Action conjointe contre la cybercriminalité : le BKA, Europol et Microsoft démantèlent l'infrastructure de logiciels malveillants

Au cœur de cette opération se trouvaient les deux logiciels malveillants les plus utilisés au monde, Amadey et StealC. Les enquêteurs ont découvert que, bien que développés par des criminels différents, les deux logiciels malveillants s'appuyaient sur la même infrastructure technique. Amadey s'introduit dans les systèmes, tandis que StealC vole les mots de passe et les données sensibles – une division du travail classique dans le milieu numérique clandestin.

Coopération internationale

Rien qu'au cours de la première quinzaine de mai, ces outils ont été impliqués dans plus de 140 000 infections dans le monde. Dans cet échantillonnage, l'Allemagne était, après les États-Unis, le pays le plus touché par les attaques. Pour comprendre le fonctionnement des logiciels malveillants, les enquêteurs ont eu recours à l'intelligence artificielle, qui leur a permis d'analyser le code complexe en quelques minutes au lieu de plusieurs jours.

La coopération germano-néerlando-danoise a constitué l'épine dorsale de l'opération. Le Bundeskriminalamt allemand y a joué un rôle important : avec les services de police néerlandais et danois, les agents allemands ont agi contre l'infrastructure criminelle dans le cadre de l'« Operation Endgame » internationale. Sous la direction d'Europol et du BKA, des centaines de serveurs ont été saisis, des millions de PC infectés libérés et des mandats d'arrêt internationaux émis contre les commanditaires.

Moyens juridiques contre les réseaux mondiaux

Le bilan de l'action est considérable : environ 15 000 sites web, plus de 320 serveurs et plus de 140 domaines ont été neutralisés. Microsoft a réussi à mettre hors service plus de 200 serveurs de commande et de contrôle (C2) – ces systèmes centraux grâce auxquels les pirates informatiques malveillants contrôlent à distance les appareils infectés. Parallèlement, le contrôle criminel sur plus de 18 000 ordinateurs identifiés comme appartenant à des victimes a été coupé dans le monde entier.

Parallèlement au démantèlement technique, des procédures judiciaires ont été engagées. En Allemagne, les enquêtes sont menées notamment pour suspicion d'extorsion en bande organisée et à caractère commercial ainsi que d'extorsion dans un cas particulièrement grave. Selon des informations relayées par les médias, la loi américaine contre le crime organisé a été appliquée – le RICO (Racketeer Influenced and Corrupt Organizations Act). Elle permet aux enquêteurs de poursuivre différents acteurs comme membres d'une seule conspiration criminelle mondiale et de frapper ainsi l'ensemble du réseau en une seule fois.

Voix des autorités d'enquête

Pendant que Microsoft enquêtait sur la menace posée par Amadey, le Centre européen de lutte contre la cybercriminalité (EC3) d'Europol enquêtait en parallèle sur le programme StealC. Cela inclut également des attaques du groupe associé à la Russie « Secret Blizzard », qui a utilisé des infections par Amadey pour des attaques contre des cibles en Ukraine. Les conséquences de telles attaques sont considérables et vont d'hôpitaux paralysés à de l'espionnage soutenu par des États.

Carsten Meywirth, chef de la division Cybercrime au BKA, a déclaré : « Mit der Fortsetzung der Operation Endgame sind wir erneut gegen die technischen Infrastrukturen vorgegangen, auf die sich zahlreiche Cyberkriminelle weltweit verlassen haben. » Un porte-parole du BKA a ajouté : « Die Maßnahmen nehmen den Tätern zentrale Werkzeuge aus der Hand, unterbrechen die virtuelle Infektionskette und schützen viele weitere potenzielle Opfer vor diesen Schadsoftware-Varianten. »

Avec l'opération, un élément essentiel du processus de création de valeur criminelle des structures en réseau et分工 (division du travail) dans le domaine de la cybercriminalité a été affaibli, a poursuivi le porte-parole du BKA. Meywirth a également souligné : « Das zeigt, dass die internationalen Strafverfolgungsbehörden Cybercrime grenzüberschreitend alle rechtlichen Mittel entgegensetzen, auch in enger Zusammenarbeit mit dem Privatsektor. » « Operation Endgame » a été à ce jour la plus grande opération de police internationale contre la cybercriminalité, lors de laquelle l'infrastructure des botnet loaders les plus dangereux au monde – dont Amadey – avait été démantelée en mai 2024.

L'action a également eu des répercussions immédiates sur le marché financier : l'action Microsoft cotée au NASDAQ a gagné temporairement 1,28 %, atteignant 378,73 dollars. L'information a été diffusée le 24.06.2026 dans l'émission Deutschlandfunk, datée de Redmond et Wiesbaden.