Europol se félicite de l'opération contre les hackers de LockBit : "On peut dire qu'on les a décapités"

Une opération de police internationale pour "hacker les hackers" a permis de neutraliser le groupe de cybercriminels LockBit. Ce groupe spécialisé dans les attaques par rançongiciel ("ransomware") avait mené plus de 200 actions en France, notamment contre les hôpitaux de Corbeil-Essonnes et Versailles. Le groupe, et le rançongiciel du même nom, LockBit 3.0, a rançonné plus de 2 000 victimes dans le monde et obtenu plus de 120 millions de dollars (110 millions d'euros) de butin avant d'être à son tour ciblé par une opération policière internationale, dévoilée mardi 20 février par la National Crime Agency britannique (NCA) en collaboration avec le FBI américain et l'agence de police européenne Europol. Jean-Philippe Lecouffe, directeur exécutif adjoint des opérations de l'agence européenne, revient pour franceinfo sur l'opération Cronos.

franceinfo : En quoi l’opération menée contre LockBit dévoilée d’aujourd’hui est extraordinaire ?

Jean-Philippe Lecouffe : D'abord parce que la cible, c'est le plus gros des rançongiciels au monde. On l'estime à un quart de ce marché criminel. C'est ce qu'on appelle un service criminel, chacun peut venir se connecter. Il fournit des services extrêmement "performants" pour ceux qui veulent faire une attaque de rançongiciel. C'était donc important qu'on puisse l’attaquer. Il a fait pas mal de dégâts en France. Le site du ministère de la Justice avait été attaqué, ce qui a déclenché d'ailleurs la saisine du Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie qui est un petit peu un démarrage de cette coopération d'abord européenne, puis élargie très rapidement à nos collègues britanniques et américains.

Quelle est l’ampleur du coup porté aujourd’hui à cette organisation ? Parce qu'on le comprend bien, elle n'est pas complètement démantelée.

On a encore beaucoup de travail à faire. Mais toute l'infrastructure technique qui permettait de commettre les attaques est maintenant entre les mains des forces de l'ordre. Contrôlée par les forces de l'ordre, en particulier par nos collègues britanniques de la National Crime Agency. Donc, toute l'infrastructure qui avait été mise en place ne peut plus être utilisée par les criminels, puisque c'est nous qui en avons la maîtrise. C'est vraiment majeur. A partir de là, on recueille aussi beaucoup d'informations qui vont nous permettre de mettre en cause les uns et les autres.

Vous mettez la main sur des comptes avec de l'argent, des cryptomonnaies. Est-ce que ça veut dire que certaines des victimes qui ont payé des rançons vont pouvoir retrouver leur argent ?

C'est plus de 200 comptes en cryptomonnaies qui ont été gelés pour l'instant. Il faut ensuite établir les liens. Ce que l'on essaie de faire, c'est d'abord de saisir l'argent, puisque c'est de l'argent criminel. On verra ensuite ce que la justice décidera d'en faire.

Cette opération a également mené à des interpellations dans le monde entier ?

Oui, il y a eu des arrestations aux Etats-Unis. Il y a deux interpellations qui ont eu lieu ce matin même [mardi 20 février], sur des mandats d'arrêt de magistrats français, en Pologne et en Ukraine, avec le soutien de gendarmes français qui ont été dépêchés sur place et l’appui d'Europol, l'agence européenne de police que je représente.

Vous avez également collecté un grand nombre de données sur les serveurs dont vous avez maintenant le contrôle. Les données des victimes mais aussi des criminels ?

L'essentiel des données nous permettra, nous l'espérons, d'identifier ce qu'on appelle des affiliés. Cette plateforme offre un service de rançon, donc les données recueillies nous informent sur la plateforme elle-même, sur ceux qui la maintiennent et sur ceux qui s'y connectent pour récupérer des rançons et commettre ensuite des attaques. Il faut qu'on regarde ensuite dans le détail. Notre objectif principal, c'est d'identifier ces affiliés qui ont commis des attaques en se servant des services de LockBit.

Les gens que vous avez interpellés dirigeaient-ils ce système ? Avez-vous décapité cette organisation ?

Oui, on peut dire qu'on a décapité cette organisation, mais surtout, ce qui est important dans ce milieu-là, on a détruit sa crédibilité. Parce qu'en fait, ce sont des organisations qui aiment bien se vanter de leur capacité à mettre en échec les forces de l'ordre et à créer la confiance pour que les criminels viennent sur cette plateforme plutôt que sur d'autres. Aujourd'hui, on a pris le contrôle de l'infrastructure de cette organisation et un message l’annonce dès qu’un des affiliés essaie de se connecter.

Vous envoyez donc aujourd’hui un message directement à ces gens-là. Même ceux qui n’ont pas été interpellés ?

C'est exactement ça. On est en train de leur dire : vous étiez un affilié de cette plateforme, LockBit. Regardez bien par-dessus votre épaule parce qu'on est derrière vous et on va bientôt venir vous chercher.