Contexte du groupe LockBit
LockBit est identifié comme un acteur majeur du secteur des rançongiciels, utilisant un modèle de franchise qui a engendré plusieurs milliers de victimes dans le monde. Le logiciel malveillant développé par ce groupe permet à des affiliés d'infiltrer les systèmes informatiques de diverses organisations, exigeant des rançons pour restaurer l'accès aux données ou éviter leur publication. Parmi les attaques imputées à ce groupe figure celle ayant affecté le centre hospitalier Simone Veil de Cannes, qui a entraîné d'importantes perturbations des activités médicales.
Opération internationale et arrestation
Début 2024, une opération internationale d’envergure a permis la saisie de serveurs, le gel d’actifs en cryptomonnaies et l’arrestation de plusieurs membres présumés de LockBit dans différents pays. À la suite de cette opération, la section cybercriminalité du parquet de Paris a ouvert une enquête confiée à l’Unité nationale cyber (UNC). Un groupe de travail dédié a ainsi permis l'identification d’un individu ukrainien affilié au réseau.
Le 16 juillet, cet Ukrainien, âgé d’une trentaine d’années, a été interpellé dans le sud de l’Ukraine par les gendarmes français de l’UNC, en coopération avec les autorités locales. Cet individu occupe le rôle d’affilié et implante le rançongiciel LockBit dans les systèmes de ses cibles, reversant une partie des rançons au groupe à l’origine du logiciel. Il est soupçonné d’avoir participé à plusieurs dizaines d’attaques en France et à l’étranger, causant des préjudices financiers significatifs, estimés parfois à plus d’un million d’euros par entreprise victime.
Suite de la procédure judiciaire
Après son interpellation, l’individu a été entendu par les enquêteurs français dans le cadre d’une commission rogatoire. Toutefois, faute de base légale pour sa détention en Ukraine et en raison de l’absence d’accord d’extradition des ressortissants ukrainiens, il a été remis en liberté. Un mandat d’arrêt devrait être délivré à l’avenir, permettant une nouvelle arrestation si le suspect quitte le territoire ukrainien. Par ailleurs, la justice française peut engager une procédure de dénonciation auprès des autorités ukrainiennes.
Conséquences et perspectives
Selon les autorités françaises, l’arrestation d’un affilié est considérée comme une étape dans la lutte contre les cyberattaques par rançongiciel. Les membres affiliés sont réputés pour s’adapter rapidement en rejoignant d’autres réseaux si un groupe principal est démantelé. L’impact de ces attaques est important, notamment pour les PME et TPE, dont une proportion élevée ne parvient pas à se relever financièrement après avoir été ciblée par ce type de cybercriminalité.
Maintien de la menace
Malgré les actions menées, des experts soulignent la capacité de renouvellement et d’adaptation des groupes de cybercriminels, qui peuvent réutiliser ou adapter les codes existants pour poursuivre leurs activités. Le cerveau présumé de LockBit, identifié comme Dmitry Khoroshev, reste introuvable, et une récompense a été promise par le FBI pour toute information menant à son arrestation.
L’affaire illustre les difficultés persistantes à lutter efficacement contre la cybercriminalité transnationale et souligne la nécessité d’une coopération internationale renforcée pour faire face à ce phénomène.
