Publicité en cours de chargement...

Publicité en cours de chargement...

Publicité en cours de chargement...

Emotet : qui est ce démon qui vient hanter les nuits des RSSI ?

15 sept. 2020 - 11:17,
Tribune - Charles Blanc-Rolin
Depuis une semaine, suite à l’alerte lancée par le CERT-FR de l’ANSSI [1], il est la star de tous les magazines people de l’IT ! Mais qui est Emotet ?

Emotet n’en est pas à son coup d’essai, connu à l’origine pour être un cheval de Troie destiné à dérober des informations bancaires, il a évolué au fil des années pour devenir, « LA porte d’entrée » préférée des cybercriminels. Si la plupart des lectures que l’on trouve sur le sujet évoquent une apparition en 2014, héritant du code de Feodo (alias Bugat ou Cridex), un cheval de Troie bancaire lui aussi apparu en 2010, certains estimes qu’il aurait pu être aperçu dès 2013.

À noter également que, suivant les sources Emotet est également connu sous les noms Geodo ou Heodo.

Dès la fin de l’année 2016, il semble avoir définitivement raccroché les gants dans le domaine du siphonnage d’informations bancaires pour devenir un « loader », comprenez la première étape dans le processus d’intrusion dans un SI et permettre le déploiement d’autres codes malveillants.
Le code étant bien éprouvé, Emotet a été utilisé pour créer des réseaux de machines « zombies »  (botnets), soit des machines compromises dormantes ensuite mises à disposition de clients souhaitant diffuser massivement d’autres logiciels malveillants, comme ce fut le cas notamment avec les acteurs ayant diffusé le rançongiciel Ryuk et désormais son successeur Conti, ou les chevaux de Troie Dridex, Qakbot ou encore Trickbot.
Dridex serait d’ailleurs lui aussi un descendant de Feodo, preuve que la consanguinité existe aussi chez les logiciels malveillants.
Je tire mon chapeau aux spécialistes de la CTI capables de reconstituer les arbres généalogiques de ces grandes familles malfaisantes.

Trois grands botnets distincts utilisent à ce jour le code d’Emotet : Epoch 1, Epoch 2 et Epoch 3.

Emotet est attribué au groupe cybercriminel Mummy Spider, également connu sous les noms TA542 et Gold Crestwood, là encore, chacun y va de son appellation, ce qui ne nous simplifie pas la tâche.

Emotet semble être le code malveillant le plus diffusé ces dernières années. On le retrouve très régulièrement en tête de liste sur les diverses plateformes d’analyses en ligne :

Pour ma part, j’ai observé plus de 1000 adresses IP de serveurs de commande et de contrôle recensés en sources ouvertes, un véritable record par rapport aux autres codes malveillants !

Qui a dit que Wannacry était le logiciel malveillant ayant impacté le plus de machines ?
Si nous sommes sûrement beaucoup plus nombreux à avoir passé des nuits blanches à courir après le vers Conficker entre 2009 et 2010, qui serait prêt à parier qu’aucun poste de son SI n’est une bombe à retardement dont la minuterie s’appelle Emotet ?

Un raz de marrée de messages accompagnés de pièces jointes permettant le téléchargement d’Emotet s’est abattu sur la France ces 15 derniers jours.

Plusieurs entreprises victimes semblent avoir encore du mal à s’en débarrasser, un établissement de santé français a vu plusieurs dizaines de postes infectés, autant dire que la plus grande vigilance reste de mise. #TOUSCYBERVIGILANTS

[1] https://www.cert.ssi.gouv.fr/alerte/CERTFR-2020-ALE-019/

Avez-vous apprécié ce contenu ?

A lire également.

Illustration L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

L’ARS Pays de la Loire dévoile sa feuille de route du numérique en santé 2025-2026 en Mayenne

17 oct. 2025 - 10:18,

Actualité

- Rédaction, DSIH

L’Agence régionale de santé (ARS) Pays de la Loire, en partenariat avec la Caisse primaire d’assurance maladie (CPAM) de la Mayenne et le groupement e-santé régional, a présenté la feuille de route du numérique en santé 2025-2026.

Illustration Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

Le CHU de Reims certifié ISO 27001 et HDS : un engagement fort pour la cybersécurité au service des patients

13 oct. 2025 - 19:56,

Communiqué

- CHU de Reims

Le Centre hospitalier universitaire de Reims franchit une étape majeure dans sa stratégie de sécurisation des données de santé en obtenant la double certification ISO 27001 :2022 et Hébergeur de données en santé (HDS) V2. Ces certifications attestent de la conformité du CHU aux normes les plus exige...

Illustration Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

Intelligence artificielle en santé : entre progrès technologique et éthique, où en est-on ?

13 oct. 2025 - 10:01,

Actualité

- Rédaction, DSIH

À l’occasion de la Fête de la science, l’Espace Mendès France de Poitiers a récemment accueilli une conférence passionnante consacrée à l’intelligence artificielle (IA) en santé. Intitulée « Intelligence artificielle en santé, entre progrès technologique et éthique : où en est-on ? », cette rencontr...

Illustration Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

Fraudes à la e-CPS et à ProSantéConnect : l’alerte de l’ANS rappelle l’importance de la vigilance numérique

13 oct. 2025 - 09:46,

Actualité

- Rédaction, DSIH

L’Agence du Numérique en Santé (ANS) a récemment signalé plusieurs tentatives de fraude visant l’application e-CPS et le portail ProSantéConnect (PSC). Ces attaques, fondées sur des techniques d’ingénierie sociale, consistent à se faire passer pour le « service client CPS » afin d’obtenir des codes ...

Lettre d'information.

Ne manquez rien de la e-santé et des systèmes d’informations hospitaliers !

Inscrivez-vous à notre lettre d’information hebdomadaire.