Le Federal Bureau of Investigation (FBI) des États-Unis a partagé plus de 4,3 millions d'adresses électroniques, récoltées par le botnet Emotet, avec le site de suivi des brèches de données Have I Been Pwned (HBIP) dans le but d'aider à alerter les victimes du célèbre botnet.
« Au total, 4 324 770 adresses électroniques ont été fournies, couvrant un large éventail de pays et de domaines. Les adresses proviennent en fait de deux corpus de données distincts obtenus par les agences lors du démantèlement », souligne Troy Hunt, fondateur de HBIP, dans un billet sur son blogue.
Cette mesure fait suite à une opération menée dimanche par les forces de l'ordre, qui ont diffusé une mise à jour sur tous les systèmes compromis par Emotet afin de les débarrasser du célèbre botnet. En janvier dernier, les autorités des Pays-Bas, d'Allemagne, des États-Unis, du Royaume-Uni, de France, de Lituanie, du Canada et d'Ukraine ont uni leurs forces pour perturber le botnet en prenant le contrôle de son infrastructure et en le démantelant de l'intérieur. Quelque 700 serveurs de commande et de contrôle ont été mis hors ligne.
À la suite de cette opération, le Bureau a contacté Hunt pour savoir s'il existait un moyen efficace d'avertir les victimes que leurs systèmes et leurs comptes avaient été compromis par Emotet.
EN SAVOIR PLUS : Comment vérifier si votre mot de passe a été volé lors d’une brèche de sécurité?
Le FBI a communiqué des informations de connexion à des courriels qui ont été stockées par Emotet pour l'envoi de spams par l'intermédiaire des fournisseurs de courriels des victimes, ainsi que des identifiants Web qui ont été récoltés à partir de navigateurs qui ont été sauvegardés pour accélérer les connexions avec le HIBP.
Alors qu'habituellement, ces deux brèches seraient traitées comme deux brèches distinctes, M. Hunt a déclaré qu'elles avaient été téléchargées comme une seule brèche, car « les mesures correctives sont très similaires ». Cependant, les utilisateurs qui souhaitent vérifier s'ils ont été affectés par Emotet ne pourront pas le faire en utilisant la barre de recherche de la page d'accueil du HIBP. Cela est dû au fait que l'incident a été classé comme sensible par Hunt, qui a expliqué avoir choisi cette approche afin que les utilisateurs touchés par Emotet ne deviennent pas des cibles.
« Une brèche de données sensibles ne peut être recherchée que par le propriétaire vérifié de l'adresse e-mail recherchée. Cela se fait via le système de notification qui consiste à envoyer un courriel de vérification à l'adresse avec un lien unique. Lorsque ce lien est suivi, le propriétaire de l'adresse verra toutes les brèches de données et les collages dans lesquels ils apparaissent, y compris les données sensibles », précise la Foire aux questions du site.
Si la recherche révèle que vous avez été touché par le tristement célèbre botnet, M. Hunt suggère plusieurs mesures simples à suivre pour en atténuer l'impact :
- Changez le mot de passe de votre messagerie électronique et les mots de passe de tous les services de grande valeur que vous avez connectés à ce compte;
- Maintenez votre solution de sécurité et vos dispositifs à jour;
- Les administrateurs en charge de systèmes à utilisateurs multiples devraient utiliser les règles YARA publiées par le DFN-CERT.