Lockbit: pourquoi le "démantèlement" du groupe de hackers ne rassure pas forcément les autorités françaises

Et si la mise à mal des serveurs du groupe de hackers Lockbit était paradoxalement intervenue trop tôt? L'idée semble trotter dans la tête des autorités françaises, quelques heures après le coup de filet contre l'organisation cybercriminelle, souvent désignée comme l'une des plus dangereuses au monde.

Spécialisée dans la diffusion de rançongiciels - des virus qui chiffrent les données des victimes et ne les restituent que contre le paiement d'une rançon, l'organisation Lockbit a vu son site web et les données volées aux victimes saisie lors de l'opération Cronos, née d'une coopération entre les autorités européennes, britanniques et américaines. Mais si l'outil est démantelé, les têtes pensantes sont toujours en liberté, probablement en Russie.

"Ils vont être capables de le refaire"

Le colonel Pascal Péresse, chef de la division des opérations du Centre de lutte contre les criminalités numériques (C3N), ne se montre d'ailleurs pas très optimiste auprès de Tech&Co:

"Je pense qu'on leur fait perdre quelques mois. Ils vont être très désorganisés. Mais ce qu'ils ont mis en place, ils vont être capables de le refaire."

Comme le rappelle Pascal Péresse auprès de Tech&Co, ses équipes ont largement contribué à l'enquête internationale, en travaillant très tôt sur le cas Lockbit. Dès 2019, les premières attaques du groupe ont été enregistrées en France, et suivies de près par le parquet de Paris, via sa section J3, dédiée à la cybercriminalité.

C'est cette section, qui, pour des raisons de cohérence et d'efficacité, a demandé au C3N de suivre l'affaire, avec près de 250 plaintes enregistrées au cours des trois dernières années. Parmi les attaques les plus emblématiques, celle qui a paralysé l'hôpital de Corbeil-Essonnes, fin 2022.

Elles ont par ailleurs été amenées à participer à certaines interpellations, comme ce fut le cas en octobre 2022, pour mettre la main sur un ressortissant russe affilié à Lockbit, au Canada, aux côtés des autorités locales.

Des arrestations qui restent toutefois limitées aux membres de Lockbit qui transitent sur le territoire de pays acceptant de coopérer. Si Pascal Péresse n'évoque pas directement la Russie comme terre d'accueil du groupe de cybercriminels, les regards des spécialistes convergent vers le pays, notamment en raison du caractère russophone des membres de Lockbit.

"Une action limitée"

"Nous avons davantage d'informations sur des gens qui sont impliqués (que ce qui a déjà été communiqué, NDLR), mais qui sont localisés en Russie, et sur lesquels nous avons une action très limitée" regrette-t-il.

Et le spectre du retour en force des têtes pensantes de Lockbit, sous la forme actuelle ou sous une autre, pourrait intervenir dès l'été, au moment même où les JO de Paris retiendront toute l'attention. De quoi presque regretter que le coup de filet n'ait pas attendu quelques semaines, voire quelques mois.

"Cela nous aurait arrangés que ça soit un peu plus tard, car la capacité à remonter en puissance s'en trouverait réduite. Nous sommes en février, et ça laisse toujours des possibilités" explique ainsi Pascal Péresse.

Même si Lockbit ne parvient pas à se relever de cette opération, d'autres groupes de hackers pourraient être tentés d'occuper la place. Par le biais d'attaques informatiques évoluées, basées sur des rançongiciels, mais aussi de façon plus élémentaire, avec des attaques par force brute (DDOS).

Ces dernières simulent de nombreuses connexions à un serveur pour le saturer, et faire tomber des services en ligne. Des attaques sans grande gravité, mais qui peuvent s'avérer particulièrement nuisibles pour les millions de spectateurs attendus en France.