Emotet

Le 28 septembre 2020 et les jours suivants, le Secours populaire a subi une importante attaque informatique par email.

Cette attaque s’est propagée par des emails frauduleux, massivement envoyés à nos adresses électroniques, et qui contenaient des virus ou des liens de phishing. Il semble que ce soit l’œuvre d'Emotet.

Elle continue à avoir lieu périodiquement, bien qu’à moindre échelle, en 2021 et en 2022.

Ces messages sont envoyés grâce à une technique très ingénieuse, qui se produit en plusieurs étapes :

• Les pirates installent d’abord leur virus sur quelques ordinateurs. Ils pénètrent alors les boîtes mail qui y sont configurées.
• Il téléchargent tous les emails qu’ils trouvent, et préparent des messages frauduleux à partir de réponses à ces emails, dans lesquelles ils ajoutent des fichiers contenant le virus ou des liens pour effectuer du hameçonnage (ce qui leur permettra de pénétrer de nouvelles boîtes mail).
• Ils envoient les messages ainsi préparés depuis d’autres ordinateurs infectés, à partir de comptes légitimes corrompus. Ceci leur permet d’obtenir des messages correctement authentifiés, ce qui rend leur blocage par les anti-spams très difficile.
• C’est ainsi que vous recevez des messages qui semblent légitimes, puisqu’ils semblent envoyés par des personnes que vous connaissez, et qu’ils ressemblent très fortement à des réponses à des échanges précédents.

Pour se protéger contre ce genre d’attaque, le meilleur moyen est de toujours avoir, sur tous les ordinateurs, un anti-virus à jour .

Ce principe s’applique aux ordinateurs de la fédérations, mais aussi à ceux des élus et bénévoles.

L’anti-virus mutualisé (Bitdefender) est en mesure, s’il est correctement configuré, d’isoler automatiquement un grand nombre de messages qui contiennent des virus.

• Si vous n’avez pas d’anti-virus sur votre ordinateur, c’est extrêmement grave. L’association nationale propose un anti-virus mutualisé, dont le coût est couvert par le forfait informatique dont s’acquittent toutes les fédérations. Il est possible d’en commander autant de licences que souhaité, pour protéger tous les ordinateurs d’une fédération, y compris ses comités et antennes, mais pas les ordinateurs des bénévoles qui doivent utiliser une protection personnelle. Les explications pour le commander se trouvent ici.
• Si vous utilisez un ordinateur du réseau éch@nges, Bitdefender est automatiquement configuré, vous n’avez rien à faire.
• Si vous utilisez Thunderbird pour relever vos messages et Bitdefender comme antivirus, consultez ces explications pour vérifier si la configuration est correcte.
• Si vous utilisez Thunderbird mais pas Bitdefender, vous pouvez consulter les même explications. Il faudra cependant vérifier dans votre anti-virus s’il est bien paramétré pour isoler les messages infectés.
• Si vous utilisez Outlook pour relever vos messages et Bitdefender comme antivirus, le filtrage se fait normalement automatiquement.
• Si vous utilisez Outlook pour relever vos messages et un autre antivirus, le filtrage dépend de l’anti-virus.
• Si vous uilisez le webmail pour consulter vos messages, il est très fortement conseillé d’utiliser un logiciel de messagerie, et de préférence Thunderbird. Les explications pour cela sont ici.

Vous trouverez également, en bas de cette page, un outil de détection spécialement dédié au virus qui nous ataque probablement. Cet outil, une fois téléchargé, s’exécute très rapidement. N’hésitez pas à l’utiliser régulièrement sur votre ordinateur (et à consulter le résultat à chaque fois).

Le propre d’Emotet est d’inonder les utilisateurs de messages qui semblent légitimes, dans le but que vous ouvriez une pièce jointe. Toutes les personnes qui ont, un jour, échangé un message avec une adresse du Secours populaire qui a été piratée sont donc susceptibles de recevoir un message frauduleux.

Pour vous tenir à l’abri, il y a deux solutions :

• Utiliser un anti-virus qui soit capable de filtrer les mails dans votre boîte mail, cf le paragraphe “Conseils de protection” ci-dessus.
• Supprimer les emails frauduleux un par un.

Pour supprimer les emails, il faut d’abord les identifier. Voici des pistes :

• Le nom de l’expéditeur ne correspond pas à son adresse. Pour voir cela, il faut souvent survoler le nom de l’expéditeur dans la fenêtre du message. Voici des exemples avec plusieurs logiciels de messagerie :
  
  
  
  
  
  
  
• L’objet du message commence par “Re:”, est envoyé par une personne que vous connaissez et son nom et son adresse figurent dans sa réponse, au début du message, sans la mise en forme habituelle des signatures du SPF.
• Il s’agit d’une réponse à un ancien message, parfois vieux de plus d’un an.

Deux éléments peuvent signifier que votre ordinateur est contaminé :

• Vous avez ouvert une pièce jointe d’un message suspect.
• Vous recevez des réponses suspectes à des messages que vous avez envoyés le jour même ou la veille.

Dans ces deux cas, il est extrêmement important de suivre la procédure suivante :

Contactez Mathieu (s’il s’agit d’une adresse @spfxx.org) au 06 07 11 69 01 ou David (s’il s’agit d’une adresse @secourspopulaire.fr) au 01 44 78 21 55, et indiquez-leur l’adresse concernée pour qu’ils modifient le mot de passe.

Téléchargez l’outil de détection, puis quittez tous les logiciels ouverts et lancez-le. Il va scruter l’ordinateur à la recherche du virus Emotet et enregistrer le résultat dans un fichier texte enregistré dans le dossier où se trouve l’outil (son nom commencera par le nom de votre ordinateur). S’il contient le texte “Emotet was not detected.”, le virus n’est pas présent sur votre ordinateur.

Effectuez ensuite un deuxième scan, avec l’anti-virus installé sur votre ordinateur.

• Si les deux résultats sont négatifs (pas de virus), vous pouvez continuer à utiliser votre ordinateur.
• Si un des deux résultats est positif (virus détecté), envoyez-nous une capture d’écran ou un rapport du résultat, à l’adresse postmaster@secourspopulaire.fr en précisant bien de quelle structure (région, fédaration, comité ou antenne) et de quel ordinateur il s’agit. Indiquez-nous comment vous joindre (par téléphone ou email). Puis éteignez votre ordinateur et attendez nos instructions. Il se peut qu’une réinstallation complète de votre ordinateur soit nécessaire.

Recommencez l’étape 2 pour tous les ordinateurs qui sont reliés au même réseau (c’est-à-dire, en général, les ordinateurs qui sont dans les mêmes locaux).

Cet outil a été réalisé par le CERT japonais, et diffusé en France par le CERT-FR.

• Version 32 bits
• Version 64 bits

Si vous ne savez pas quelle version est adaptée à votre ordinateur, cette page explique comment trouver l'information avec Windows X.