Le groupe de cybercriminels Lockbit mis hors d’état de nuire

Par Antoine Faure
Publié le 21 février 2024

1655775-la-page-d-accueil-du-site-de-pirates-lockbit-affiche-desormais-la-notice-d-information-des-autorites.jpg — La page d'accueil du site de pirates Lockbit indiquant qu'il est désormais sous le contrôle des autorités. On y voit notamment les drapeaux des pays ayant participé à l'opération.

Grâce aux investigations menées depuis 2020 par les gendarmes de l'Unité nationale cyber (UNC) – C3N, une opération de grande ampleur menée par une task force composée de la France, du Royaume-Uni, des États-Unis, de l'Allemagne, des Pays-Bas, de la Suisse, du Japon, de l'Australie, du Canada et de la Suède, a permis le démantèlement du groupe de cybercriminels Lockbit, considéré comme le plus nuisible au monde.

C’est une opération qui fera date dans la lutte quotidienne contre la cybercriminalité. Actif depuis la fin de l'année 2019, le rançongiciel Lockbit est un « ransomware as a service » mis à disposition de groupes d'attaquants, dits affiliés. Ce logiciel malveillant est l'un des plus actifs au niveau international, comptabilisant près de 2500 victimes, dont plus de 200 en France, parmi lesquelles des hôpitaux, des mairies, et des sociétés de toutes tailles. Lockbit était souvent considéré comme le groupe de hackers le plus nuisible au monde.

Depuis 2020, une enquête est ouverte en France par la section de lutte contre la cybercriminalité du parquet de Paris (J3), des chefs d'extorsion en bande organisée, d'association de malfaiteurs en vue de commettre un crime ou un délit, d'accès et maintien dans un système de traitement automatisé de données commis en bande organisée, d'introduction et modification frauduleuse de données contenues dans un système de traitement automatisé de données commises en bande organisée, et d'entrave au fonctionnement d'un système de traitement automatisé de données commise en bande organisée. Une instruction judiciaire est ouverte et les investigations menées par les gendarmes de l'Unité nationale cyber (UNC) – C3N.

Une task force à l’initiative de la France

La semaine du 19 février 2024, une opération de grande ampleur est menée par une task force, créée au sein d’EUROPOL à l’initiative de la France, et composée de la France, du Royaume-Uni, des États-Unis, de l'Allemagne, des Pays-Bas, de la Suisse, du Japon, de l'Australie, du Canada et de la Suède. Elle s'inscrit dans le cadre d'une coopération durable avec les pays partenaires, ayant donné lieu à plusieurs réunions de coordination au sein de l'agence EUROJUST.

Cette opération, baptisée Cronos, a permis aux différents services d'enquête de prendre le contrôle d'une partie importante de l'infrastructure du rançongiciel Lockbit, y compris sur le darknet. A notamment été maîtrisé le « wall of shame », sur lequel étaient publiées les données des victimes refusant de payer la rançon. D'autres serveurs utilisés par le groupe criminel ont par ailleurs été saisis, en Allemagne et aux Pays-Bas. Cette action prive le réseau de sa capacité à opérer. La task force a également saisi de nombreux comptes en crypto-actifs liés à l'organisation criminelle. Les enquêteurs français ont en outre procédé à l’interpellation de deux cibles en Pologne et en Ukraine et à des perquisitions.

L'enquête avait déjà permis l'interpellation au Canada en octobre 2022 d'un affilié de plusieurs rançongiciels dont Lockbit et Ragnar Locker. Les investigations vont se poursuivre pour identifier et interpeller d'autres membres du groupe.

Cette réussite intervient quelques semaines après le coup d’arrêt porté par les cybergendarmes au groupe de cybercriminels Ragnar Locker.