Europol, l’agence européenne de police criminelle, a intensifié sa lutte contre les cybercriminels avec plusieurs opérations majeures depuis un an. Une manière de casser le mythe du « hacker inatteignable » pour le Général Lecouffe.

Le démantèlement du site des cybercriminels de Hive en janvier en 2023, puis celui de Ragnar Locker en octobre, sans parler du piratage et des arrestations du collectif Lockbit en février… Europol, l’agence européenne de police criminelle, enchaine les opérations d’ampleur contre les gangs de hackers depuis plus d’un an.

Les forces de l’ordre sont même allées jusqu’à prendre le contrôle de la plateforme cybercriminelle de Lockbit et détourner leur site pour en faire une page avec des communiqués de la police, parfois même avec un ton humoristique. Rencontré lors du Forum InCyber, le plus grand salon de la cybersécurité en Europe, le Général Lecouffe, directeur opérationnel d’Europol, nous partage les ambitions de l’agence.

Le Général Lecouffe, directeur opérationnel d'Europol. // Source : Europol
Le Général Lecouffe, directeur opérationnel d’Europol. // Source : Europol

L’opération de Lockbit est marquante par son mode opératoire, puisque vous avez aussi humilié les hackers. Pourquoi avoir réservé un tel sort à ce gang ?

Général Lecouffe — Je ne dirais pas humilier, puisque ce n’était pas un acte gratuit et sans raison, il y avait un réel objectif derrière de ternir, voire détruire la réputation de Lockbit. En piratant leur site pour le transformer en une plateforme où on poste des communiqués, on a d’abord voulu faire passer un message au milieu du cybercrime.

Pour rappel, Lockbit fait louer son logiciel à des pirates et prend 20 % de commissions sur les rançons récupérées après une cyberattaque. Ce gang contrôlait 25 % du marché des ransomware et comptait près deux cents affiliés (des pirates clients).

Lorsque l’on a pris le contrôle du site, on a envoyé un message sympathique à tous ces hackers affiliés pour leur dire « ce n’est plus à Lockbit que vous parlez, mais à nous ». Déjà, on signale aux affilés que l’on a des infos sur eux et ensuite on ruine la réputation de Lockbit sur « le plan commercial ».

Là où les cybercriminels affichaient auparavant leur victime et leurs données, se trouvent désormais des communiqués de presse et des mandats d'arrestations.   // Source : Numerama
Là où les cybercriminels affichaient auparavant leur victime et leurs données, se trouvent désormais des communiqués de presse et des mandats d’arrestations. // Source : Numerama

Alors que le piratage du site avait déjà eu impact conséquent sur leur image, en publiant tour à tour des communiqués sur l’arrestation, puis la saisie des serveurs directement sur leur site, on a dévoilé progressivement l’ampleur de l’opération. Même si Lockbit prétend remonter la pente derrière, on sait que leur image est ternie dans le milieu.

Comment expliquer ce regain dans la lutte contre les cybercriminels ?

Général Lecouffe — Pendant un moment, beaucoup d’entreprises payaient la rançon sans le signaler aux autorités. Une grande partie des attaques échappaient aux forces de l’ordre. La cyberattaque contre l’oléoduc américain Colonial Pipeline en 2021 a été une prise de conscience majeure. En 2022, une Initiative internationale de lutte contre les rançongiciels a été mise en place entre près de cinquante pays. Quand on aligne les politiques, les stratégies et puis les ressources, on peut se lancer correctement dans une lutte contre le cybercrime.

Ce n’est pas seulement le ransomware qu’on cible, mais toute la chaîne du cybercrime qui permet de lancer des attaques et entretenir cette activité : les forums de reventes, les crypto mixers pour dissimuler l’origine des cryptomonnaies, les botnets pour envoyer des messages de phishing. Le démantèlement de l’infrastructure de QuackBot c’est plus de 700 000 machines désactivées dans 30 pays, par exemple, qui étaient louées pour mener des campagnes d’hameçonnage par exemple.

Doit-on en conclure que les hackers peuvent être touchés, même quand ils sont cachés dans d’inatteignables pays ?

Général Lecouffe — Il y a un discours répandu de dire : « toute façon, on ne peut rien faire, ils sont en sécurité quelque part où on ne peut les atteindre ». Or aujourd’hui on prouve qu’on peut leur porter des coups. Il y a des arrestations. Rappelons : deux membres de Lockbit ont été arrêtés en Pologne et en Ukraine. Et lorsque ce n’est pas possible, on va mettre en place des mandats d’arrêts et communiquer avec de nombreux pays pour les empêcher de sortir.

Les images de l'arrestation des hackers de Lockbit. // Source : Police nationale ukrainienne
Les images de l’arrestation des hackers de Lockbit. // Source : Police nationale ukrainienne

On est capable de s’en prendre à leur ressource, de bloquer leur portefeuille, leurs rentrées d’argent. Et plus généralement, les forces de l’ordre ont la capacité de nuire en s’attaquant directement à leur infrastructure.

Chaque opération, à l’instar de celle de Lockbit, nous en apprend plus sur leurs méthodes, leur mode opératoire. La bataille n’est jamais finie évidemment. À vrai dire, je ne pense pas qu’elle se finira un jour, mais maintenant qu’on en sait plus sur eux, on peut envisager d’autres opérations et se dire « la suite, au prochaine épisode ».

Cet article existe grâce à

Cet article a pu voir le jour grâce au financement de nos adhérent·e·s, offrant le temps et les ressources nécessaires à la production d’une information de qualité. Numerama+ permet à Numerama de rester gratuit et éviter de verrouiller le web derrière un mur payant.

Zéro publicité, meilleur confort de lecture, articles résumés par l’I.A et plus encore... Si vous souhaitez soutenir la mission de Numerama et profiter de nombreux avantages exclusifs, adhérez à Numerama+.

Découvrez Numerama+

Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.