17 septembre 2020 Par Vincent Loirat, Responsable de la Sécurité des Systèmes d’Information chez Proginov Son nom fait plutôt penser à un roi égyptien, pourtant, Emotet est l’un des malwares les plus coûteux et des plus destructeurs ! Ce virus, connu depuis 2014, est actuellement en pleine expansion en France. Voici quelques clés pour comprendre son fonctionnement et éviter sa propagation. Un utilisateur averti et vigilant est le meilleur rempart pour éviter qu’il n’infecte votre entreprise. De quoi s’agit-il ? Emotet agit comme un cheval de Troie. Il est souvent caché dans des pièces jointes comme des documents Word ou PDF. Le document n’étant, en tant que tel, pas infecté, il passe au travers des antivirus et arrive dans votre boîte aux lettres. C’est lorsque vous ouvrez la pièce jointe (en exécutant des macros par exemple) que vous « donnez les clés » au virus pour se répandre dans votre système et l’infecter. Attention, l’e-mail peut contenir un fil de discussion existant qu’Emotet aura récupéré. Il peut donc vous sembler totalement légitime et contenir des pièces jointes légitimes elles aussi, en plus de la pièce infectée. Il se présente d’ailleurs souvent avec un objet commençant par « Re : ».Il est polymorphe et peut changer d’apparence à chaque téléchargement, échappant ainsi aux systèmes antimalwares. Des pouvoirs étendus depuis sa mutation récente Emotet a récemment évolué et est désormais en mesure de déposer des codes malveillants capables de se propager dans les systèmes des victimes. Il récupère des mots de passe stockés dans plusieurs navigateurs (Chrome, Explorer, Safari, Firefox…) et dans plusieurs types de messageries (Outlook, Gmail, Hotmail, etc.). Mais il ne s’arrête pas là, il peut aussi dérober la liste des contacts, le contenu et les pièces jointes des e-mails. Ce code malveillant est également en mesure de télécharger des rançongiciels (logiciels qui cryptent les données de l’entreprise dans le but de lui extorquer de l’argent). Comment l’éviter ? Surveillez vos boîtes e-mails ! Emotet arrive par de grandes campagnes d’hameçonnage actuellement en cours. Veillez à ne pas exécuter les macros dans les pièces jointes et à vérifier le texte des liens URL (comporte-il a minima le nom du site sur lequel il est censé pointer ?). Que faire en cas d’infection ? Si vous vous rendez compte que votre ordinateur est infecté, votre premier réflexe doit être de déconnecter votre PC du réseau et d’appeler votre service informatique. Plus tôt vous préviendrez, mieux ce sera. Mieux vaut un seul poste compromis plutôt que l’ensemble du réseau. Communiquez quoi qu’il arrive avec votre service informatique, car un simple nettoyage par l’antivirus ne sera pas une garantie suffisante, seule la réinstallation de la machine le sera.