Pièces jointes en quarantaine à cause d’un virus

Si la récente annonce de son démantèlement (lire articles en lien ci-dessous) n’a pas manqué de soulager les professionnels de la sécurité informatique, le virus Emotet et ses possibles variants restent encore, pour l’heure, un danger potentiel pour les boîtes mail de l’administration cantonale. «Connu depuis 2014, où il cherchait à dérober des informations bancaires, le malware Emotet fonctionne par vagues. Depuis quelques semaines, il a connu une activité particulièrement intense et virulente, qui a conduit Europol à mener une action internationale pour lutter contre ce fléau», explique en préambule Vincent Rubio, expert méthode et outils au Centre opérationnel de sécurité (SOC) de la DGNSI.

De quoi s’agit-il ? Ce virus informatique déploie un concept à la fois simple et sophistiqué. Après avoir infecté l’ordinateur d’une première victime, il s’immisce dans ses boîtes mail et dérobe ses conversations récentes, qu’il transmet à l’infrastructure qui gère l’ensemble de ce logiciel malveillant. Des machines contrôlées par cette infrastructure utilisent alors le contenu de ces échanges volés pour simuler et envoyer aux expéditeurs initiaux une réponse crédible, usurpant l’identité de la première victime. Ce mécanisme a pour but de faciliter la propagation d’Emotet, car, évidemment, ces «fausses réponses» contiennent à leur tour une copie du logiciel malicieux.

Mais ce n’est pas tout: «Emotet, c’est un peu le couteau suisse des malwares, confirme Mariska Girard, analyste au SOC. Une fois l’infection réussie, il est également capable de télécharger d’autres logiciels malveillants qui se propagent au sein d’un réseau, et cela se termine bien souvent par le chiffrement de toutes les données – et par une demande de rançon (rançongiciel) – des machines piratées. Son efficacité est redoutable.»

Antispams impuissants

Les campagnes malicieuses Emotet sont régulièrement observées par le SOC de la DGNSI, mais elles sont difficiles à bloquer, car, à chaque nouvelle vague, le virus change de stratégie. «Dans le cas présent, c’est un document Word contenu dans un fichier ZIP chiffré (en pièce jointe), que les antispams ne parviennent pas à nettoyer. De plus, l’antivirus installé sur les postes de travail ne détecte pas toujours directement que ces fichiers sont malveillants», explique encore Mariska Girard.

Adoptez partage.vd !

Permettant la compression des données, le format .zip est généralement utilisé lorsque nous avons des fichiers lourds à partager. Dans le cas présent, seuls les ZIP chiffrés (avec mots de passe) sont concernés. Ainsi, pour barrer la route à Emotet et à ses possibles variants, les spécialistes de la sécurité informatique de la DGNSI ont décidé de mettre en quarantaine tous les courriels contenant ce type de fichiers et d’ajouter le format .zip chiffré à la liste des extensions bloquées à l’administration cantonale. Une opération que nous sommes toutes et tous aujourd’hui en mesure de comprendre aisément en regard de la situation liée à un autre virus… sanitaire celui-ci !

 «Si le format simple .zip est toujours disponible, nous conseillons cependant vivement aux collaboratrices et collaborateurs de l’administration cantonale qui doivent partager des fichiers d’utiliser notre logiciel d’hébergement sécurisé partage.vd.ch, qui nous met à l’abri des actes malveillants », conclut Vincent Rubio. (mhj)