Cybercriminalité : une cyberattaque de grande ampleur sur plusieurs collectivités, dont la Métropole d'Orléans

Écrit par Bertrand Mallen
Publié le Mis à jour le
partager cet article :

Un virus informatique, Emotet, a été actif dans un grand nombre de grandes entreprises et d'institutions françaises entre le mois d'août et la fin septembre. La Métropole d'Orléans, mais aussi la Ville et au moins 14 des 18 académies de l'Education nationale ont été visées.

Société
De la vie quotidienne aux grands enjeux, découvrez les sujets qui font la société locale, comme la justice, l’éducation, la santé et la famille.
France Télévisions utilise votre adresse e-mail afin de vous envoyer la newsletter "Société". Vous pouvez vous désinscrire à tout moment via le lien en bas de cette newsletter. Notre politique de confidentialité

Le Mag IT, un site spécialisé sur la cyber-sécurité, a révélé ce 7 octobre que la Métropole d'Orléans ainsi que plusieurs grandes entreprises ont été touchées au mois de septembre par l'activité d'un virus de type Cheval de Troie appelé Emotet. Comme l'ont découvert par la suite le Mag IT et France 3, l'attaque a aussi touché la municipalité d'Orléans et plusieurs académies, dont Orléans-Tours mais aussi Nantes, Rennes, Amiens, Nancy-Metz, Strasbourg, Lyon, Grenoble, Montpellier, Toulouse, Aix-Marseille, Versailles, Paris, et Créteil. Jointe par France 3, la Métropole a pu confirmer qu'un message de vigilance avait été diffusé fin septembre, et que l'incident "a été maîtrisé en 24 heures par le service informatique".
 

Une porte ouverte à toutes les fenêtres internet

"Emotet est utilisé comme point d'attaque, comme premier maillon d'une chaîne logistique" explique Valéry Marchive, rédacteur-en-chef du Mag IT et spécialiste de la cybersécurité. L'ordinateur infecté se retrouve enrôlé dans un "botnet", un réseau de "machines zombies" qui sont désormais accessibles et manipulables pour le pirate, sans que cela soit visible de l'extérieur. Elles peuvent dès lors rester dormantes ou être exploitées par le cybercriminel.
 

"En gros, c'est comme si quelqu'un avait le pied dans la porte de chez vous, et que vous ne pouviez plus la refermer", résume Valéry Marchive. A partir de ce point d'attaque, les cyber-criminels ont ensuite toute latitude pour continuer à propager le virus en se servant de l'adresse infectée, surtout si celle-ci se trouve dans une institution ou une entreprise importante, de sorte que les destinataires du message vont plus facilement lui accorder confiance.

Ils peuvent également revendre cet accès à d'autres pirates, spécialisé quant à eux dans le ransomware (ou rançongiciel), un programme qui va chiffrer les informations contenues sur la machine et exiger une rançon pour ne pas les détruire (ou les révéler à un concurrent par exemple). Cela a été le cas notamment de la préfecture d'Eure-et-Loir en juillet 2020, restée paralysée plusieurs jours.

Fin septembre, l'Agence nationale de la sécurité des systèmes d'information (Anssi) avait diffusé un bulletin d'alerte face à la recrudescence de ce Cheval de Troie, connu depuis 2014 mais dont l'activité a redoublé entre août et septembre 2020.
 
 

Une activité surveillée depuis le mois de septembre

Depuis le "réveil" des botnet d'Emotet au mois de septembre, son activité a été suivie de près par plusieurs acteurs de la cyber-sécurité et agences gouvernementales. La principale source des informations du MagIT et de France 3, c'est l'outil "Have I Been Emotet ?", de l'éditeur italien TGSoft, qui permet de recenser les messages frauduleux circulant via des noms de domaines (ce qui suit le @ dans votre adresse mail). Ces messages sont ensuite classés en trois catégories. La catégorie RECIPIENT ("destinataire") signifie que le nom de domaine a été ciblé par Emotet, sans que des machines aient forcément été infectées.

La catégorie FAKE SENDER ("expéditeur falsifié")montre les messages dont le nom de domaine a été usurpé : le mail semble provenir de votre patron ou d'un collègue, mais le message n'a en réalité jamais transité par les serveurs de l'entreprise, ce qui lui donne un répit.
 


Enfin, la catégorie "REAL SENDER" (expéditeur réel) recense les messages qui ont été envoyé via une ou plusieurs adresses appartenant à ce nom de domaine, et donc probablement piratées. Un faible nombre de "Real senders" laisse entendre que l'intrusion a été jugulée, mais il peut rapidement s'agir de centaines de messages, dont il est difficile de retrouver la ou les sources.

Dans le cas de la Métropole d'Orléans, le nom de domaine a émis 126 fois des messages infectés en tant qu'expéditeur réel, mais en a reçu 475, soit autant de tentatives d'intrusion, ce qui représente selon Valéry Marchive "une attaque ciblée" et déterminée. "Le problème, c'est qu'on ne peut pas savoir combien de machines sont infectées au sein du réseau : il peut n'y en avoir qu'une, qui a procédé à des envois massifs, ou il peut y en avoir plusieurs."
 

L'académie Orléans-Tours, quant à elle, a été destinataire "seulement" 79 fois, mais a émis 210 messages en tant qu'expéditeur réel, ce qui laisse entendre qu'elle a servi, comme d'autres, de relais important pour les pirates. La palme est détenue par l'académie de Montpellier, à hauteur de 273 messages reçus et 567 envoyés par des expéditeurs réels. Une infection dont l'ampleur au sein des académies et des institutions publiques pose la question de la qualité de leur protection, et des moyens qui leur sont données pour assurer leur sécurité informatique. 
 
Tous les jours, recevez l’actualité de votre région par newsletter.
Tous les jours, recevez l’actualité de votre région par newsletter.
choisir une région
France Télévisions utilise votre adresse e-mail pour vous envoyer la newsletter de votre région. Vous pouvez vous désabonner à tout moment via le lien en bas de ces newsletters. Notre politique de confidentialité