d'y accéder ou bloque l'ensemble du système.

L'objectif des cybercriminels utilisant Emotet consiste souvent à extorquer des fonds à leurs victimes. Ils menacent par exemple de publier les données chiffrées ou de ne jamais les restituer. Emotet fait généralement référence au processus complet qui englobe l’infection, le téléchargement du programme malveillant et sa distribution.

Qui Emotet cible-t-il ?

Les particuliers, les entreprises, les organismes et les autorités publiques. En 2018, après avoir été infecté par Emotet, l'hôpital allemand Fuerstenfeldbruck a dû éteindre 450 ordinateurs et se déconnecter du centre de contrôle de secours pour tenter de contrôler l'infection. En septembre 2019, la cour d'appel de Berlin a été affectée. En décembre de la même année, c'est l'université de Giessen qui a été prise pour cible.

L'école de médecine de Hanovre et la mairie de Francfort ont également été visées par Emotet. On estime que le nombre d'entreprises affectées est bien plus élevé. On suppose également que de nombreuses entreprises infectées n'ont pas voulu signaler leurs failles par crainte de salir leur réputation et de faire l’objet de nouvelles attaques.

Gardons également à l'esprit qu'à ses débuts, Emotet ciblait principalement des entreprises, alors que le cheval de Troie vise aujourd'hui majoritairement des particuliers.

Quels sont les appareils exposés à Emotet ?

Initialement, les infections par Emotet étaient uniquement détectées sur les versions les plus récentes du système d'exploitation Microsoft Windows. Toutefois, au début de l'année 2019, on s'est rendu compte que les ordinateurs Apple étaient également pris pour cibles. Les cybercriminels piégeaient les utilisateurs au moyen d'un email frauduleux émanant soi-disant du support Apple. L'email indiquait à l'utilisateur que l'entreprise avait « restreint l'accès à son compte ». Les victimes étaient ensuite invitées à cliquer sur un lien pour éviter prétendument la désactivation et la suppression de leurs services Apple.

Comment le cheval de Troie Emotet se propage-t-il ?

Emotet se répand principalement via une prétendue collecte Outlook. Le cheval de Troie lit les emails des utilisateurs déjà affectés et crée un contenu faussement authentique. Ces emails semblent légitimes et personnalisés, se démarquant ainsi des spams habituels. Emotet envoie ces emails de phishing aux contacts enregistrés comme vos amis, les membres de votre famille, vos collègues ou votre patron.

Généralement, les emails contiennent un lien dangereux ou un document Word infecté que le destinataire est supposé télécharger. Le nom de l'expéditeur est toujours correct. Les destinataires sont ainsi aveuglés par un faux sentiment de sécurité car l’email semble tout à fait normal et personnalisé. Ils sont donc plus enclins à cliquer sur le lien dangereux ou à ouvrir la pièce jointe infectée.

Une fois qu'Emotet a accès au réseau, il peut se propager tranquillement. Il tente alors de trouver les mots de passe d'accès à vos comptes à l’aide de la méthode de force brute. Parmi les autres moyens de propagation d'Emotet figurent les vulnérabilités EternalBlue et DoublePulsar sous Windows, qui autorisent l'installation du programme malveillant sans intervention humaine. En 2017, le cheval de Troie d'extorsion WannaCry est parvenu à exploiter la vulnérabilité EternalBlue pour mener une cyberattaque majeure ayant entraîné des dégâts considérables.

Emotet : l’infrastructure du programme malveillant réduite à néant

À la fin du mois de janvier 2021, le Bureau du Procureur général de Francfort – le bureau central de la lutte contre la cybercriminalité – et le Bureau fédéral des affaires criminelles (Federal Criminal Office, FCO) ont annoncé que l’infrastructure d’Emotet avait été « contrôlée et détruite » dans le cadre d’un effort international. Les forces de l’ordre d’Allemagne, des Pays-Bas, d’Ukraine, de France et de Lituanie, ainsi que le Royaume-Uni, le Canada et les États-Unis ont participé à l’opération.

Les autorités affirment qu’elles sont parvenues à désactiver plus de 100 serveurs de l’infrastructure d’Emotet, dont 17 se trouvaient en Allemagne. Et ce n’était que le début. Le FCO a compilé des données et localisé après analyse davantage de serveurs dispersés en Europe.

Selon le FCO, l’infrastructure du programme malveillant Emotet a été anéantie et mise hors d'état de nuire. Les autorités ukrainiennes ont été en mesure de prendre le contrôle de l’infrastructure et ont saisi de nombreux ordinateurs et disques, de l'argent et des lingots d'or. L’opération dans son ensemble a été coordonnée par Europol et Eurojust, l’organisme de l’Union européenne de coordination juridique pour la gestion des affaires criminelles.

