'Lockbit', l’organisation de hackers “décapitée” selon Europol : en est-on sûr ?

Quand le directeur exécutif adjoint des opérations d’Europol, Jean-Philippe Lecouffe, se réjouit, sur franceinfo, d’avoir "décapité" Lockbit, certains spécialistes de la cybersécurité ne partagent pas complètement cet optimisme.

En effet, un rien sépare un coup de filet, d’un coup d’épée dans l’eau, dans cet univers souvent impénétrable, mais c’est aussi l’une des raisons de croire à la réalité de ce démantèlement : certains pirates se sentent parfois tellement à l’abri et hors de portée, qu’ils négligent d’assurer leurs arrières ; ils ne prennent ni le temps, ni la peine, de monter des serveurs redondants, d’effectuer des sauvegardes. De prévoir tout ce qui leur permettrait, dans un cas pareil, de redémarrer leur activité, assez rapidement.

Sur le papier – c’est vrai – cette opération baptisée 'Cronos' porte un coup très dur à ce réseau de hackers, qui a émergé en 2019 et qui a donné son nom à Lockbit 3, son ransomware, "rançongiciel" en français : l’un de ces logiciels qui pénètrent un réseau informatique grâce à une brèche et le paralysent, dans l’attente du paiement d’une rançon. En cinq ans, on parle d’au moins 100 millions d’euros extorqués, et de plusieurs milliards de dollars de dégâts causés.

Deux motivations : l'argent et l'ego

La motivation principale des hackers : l’argent, mais pas seulement. L’autre corde sensible, c’est l’ego. Lockbit n’a pas seulement été frappée. La structure a aussi été décrédibilisée, "ridiculisée", dit le numéro 2 d’Europol : les autorités ont même pris le contrôle du propre site de Lockbit, pour afficher les visages des hackers, les mandats d’arrêt, les comptes de cryptomonnaies saisis, et les antidotes informatiques ; un site destiné aux clients de Lockbit, qui utilisaient le logiciel pour leurs propres méfaits, contre une commission reversée à l’organisation, estimée à 20%.

Et donc, attention au désir de revanche, voire de vengeance – si c’est encore possible. S’ils ne l’étaient pas déjà, les 10 pays à l’origine de l’opération Cronos risquent de devenir des cibles prioritaires, en cas de réapparition de Lockbit. L’infrastructure technique est – certes – entre les mains des forces de l’ordre mais, a priori, la tête pensante de l’organisation qui se fait appeler LockbitSupp, court toujours, tout comme plusieurs ressortissants russes qui ne risquent probablement rien en Russie.

Cinq mois jusqu'aux JO de Paris 2024

La France n’est pas n’importe lequel de ces dix pays. Premièrement, en 2022, c’était le deuxième pays le plus visé en Europe après l’Allemagne selon Anozr Way. Ensuite, le point de départ de l’enquête qui a débouché sur le coup de filet de lundi, c’est une attaque informatique menée par Lockbit, en janvier 2022, contre le site du ministère français de la Justice. En cinq ans, plus de 200 entreprises et administrations, en France, ont été visées par Lockbit. On pense aux hôpitaux de Corbeil-Essonnes et Versailles, à la Poste Mobile, à Thalès, à Voyageurs du monde ou aux cosmétiques Nuxe.

On pense aussi aux Jeux de Paris qui démarrent dans 5 mois. Le timing pourrait laisser suffisamment de temps à Lockbit pour renaître de ses cendres avant l’ouverture de ce qui sera l’événement le plus regardé, dans le monde, en 2024.