Début octobre, Microsoft a réuni autour de lui une coalition d’entreprises de cybersécurité. Leur objectif : étouffer les activités du dangereux TrickBot avant l’élection présidentielle américaine.
« TrickBot » désigne à la fois une organisation, le botnet [un réseau complexe d’appareils infectés, ndlr] qui y est rattaché, et un malware destiné au vol d’information. Il opère souvent aux côtés d’autres botnets comme Emotet ou BazarLoader, et peut servir à déployer des rançongiciels comme Ryuk. C’est cette dernière menace qui inquiétait le plus les chercheurs : les rançongiciels ont la capacité de paralyser certaines infrastructures nécessaires au bon déroulement de l’élection, ou de tout simplement créer un climat de panique.
Cette inquiétude est partagée par le Cyber Command, division spécialisée de la Défense américaine. Un rançongiciel pourrait ralentir le compte des voix ou rendre difficile la diffusion de l’information, le tout dans l’intérêt de pays cherchant à déstabiliser l’élection.
Malgré les efforts répétés de Microsoft pour saisir les serveurs des cybercriminels, ces derniers parviennent encore à en ouvrir d’autres. Résultat : la menace TrickBot planera bien sur l’élection, qui se tient ce 3 novembre.
94% des serveurs de commande désactivés
La coalition d’entreprise a donc commencé son travail de sape le 12 octobre, consciente qu’elle ne pourrait démanteler le réseau des malfaiteurs que sur la durée. Leur première action avait perturbé l’activité du botnet l’espace de deux jours, mais il était parvenu à trouver de nouveaux serveurs.
Huit jours après ces premiers coups de boutoir, Microsoft annonçait qu’il était passé à la vitesse supérieure : il avait saisi 120 des 128 serveurs de contrôle et commande (C&C) de TrickBot, dont une cinquantaine d’ouverts après la première opération. Le groupe précisait même que les 8 restants étaient clairement identifiés et allaient tomber sous peu. Ces serveurs C&C servent à diriger le million d’appareils infectés (serveurs, ordinateurs, et autres objets connectés) que compte le botnet. Autrement dit, Microsoft espérait avoir déconnecté les cerveaux du TrickBot, et l’avoir ainsi neutralisé, au moins temporairement.
Mais ces efforts n’ont pas suffi. Une semaine après le communiqué de Microsoft, TrickBot était mentionné dans une longue alerte émise conjointement par le FBI et les ministères de l’Intérieur et de la Santé américains. Selon l’entreprise Hold Security, qui a averti les autorités, le botnet était mobilisé pour lancer des cyberattaques contre plus de 400 hôpitaux et autres établissements de santé américains, dans le but de déployer un rançongiciel. Et il avait déjà fait une première victime, un hôpital réduit au travail sans outil informatique, avec des simples crayons et papiers, d’après Reuters.
Affaibli, mais toujours actif, TrickBot emporte une victoire sur Microsoft
La menace TrickBot n’a donc pas été écartée avant ce 3 novembre, jour de l’élection présidentielle. Les opérateurs parviennent toujours à exploiter leur botnet grâce à leurs derniers serveurs C&C, répartis entre le Brésil, la Colombie, l’Indonésie et le Kirghistan, d’après les chercheurs de Intel471.
C’est un petit échec pour Microsoft et ses alliés, doublé d’un constat inquiétant pour le monde de la cybersécurité : même une des entreprises de sécurité les plus puissantes au monde, dotée des meilleurs outils et compétences techniques et légales, n’a pas réussi à arrêter complètement l’activité du botnet avant l’élection.
Pour autant, cela ne signifie pas que l’entreprise n’y parviendra pas à l’avenir : en fermant de façon répétée les serveurs de TrickBot, et en limitant ses capacités à en ouvrir d’autres, elle pousse les cybercriminels à consommer des ressources. Elle affaiblit à la fois leurs finances et leur réputation. Le groupe réussit son travail de constriction, mais il prend plus de temps que prévu à porter ses fruits.
Malheureusement, TrickBot n’est qu’un seul biais de déploiement des rançongiciels, parmi des dizaines utilisés par les cybercriminels. Même si Microsoft parvient enfin à l’achever, d’autres botnets comme BazarLoader semblent déjà prêts à reprendre ses activités. En attendant, l’Election Day devrait être particulièrement long pour les équipes de sécurité des acteurs publics et privés impliqués.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.