En prenant le contrôle de l’infrastructure d’Emotet, les autorités ont réussi à rendre les systèmes affectés des victimes allemandes inutilisables par les auteurs de l'attaque. Pour les empêcher de reprendre le contrôle, les forces opérationnelles ont placé en quarantaine le programme malveillant sur les systèmes affectés des victimes. Elles ont en outre modifié les paramètres de communication du logiciel, de sorte qu’il puisse communiquer avec une infrastructure spécialement configurée aux seules fins de conservation des preuves. Au cours du processus, les autorités ont obtenu des informations sur les systèmes affectés des victimes comme les adresses IP publiques. Celles-ci ont été transmises au BSI.

Qui se cache derrière Emotet ?

Selon l’Office général allemand pour la sécurité en matière de technologie de l'information (BSI), « les développeurs d’Emotet sous-louent leur logiciel et leur infrastructure à des tiers ». Ils s'appuient également sur des programmes malveillants supplémentaires pour atteindre leurs objectifs. Le BSI est d’avis que les motivations des cybercriminels sont de nature financière et que le cybercrime pose davantage problème que l’espionnage.

Personne ne semble savoir qui se cache derrière ce programme. Il proviendrait de Russie ou d’Europe de l’Est, mais aucune preuve sérieuse ne vient confirmer cette allégation.

Emotet : un programme malveillant particulièrement destructeur

Le département de la Sécurité intérieure des États-Unis en est venu à la conclusion qu'Emotet était un logiciel particulièrement onéreux, doté d'une puissance destructrice phénoménale. Le coût du nettoyage est estimé à près d'un million de dollars par incident. Ce n’est pas pour rien qu’Arne Schoenbohm, directeur du BSI, appelle Emotet « le roi des programmes malveillants ».

Emotet est sans aucun doute le programme malveillant le plus complexe et le plus dangereux de l'histoire de la cybercriminalité. Le virus est polymorphe, ce qui signifie que son code change légèrement à chaque fois qu'on y accède. Les logiciels antivirus peinent ainsi à l'identifier car nombre d'entre eux exécutent des recherches basées sur les signatures. En février 2020, les chercheurs de Binary Search ont découvert qu'Emotet attaquait désormais les réseaux wifi. Si un appareil infecté est connecté à un réseau wifi, Emotet analyse l'ensemble des réseaux wifi situés à proximité. Au moyen d'une liste de mots de passe, le virus tente ensuite d'accéder aux réseaux et d'infecter d'autres appareils.

Les cybercriminels jouent sur les peurs de la population. Il n'est donc guère surprenant que la panique liée au coronavirus, qui sévit dans le monde entier depuis décembre 2019, soit également exploitée par Emotet. Les cybercriminels utilisant le cheval de Troie créent souvent des emails frauduleux supposés informer le public sur le COVID-19. Si vous trouvez un email de ce type dans votre boîte de messagerie, faites attention aux pièces jointes et aux liens qu'il contient.

Comment puis-je me protéger ?

La protection contre Emotet et les autres chevaux de Troie ne peut incomber aux seuls programmes antivirus. Après tout, la détection du programme malveillant polymorphe représente uniquement la première étape pour les utilisateurs finaux. Il n'existe pour ainsi dire aucune solution offrant une protection totale contre Emotet et les autres chevaux de Troie en constante évolution. Seules des mesures de prévention d’ordre technique et organisationnel peuvent minimiser le risque d'infection. Voici les précautions à prendre pour vous protéger contre Emotet :

