16-07-2025
Responsable de 2200 attaques en France, l'immense groupe cybercriminel prorusse «NoName057(16)» démantelé
Indéfectible soutien du Kremlin, le groupe «hacktiviste», qui s'amusait à paralyser entreprises et institutions européennes, comptait 4000 affiliés qu'il rémunérait en cryptomonnaie.
Un nouveau vaste coup de filet annoncé par les agences de police européennes. Le groupe cybercriminel prorusse NoName057(16) a été démantelé au terme d'une longue opération nommée «Eastwood», ont annoncé Europol et Eurojust ce mercredi 16 juillet. «Douze pays, ainsi qu'Eurojust et Europol, ont abattu le groupe hacktiviste NoName057(16), qui est responsable de multiples attaques (...) ciblant les infrastructures critiques telles que les fournisseurs d'électricité et les transports publics à travers l'Europe», indique Eurojust dans un communiqué de presse.
Parmi les pays impliqués dans l'opération, l'on compte la France, l'Allemagne, l'Italie, la République tchèque, la Finlande, la Suisse, l'Espagne, la Suède, les Pays-Bas et les États-Unis, notamment. Une coopération internationale justifiée par l'ampleur du réseau criminel: au total, NoName057(16) est responsable de plus de 74.000 attaques dans le monde depuis 2023, pour 4900 victimes.
Publicité
2200 attaques en France
La France a été la cible de plus de 2200 attaques, ayant touché plus de 200 entreprises et institutions publiques. En mars 2023 par exemple, le site internet de l'Assemblée nationale avait été paralysé. En juin, ce fut au tour de divers sites de la RATP d'être inaccessibles. En Allemagne, le réseau a exécuté 14 vagues d'attaques, dont certaines ont duré plusieurs jours, ciblant plus de 250 acteurs économiques. Selon la police criminelle allemande, l'objectif principal des attaques contre des cibles allemandes était «d'attirer l'attention des médias et d'influencer ainsi les décisions politiques ou sociales en Allemagne». Au Canada, plusieurs sites gouvernementaux, ainsi que celui du premier ministre Justin Trudeau, ont été attaqués. Le parlement finlandais, le service public polonais et le secteur bancaire danois ont aussi été frappés.
Spécialisé dans les attaques par déni-de-service (DDoS), qui visent à saturer un service ou un site de requêtes pour le rendre indisponible, NoName057(16) avait pour principal objectif de nuire à l'Ukraine et ses alliés, alors que la guerre continue de faire rage entre Kiev et Moscou.
Indéfectible soutien du Kremlin, le groupe «hacktiviste» accompagnait ses attaques de messages prorusses, comme en Belgique, en octobre 2023, où le groupe a paralysé les services du Palais Royal 24 heures avant une visite du président ukrainien Volodymyr Zelensky. Le message de revendication évoquait les promesses des autorités belges concernant l'envoi d'avions de chasse à Kiev. Des attaques ont également été menées partout en Europe lors des élections européennes.
4000 hackeurs payés en cryptomonnaie
«Plusieurs suspects ont été identifiés, dont les principaux instigateurs résidant en Fédération de Russie», ont poursuivi les agences. « Les individus agissant pour NoName057(16) sont principalement des sympathisants russophones qui utilisent des outils automatisés. Agissant sans direction officielle ni compétences techniques pointues, ils sont motivés par l'idéologie et la recherche de récompenses», décrit Europol.
La structure, bien que non hiérarchisée, aurait fédéré jusqu'à 4000 individus activement impliqués dans la création de centaines de serveurs utilisés pour envoyer des millions de requêtes. Pour recruter et motiver ses membres, NoName057(16) avait mis en place des mécaniques dites de «gamification», inspirées du jeu vidéo. Un système de badges et des tableaux de scores étaient affichés dans les espaces de discussion afin de récompenser les meilleurs pirates. Ceux-ci étaient ensuite payés en cryptomonnaie.
Publicité
«Pour diffuser des appels à l'action, des tutoriels et des mises à jour, le groupe a exploité des canaux prorusses, des forums et des groupes de discussion sur les applications de messagerie. Les bénévoles invitaient souvent des amis ou des contacts issus de forums de jeux vidéo ou de piratage informatique, formant ainsi de petits cercles de recrutement», décrit Europol.
Deux personnes ont été arrêtées, une en France et une en Espagne. «L'Allemagne a émis six mandats d'arrêt contre des suspects résidant en Fédération de Russie. Deux d'entre eux sont accusés d'être les principaux instigateurs des activités de NoName057(16)», a indiqué Europol. «Vingt-quatre perquisitions ont également été réalisées chez des affiliés du groupe dont une en France. De nombreuses preuves ont été saisies et sont en cours d'analyse», a déclaré le parquet de Paris dans un communiqué. L'infrastructure du serveur central du groupe a été découverte et mise hors ligne, a-t-il précisé.
