Emotet démantelé : le cas juridique des botnets
Publié par Clément Bohic le - mis à jour à
Emotet s'est autodétruit dimanche. La conséquence d'une bombe à retardement que les forces de l'ordre avaient lâchée fin janvier. Une opération qui soulève des questions d'ingérence et d'extraterritorialité.
Quels fondements juridiques pour les démarches qui ont mené à l'extinction d'Emotet ? Après sept ans de carrière, le botnet a officiellement disparu ce dimanche. L'infrastructure qu'on lui connaît ne donne en tout cas plus de signes d'activité. C'est la conséquence d'une « autodestruction » programmée. Les machines infectées avaient effectivement reçu une « bombe à retardement », sous la forme d'une bibliothèque logicielle.
Cette DLL - dont on trouve ici une description technique - leur était parvenue fin janvier. Son origine : des serveurs de commande d'Emotet. Serveurs qui venaient d'être saisis dans le cadre d'une opération de police internationale ayant impliqué une dizaine de pays dont la France.
L'opération avait atteint son point culminant le 26 janvier, avec des perquisitions et des arrestations en Ukraine. Là se trouvait l'épicentre supposé du botnet.
Dans leurs annonces du lendemain, Europol et les différentes parties prenantes n'avaient pas signalé l'envoi de la DLL. On l'avait néanmoins vite découverte. À la suite de quoi le département américain de la Justice (DoJ), entre autres, avait réagi. Il avait, dans les grandes lignes, fait passer le message suivant : des autorités étrangères - allemandes en l'occurrence - ont envoyé du code vers des ordinateurs situés aux États-Unis, mais à partir de serveurs localisés dans leur juridiction. Sans aller plus loin sur les fondements juridiques.
Le DoJ avait apporté une autre précision : le FBI a pu, en accord avec ses homologues, accéder à l'un des serveurs de commande d'Emotet, situé à l'étranger. Guillaume Poupard, le directeur général de l'ANSSI, a récemment évoqué ce cas au Sénat, dans le cadre de discussions sur les ransomwares. Il a rappelé que la France dispose du corpus nécessaire pour autoriser de telles techniques exploratoires, au nom de la « qualification » des menaces.
Emotet : une énième du cyberespace
Il y a quelques semaines s'est présenté, aux États-Unis, un cas de la même teneur que celui d'Emotet. Pas sur la question de l'extraterritorialité, mais sur celle de la manipulation de systèmes informatiques par les forces de l'ordre, sans avertissement des personnes concernées. Le FBI avait en effet pris l'initiative - et obtenu l'autorisation - de se connecter à des serveurs vulnérables aux failles Exchange pour y retirer des backdoors.
La « famille Emotet » avait émergé en 2014. Elle comprend plusieurs variantes du trojan bancaire Feodo, lui-même proche parent de Dridex. Avec les années, l'attribut « cheval de Troie » est resté. Mais avec des capacités élargies allant du piratage de boîtes mail à la propagation au sein des réseaux infectés. Emotet est aussi devenu un support de diffusion d'autres malwares. Notamment TrickBot, lui-même vecteur de propagation du ransomware Ryuk.
Les premières version d'Emotet reposaient sur un script mis en pièce jointe d'e-mails imitant des avis de paiement, des rappels de factures ou encore des notifications de suivi de colis. Les sources d'infection se sont progressivement diversifiées, en particulier à travers l'utilisation de macros dans les logiciels de la suite Office.
L'architecture d'Emotet se constituait semble-t-il de trois groupements de serveurs (Epoch 1, 2 et 3). L'opération qu'a coordonnée Europol aurait permis d'en mettre environ 700 hors ligne.
Le DoJ estime que le botnet a réuni plus de 1,6 million de machines entre avril 2020 et la saisie de son infrastructure. Du côté des forces de l'ordre ukrainiennes, on évalue à 2,5 milliards de dollars le montant global des dégâts.
Photo d'illustration © lolloj - Shutterstock