  • Restez à jour : tenez-vous régulièrement informé(e) de toute actualité concernant Emotet. Plusieurs moyens sont à votre disposition, comme consulter la newsletter du BSI et de Kaspersky ou faire vos propres recherches.
  • Mises à jour de sécurité : il est indispensable d'installer les mises à jour fournies par les fabricants le plus rapidement possible pour pallier les éventuelles failles de sécurité. Ceci s'applique aux systèmes d'exploitation comme Windows et macOS, ainsi qu'à l'ensemble des programmes d'application, navigateurs, modules complémentaires de navigateurs, clients de messagerie, systèmes Office et programmes PDF.
  • Logiciel antivirus : installez un programme antivirus comme Kaspersky Internet Security, et analysez régulièrement votre ordinateur à la recherche d'éventuelles vulnérabilités. Un tel programme vous procurera une protection optimale contre les derniers virus, logiciels espions, etc.
  • Ne téléchargez pas de pièces jointes suspectes contenues dans des emails et ne cliquez pas sur les liens suspects. En cas d'incertitude à propos d'un email, ne prenez aucun risque et contactez l'expéditeur. Si vous êtes invité(e) à autoriser l'exécution d'une macro lors du téléchargement d’un fichier, n'obtempérez sous aucun prétexte et supprimez immédiatement le fichier. De cette manière, vous ne laisserez pas à Emotet la chance d'accéder à votre ordinateur.
  • Sauvegardes : sauvegardez régulièrement vos données sur un appareil de stockage externe. En cas d'infection, vous disposerez toujours d'une sauvegarde à laquelle vous pourrez recourir et ne perdrez pas toutes les données de votre appareil.
  • Mots de passe : Utilisez uniquement des mots de passe forts pour tous vos identifiants (banque en ligne, boîte mail magasins en ligne). Cela signifie que vous devez éviter d'utiliser le nom de votre premier chien, mais plutôt un ensemble de lettres, de chiffres et de caractères spéciaux. Vous pouvez les gérer vous-même ou les générer au moyen de différents programmes comme les gestionnaires de mots de passe. Par ailleurs, de nombreux programmes offrent aujourd'hui une fonction d'authentification à deux facteurs.
  • Extensions de fichiers : assurez-vous que les extensions de fichiers s'affichent par défaut sur votre ordinateur. Cela vous aidera à reconnaître les fichiers suspects comme « Photos de vacances123.jpg.exe ».

Comment supprimer Emotet ?

Tout d'abord, ne paniquez pas si vous suspectez que votre ordinateur a été infecté par Emotet. Informez votre entourage de l’infection car vos contacts de messagerie et les autres appareils connectés à votre réseau risquent également avoir été exposés.

Ensuite, veillez à isoler votre ordinateur s'il est connecté à un réseau pour limiter le risque de propagation d'Emotet. Modifiez l’ensemble des données de connexion de vos comptes (comptes de messagerie, navigateurs Web, etc.).

Emotet étant polymorphe (ce qui signifie que son code change légèrement à chaque fois que l'on y accède), un ordinateur intègre peut être rapidement réinfecté s'il est reconnecté à un réseau infecté. Par conséquent, vous devez nettoyer tous les ordinateurs connectés à votre réseau, l'un après l'autre. Utilisez un programme antivirus pour vous aider dans cette tâche. Vous pouvez également contacter un spécialiste, par exemple votre fournisseur de logiciel antivirus.

EmoCheck : cet outil est-il réellement efficace face à Emotet ?

L'équipe d'intervention en cas d'urgence informatique japonaise a publié un outil appelé EmoCheck, que vous pouvez utiliser pour vérifier si votre ordinateur a été infecté par Emotet. Conseil : utilisez cet outil pour détecter une éventuelle infection par des versions connues d’Emotet, mais soyez prudent(e) ! Mais Emotet étant polymorphe, EmoCheck ne peut garantir à 100 % que votre ordinateur est sain. EmoCheck utilise une méthode de reconnaissance des chaînes de caractères spécifiques et vous prévient de la présence du cheval de Troie. Cependant, la capacité de transformation du programme malveillant ne garantit aucunement l’intégrité de votre ordinateur.

Emotet : résumé

Le cheval de Troie Emotet est l’un des programmes malveillants les plus dangereux de l’histoire de la cybersécurité. Particuliers, entreprises ou autorités internationales, tout le monde peut être pris pour cible. Une fois que le cheval de Troie a infecté le système, il charge d'autres programmes malveillants qui espionnent les informations d’accès et chiffre les données. Un grand nombre de victimes d'Emotet ont reçu des emails leur demandant de payer des rançons en échange de leurs données. Malheureusement, aucune solution de fournit une protection intégrale contre une infection par Emotet. Vous pouvez toutefois prendre différentes mesures pour minimiser le risque d'infection. Si vous suspectez que votre ordinateur est infecté par Emotet, prenez les mesures mentionnées dans cet article pour nettoyer votre ordinateur.

Les solutions de sécurité ci-après vous protègent contre les chevaux de Troie, les virus et les ransomwares :

Kaspersky Internet Security

Kaspersky Total Security

Kaspersky Security Cloud

Articles connexes :

Ransomware LockBit : ce que vous devez savoir

Les 10 pirates informatiques les plus célèbres de tous les temps

Ransomwares : définition, prévention et suppression

Qu’est-ce qu’Emotet ?

Le dangereux cheval de Troie Emotet contraint les administrateurs à rester sur leurs gardes. Découvrez comment reconnaître le virus, vous protéger et le supprimer de votre ordinateur.
Kaspersky Logo