Skip to content
Retour aux chroniques
#ransomware#police#lockbit

Opération Cronos : démantèlement de LockBit

Des polices de dix pays ont saisi le site de fuite de LockBit et l’ont remplacé par le leur. La défaçage était plus drôle que tout ce que le gang avait jamais publié.

Cyber Chronicle2 min de lecture

Pendant l’essentiel de 2022 et 2023, LockBit a été la marque de ransomware la plus prolifique d’internet. Le groupe a revendiqué des incidents contre Boeing, le Royal Mail britannique, Ion Trading, et des centaines de cibles plus petites. Il se vendait avec un portail affilié professionnel, des sorties produit régulières, et un QA interne sur son outillage de chiffrement.

Un lever de rideau coordonné

En février 2024, l’opération Cronos — un effort conjoint mené par la National Crime Agency britannique avec le FBI, Europol, et des partenaires de dix pays — prend le contrôle du site de fuite de LockBit, de ses panneaux d’administration et d’environ deux cents portefeuilles crypto. Les enquêteurs récupèrent des clés de déchiffrement pour d’anciennes victimes et transforment le site de fuite en page d’accueil moqueuse des forces de l’ordre, comptant à rebours le démasquage des dirigeants de LockBit.

L’élément performatif est délibéré. Les marques de ransomware commercialisent l’intimidation. En réutilisant l’infrastructure de publication de LockBit pour poster des comptes à rebours railleurs, les agences s’en prenaient à la marque elle-même plutôt qu’à la seule infrastructure.

Une courte pause

LockBit refait surface en quelques semaines sur une nouvelle infrastructure, soutenu par sa liste d’affiliés existante. Mais sa crédibilité — la garantie implicite aux victimes que payer signifiait la suppression, et aux affiliés que la marque valait la commission — ne s’en est jamais entièrement remise. Les actes d’accusation qui ont suivi ont désigné l’administrateur supposé du groupe, un ressortissant russe inculpé par contumace aux États-Unis, au Royaume-Uni et en Australie.

Ce que la chronique retient

L’opération Cronos a marqué un tournant dans la politique anti-ransomware. Les démantèlements antérieurs se concentraient sur l’infrastructure ; Cronos s’est concentrée sur la réputation. Le manuel — saisir un site de fuite et l’utiliser pour railler le groupe — a depuis été rejoué contre d’autres marques.