La sécurité réseau est aujourd’hui très performante, à tel point que si nous devions la comparer à un jeu vidéo, elle serait le dernier rempart qui protège le boss du niveau final. Malheureusement, comme dans tout jeu vidéo, il suffit d’un individu rusé pour sauter, esquiver et mettre à terre toutes les barrières de protection.

L’analogie entre cybersécurité et jeux vidéo peut sembler quelque peu capilotractée, pourtant elle est tout à fait appropriée. Ce sont juste les obstacles qui diffèrent. Alors bien évidemment, escalader sauter ou encore attaquer en frontal sembleraient être les meilleures tactiques pour percer les défenses de l’ennemi. Mais malheureusement, dans un cas comme dans l’autre, l’objectif final est bien trop protégé pour être atteignable aussi facilement. Alors, comment faire ? Il faut miser sur des alternatives, des portes dérobées ou des cibles secondaires qui pourraient mener à l’objectif par un moyen détourné. En y réfléchissant, c’est d’ailleurs le principal mode de fonctionnement des logiciels malveillants : ils se déguisent, font en sorte d’inspirer confiance, poussent à ouvrir des portes ou des fenêtres pour les laisser entrer dans les systèmes sans même en avoir conscience.

Parmi les menaces les plus connues figure Emotet, un logiciel malveillant particulièrement développé qui s’attaque aux particuliers en s’installant sur leur ordinateur. Mais détrompez-vous, il ne se contente pas seulement d’infecter votre ordinateur, il ouvre également votre système à d’autres types de logiciels malveillants tout en essayant de se propager sur d’autres ordinateurs. La récente version d’Emotet est loin d’être un simple malware, c’est une véritable épidémie informatique.

À mesure que la sécurité des réseaux s'améliore, les logiciels malveillants doivent trouver de nouveaux moyens d'infecter les systèmes et de se propager. D’après les groupes de recherches chargés d’étudier les botnets utilisés par Emotet, ce malware serait méticuleusement développé et deux éléments le rendraient particulier : il a été conçu pour utiliser différents types d’attaques et met continuellement à jour son code pour améliorer ses fonctionnalités et assurer sa stabilité.

Comment ça marche ?

Emotet fonctionne comme un botnet et s’attaque principalement aux particuliers. Il trompe la confiance des utilisateurs et utilise par conséquent des adresses email frauduleuses pour les inciter à cliquer sur les liens et le laisser entrer dans le système pour ensuite propager des malwares et des SPAMs. Une fois bien au chaud, Emotet peut lancer des attaques spécifiques et personnalisées tout en se propageant sur les réseaux via le WiFi ou les emails par exemple.

Généralement, tout commence par un email personnalisé avec une pièce jointe ou un lien vers un fichier qui contient le malware. Le modèle d’email contient les détails l'expéditeur, généralement obtenus à partir de listes de comptes de messagerie électronique compromis. Cette liste contient les noms d'utilisateur et les mots de passe des clients de messagerie et tente de s'authentifier auprès du serveur de messagerie pour envoyer le SPAM comme s’il provenait d’une personne de la liste. Elle comprend également une liste cible d'adresses à qui envoyer les courriers électroniques qui comprend le prénom, le nom de famille et l'adresse électronique des potentiels destinataires.

Emotet tentera d'envoyer le modèle de SPAM à chaque cible et de signaler au serveur les messages qui ont été envoyés avec succès, comme le ferait toute entreprise pour des envois de mailings à ses abonnés. C'est pourquoi Emotet ne peut être considéré comme un simple logiciel malveillant, c’est un empire commercial et financier à lui tout seul.

Une fois le malware introduit dans le système, celui-ci peut recueillir des tonnes d’informations comme des informations bancaires, des identifiants de messagerie ou encore des listes de contacts et les envoyer sur un serveur dédié. La pièce jointe qui contient le malware peut être un document Office cachant des macros, des commandes PowerShell ou des exécutables déguisés. Le lien utilisé peut par exemple se déguiser en lien de connexion à une réunion virtuelle qui demande à l’utilisateur de télécharger et d’installer un logiciel dans lequel se cache un malware. D’autres outils sont également utilisés comme la récupération d’identifiants de connexion et de mots de passe sur le réseau ou grâce aux connections sans fil, le réglage d’un minuteur de mémoire, la détection de la sandbox ou encore des fonctionnalités empêchant l’analyse des malwares par les anti-virus et autres pare-feux. Tous ces éléments permettent à Emotet de propager les logiciels malveillants désignés sans avoir besoin de s’attaquer à de nouvelles victimes à l’aide d’emails frauduleux.

Arrêter l’inarrêtable

Tirer parti de la naïveté des personnes naviguant sur internet semble être particulièrement profitable aux hackeurs. De plus en plus nombreux, les utilisateurs ignorants se laisseront facilement prendre au piège et téléchargeront Emotet et l’ensemble des logiciels malveillants qu’il propage aussi vite que leur bande passante le permet. Les hackers utilisant Emotet ne se limitent pas à quelques cibles. Toutes les adresses électroniques (personnelles, professionnelles, gouvernementales, etc.) constituent des cibles, sans distinction. De plus, les capacités d’Emotet à se reproduire et à contaminer les domaines les uns après les autres avec une armada de logiciels malveillants en font une cible difficile à stopper par les systèmes de défense réseaux et les anti-virus qui s’appuient sur des listes noires pour bloquer les accès.

Les hackers rivalisent d’ingéniosité. Ils arrivent à convaincre les utilisateurs les plus sceptiques de cliquer à l’aide de mails et de pièce jointes qui semblent tout à fait correspondre à ce qu’ils ont l’habitude de recevoir, d’autant plus que l’expéditeur a été pioché dans la liste de contacts du destinataire ciblé. La méfiance de l’utilisateur est ainsi facilement trompée surtout lorsque le contenu du mail fait écho à des sujets d’actualité. Même si chaque utilisateur a sa propre méthode pour analyser l’authenticité d’un mail, Emotet est capable de répondre aux principaux critères de confiance pour passer entre les mailles du filet.

Se défendre contre Emotet nécessite une approche globale. Lorsqu’il évolue en dehors d’un système, Emotet se propage à l’aide d’emails de phishing, d’un réseau authentifié et d’un accès sans fil compromis. Comme les emails envoyés peuvent paraitre tout à fait plausibles, la seule formation des utilisateurs ne suffit pas pour s’en protéger efficacement.

Selon l'analyse de l'OSSTMM, le seul moyen de se prémunir contre ce type d’attaques à un niveau opérationnel est de procéder à des contrôles dits « environnementaux ». En évitant par exemple d’utiliser les configurations d’installation par défaut pour tout ce qui inclut les répertoires par défaut de Windows, les listes blanches, la segmentation physique du réseau, les ports personnalisés quand cela est possible ou encore l’authentification multifactorielle ou basée sur l’identité. Des logiciels de sécurité basés sur l'IA peuvent fournir une couche de protection supplémentaire. Cependant, en sachant que tout ce qui se trouve sur le système ou le réseau peut être compromis, les modifications physiques et au niveau de la racine seront plus efficaces. Enfin, un plan de triage doit être mis en place et exploité. Un test d'efficacité continu des défenses de sécurité des systèmes et des réseaux peut vous aider à vous assurer que votre système de sécurité fonctionne convenablement.

Il faut se préparer méticuleusement pour pouvoir arrêter l’inarrêtable. Vous pouvez gagner la partie, à condition d’être attentif et de faire preuve de dextérité. Si vous comptez sur la seule chance pour y parvenir, vous risquez de ne pas terminer le jeu.