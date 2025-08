En juillet, un membre de LockBit, l'un des groupes de cybercriminels les plus dangereux au monde, spécialisé dans le vol de données avec demandes de rançon, a été appréhendé par les gendarmes de l'Unité nationale cyber (UNC) dans le cadre d'une vaste opération.

«Une première étape». Un Ukrainien lié au groupe de cybercriminels LockBit et à son rançongiciel éponyme, impliqué notamment dans la cyberattaque de l'hôpital de Corbeil-Essonnes (Essonne) en août 2022, a été interpellé le 16 juillet dans son pays d'origine, selon des informations rapportées ce mardi à l'AFP par le colonel Bertrand Michel, numéro 2 de l'Unité nationale cyber (UNC).

Âgé d'une trentaine d'années, l'individu, dont l'interpellation a été révélée par Franceinfo, est un «client» ou «affilié», à savoir un rançonneur qui implante le virus LockBit dans les systèmes informatiques des entreprises ciblées. Il reverse ensuite un pourcentage des rançons perçues au groupe créateur du logiciel malveillant.

Un préjudice estimé à plus de 100 millions d'euros

Entre juin 2022 et février 2024, plus de 7.000 attaques auraient été perpétrées à l'aide de LockBit, selon la National Crime Agency (NCA). À travers le globe, le virus, ses concepteurs et les affiliés ont ciblé les infrastructures critiques, ainsi que de grands groupes industriels, exigeant des rançons allant de 5 à 70 millions d'euros.

La France n'a pas été épargnée, comptant La Poste, des cabinets d'avocats, ou encore ministère de la Justice parmi les victimes. Le piratage de l'hôpital de Corbeil-Essonnes en 2022 a été particulièrement marquant puisque pendant trois mois, la structure avait été privée tous les logiciels, les systèmes de stockage et d'information ayant trait aux admissions de la patientèle.

Après plusieurs mois, le groupe cybercriminel avait notamment fini par mettre ses menaces à exécution en publiant une archive de plus de 11 gigaoctets de données volées au centre hospitalier.

Rien que l'année dernière, plus de 200 victimes ont été recensées en dans l'Hexagone. Le coût économique pour les entreprises victimes de ce type d'attaques est conséquent, puisque «50 % des PME et TPE qui en sont victimes ne parviennent pas à s'en relever», a ajouté le numéro 2 de l'UNC.

LockBit est considéré comme l'un des acteurs les plus prolifiques de la criminalité numérique mondiale, avec un préjudice estimé à plus de 100 millions d'euros.

Une opération coup de poing en 2024

Pourtant l'année dernière, le groupe a été significativement affaibli après par une opération conjointe menée par les autorités de dix pays, baptisée «Opération Cronos». 34 serveurs situés en Europe, en Australie, aux États-Unis et au Royaume-Uni ont été mis hors service, et 200 comptes de cryptomonnaies liés à LockBit gelés.

En octobre de cette même année, l'organisation a subi un nouveau coup dur avec une série d'arrestations. Deux personnes suspectées de collaborer avec lui et un présumé développeur du logiciel malveillant ont été appréhendés par les forces de l'ordre britanniques et un quatrième homme est arrêté en Espagne, où neuf serveurs sont également saisis.

À la suite de cette opération d'envergure, la section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête contre LockBit, dont la gestion a été attribuée à l'UNC, ainsi que plusieurs dossiers distincts impliquant d'autres affiliés et membres de groupes similaires.

C'est dans le cadre de cette enquête que l'Unité a pu identifier le rançonneur ukrainien, soupçonné d'être responsable de «plusieurs dizaines d'attaques avec des conséquences financières très importantes pour les entreprises victimes, allant jusqu'à des montants supérieurs à un million d'euros».

Cependant, il a été libéré après son interrogatoire par les enquêteurs français agissant sur commission rogatoire, car aucun mandat d'arrêt n'avait été émis contre lui et l'Ukraine ne disposait d'aucun motif légal pour prolonger sa détention. Par ailleurs, l'État n'extrade pas ses propres citoyens, à l'instar de plusieurs pays, incluant la France.

Un mandat d'arrêt prochainement

Un mandat d'arrêt devrait toutefois être émis contre lui prochainement, signifiant qu'il pourra être à nouveau arrêté s'il quitte son pays. La justice française peut également engager une procédure de dénonciation auprès des autorités ukrainiennes.

La ministre déléguée chargée de l'Intelligence artificielle et du Numérique, Clara Chappaz, a félicité les gendarmes sur le réseau social X, déclarant : «La France traque ses agresseurs partout».

Bravo aux gendarmes de l’Unité nationale cyber pour l’arrestation en Ukraine d’un membre de Lockbit, le groupe de hackers derrière l’attaque de l’hôpital de Corbeil-Essonnes en 2022.



La France traque ses agresseurs, partout. https://t.co/YVzogKgQK3 — Clara Chappaz (@ClaraChappaz) August 5, 2025

Néanmoins, les enquêteurs sont restés prudents. «Cette interpellation est une première étape. Quand un réseau tombe, ils changent de "crèmerie" [fournisseur]», a insisté le colonel Michel, en soulignant le rôle primordial des rançonneurs, qui ne sont pas attachés à un groupe criminel.

D'autant plus que le cerveau de Lockbit, Dmitry Khoroshev, est toujours libre en Russie. Il est, à ce jour, l'un des cybercriminels les plus recherchés au monde, le FBI promettant dix millions de dollars de récompense pour toute information menant à son arrestation.