Cybercriminalité : une cyberattaque de grande ampleur sur plusieurs collectivités, dont la Métropole d'Orléans

Un virus informatique, Emotet, a été actif dans un grand nombre de grandes entreprises et d'institutions françaises entre le mois d'août et la fin septembre. La Métropole d'Orléans, mais aussi la Ville et au moins 14 des 18 académies de l'Education nationale ont été visées.

Le Cheval de Troie Emotet a infecté plusieurs grandes entreprises et institutions publiques en septembre 2020. Photo d'illustration
Le Cheval de Troie Emotet a infecté plusieurs grandes entreprises et institutions publiques en septembre 2020. Photo d'illustration © MARQUET Frédéric / Maxppp
Le Mag IT, un site spécialisé sur la cyber-sécurité, a révélé ce 7 octobre que la Métropole d'Orléans ainsi que plusieurs grandes entreprises ont été touchées au mois de septembre par l'activité d'un virus de type Cheval de Troie appelé Emotet. Comme l'ont découvert par la suite le Mag IT et France 3, l'attaque a aussi touché la municipalité d'Orléans et plusieurs académies, dont Orléans-Tours mais aussi Nantes, Rennes, Amiens, Nancy-Metz, Strasbourg, Lyon, Grenoble, Montpellier, Toulouse, Aix-Marseille, Versailles, Paris, et Créteil. Jointe par France 3, la Métropole a pu confirmer qu'un message de vigilance avait été diffusé fin septembre, et que l'incident "a été maîtrisé en 24 heures par le service informatique".
 

Une porte ouverte à toutes les fenêtres internet

"Emotet est utilisé comme point d'attaque, comme premier maillon d'une chaîne logistique" explique Valéry Marchive, rédacteur-en-chef du Mag IT et spécialiste de la cybersécurité. L'ordinateur infecté se retrouve enrôlé dans un "botnet", un réseau de "machines zombies" qui sont désormais accessibles et manipulables pour le pirate, sans que cela soit visible de l'extérieur. Elles peuvent dès lors rester dormantes ou être exploitées par le cybercriminel.
 
Un exemple de mail frauduleux, apparemment inoffensif, mais qui contient une pièce-jointe infectée
Un exemple de mail frauduleux, apparemment inoffensif, mais qui contient une pièce-jointe infectée © haveibeenemotet.com

"En gros, c'est comme si quelqu'un avait le pied dans la porte de chez vous, et que vous ne pouviez plus la refermer", résume Valéry Marchive. A partir de ce point d'attaque, les cyber-criminels ont ensuite toute latitude pour continuer à propager le virus en se servant de l'adresse infectée, surtout si celle-ci se trouve dans une institution ou une entreprise importante, de sorte que les destinataires du message vont plus facilement lui accorder confiance.

Ils peuvent également revendre cet accès à d'autres pirates, spécialisé quant à eux dans le ransomware (ou rançongiciel), un programme qui va chiffrer les informations contenues sur la machine et exiger une rançon pour ne pas les détruire (ou les révéler à un concurrent par exemple). Cela a été le cas notamment de la préfecture d'Eure-et-Loir en juillet 2020, restée paralysée plusieurs jours.

Fin septembre, l'Agence nationale de la sécurité des systèmes d'information (Anssi) avait diffusé un bulletin d'alerte face à la recrudescence de ce Cheval de Troie, connu depuis 2014 mais dont l'activité a redoublé entre août et septembre 2020.
 
 

Une activité surveillée depuis le mois de septembre

Depuis le "réveil" des botnet d'Emotet au mois de septembre, son activité a été suivie de près par plusieurs acteurs de la cyber-sécurité et agences gouvernementales. La principale source des informations du MagIT et de France 3, c'est l'outil "Have I Been Emotet ?", de l'éditeur italien TGSoft, qui permet de recenser les messages frauduleux circulant via des noms de domaines (ce qui suit le @ dans votre adresse mail). Ces messages sont ensuite classés en trois catégories. La catégorie RECIPIENT ("destinataire") signifie que le nom de domaine a été ciblé par Emotet, sans que des machines aient forcément été infectées.

La catégorie FAKE SENDER ("expéditeur falsifié")montre les messages dont le nom de domaine a été usurpé : le mail semble provenir de votre patron ou d'un collègue, mais le message n'a en réalité jamais transité par les serveurs de l'entreprise, ce qui lui donne un répit.
 
Un exemple avec le nom de domaine francetv.fr : jusqu'ici tout va bien
Un exemple avec le nom de domaine francetv.fr : jusqu'ici tout va bien © haveibeenemotet.com


Enfin, la catégorie "REAL SENDER" (expéditeur réel) recense les messages qui ont été envoyé via une ou plusieurs adresses appartenant à ce nom de domaine, et donc probablement piratées. Un faible nombre de "Real senders" laisse entendre que l'intrusion a été jugulée, mais il peut rapidement s'agir de centaines de messages, dont il est difficile de retrouver la ou les sources.

Dans le cas de la Métropole d'Orléans, le nom de domaine a émis 126 fois des messages infectés en tant qu'expéditeur réel, mais en a reçu 475, soit autant de tentatives d'intrusion, ce qui représente selon Valéry Marchive "une attaque ciblée" et déterminée. "Le problème, c'est qu'on ne peut pas savoir combien de machines sont infectées au sein du réseau : il peut n'y en avoir qu'une, qui a procédé à des envois massifs, ou il peut y en avoir plusieurs."
 
La Métropole d'Orléans a probablement été la cible d'une attaque ciblée
La Métropole d'Orléans a probablement été la cible d'une attaque ciblée © Haveibeenemotet.com

L'académie Orléans-Tours, quant à elle, a été destinataire "seulement" 79 fois, mais a émis 210 messages en tant qu'expéditeur réel, ce qui laisse entendre qu'elle a servi, comme d'autres, de relais important pour les pirates. La palme est détenue par l'académie de Montpellier, à hauteur de 273 messages reçus et 567 envoyés par des expéditeurs réels. Une infection dont l'ampleur au sein des académies et des institutions publiques pose la question de la qualité de leur protection, et des moyens qui leur sont données pour assurer leur sécurité informatique. 
 
L'académie de Montpellier a été la cible d'une attaque intense
L'académie de Montpellier a été la cible d'une attaque intense © Haveibeenemotet.com
Poursuivre votre lecture sur ces sujets
technologies économie sécurité société