DATE : Mars 2025
CATÉGORIE : Actualité / Opérations policières
Operation Cronos : comment les forces de l'ordre ont mis LockBit à genoux
Introduction
Le 19 février 2024, une opération policière d'envergure internationale a mis un coup d'arrêt spectaculaire aux activités de LockBit, le groupe de ransomware le plus actif au monde. Coordonnée par la National Crime Agency (NCA) britannique en collaboration avec le FBI, Europol, Eurojust et les forces de l'ordre de dix pays supplémentaires, l'Opération Cronos est devenue un cas d'école de la réponse internationale aux cybermenaces.
LockBit, un empire criminel au modèle industriel
LockBit opérait selon le modèle Ransomware-as-a-Service (RaaS) : le groupe développait et maintenait le logiciel malveillant, l'infrastructure de paiement et les sites de publication des données volées, tandis qu'un réseau d'affiliés se chargeait de mener les attaques. Les affiliés versaient environ 20 % des rançons encaissées et conservaient le reste.
Selon les données saisies lors de l'opération et publiées par la NCA, entre juin 2022 et février 2024, plus de 7 000 attaques ont été lancées depuis l'infrastructure LockBit. Le groupe était à lui seul responsable de 25 % des déploiements mondiaux de ransomware en 2023. Les cinq pays les plus ciblés étaient les États-Unis, le Royaume-Uni, la France, l'Allemagne et la Chine.
Le déroulement de l'opération
L'Opération Cronos a reposé sur une infiltration préalable du réseau LockBit. Pendant plusieurs mois, les enquêteurs ont maintenu un accès discret aux serveurs du groupe avant de déclencher l'action finale. Le 19 février 2024, les autorités ont simultanément saisi les serveurs et le site de fuite dark web, arrêté deux affiliés en Pologne et en Ukraine, gelé plus de 200 comptes en cryptomonnaie, démantelé 14 000 comptes et 34 serveurs, et récupéré plus de 1 000 clés de déchiffrement.
La dimension symbolique est particulièrement remarquable : au lieu de simplement mettre hors ligne le site de LockBit, les autorités l'ont repris à leur compte. Pendant plusieurs jours, le site dark web normalement utilisé pour publier les données des victimes a été transformé en espace d'information exposant les opérations criminelles du groupe.
L'identification du leader
En mai 2024, les autorités américaines et britanniques ont dévoilé l'identité du cerveau de l'opération. Dmitry Khoroshev, alias LockBitSupp, un citoyen russe, a été désigné comme l'administrateur principal du groupe. Des sanctions ont été prononcées contre lui par les États-Unis, le Royaume-Uni et l'Australie, et une récompense de 10 millions de dollars a été offerte pour toute information permettant son arrestation.
Les limites de l'opération
L'impact, bien que réel, s'est avéré partiel. Dès le 24 février 2024, cinq jours après le démantèlement , LockBitSupp annonçait la résurgence du groupe sur de nouveaux serveurs. Trend Micro a constaté une baisse nette des infections effectives, et la NCA a confirmé une réduction de 73 % des attaques LockBit au Royaume-Uni depuis février 2024. Mais les affiliés les plus expérimentés ont migré vers d'autres groupes, illustrant la résistance structurelle du modèle RaaS à la répression.
En mai 2025, LockBit a subi une nouvelle humiliation : son infrastructure a été compromise, exposant publiquement ses données internes, messages de négociation, adresses Bitcoin, identifiants d'affiliés.
Ce que cette opération nous enseigne
L'Opération Cronos démontre qu'une coopération internationale patiente peut infliger des dommages durables à un groupe criminel sophistiqué. Elle montre aussi les limites de cette approche : tant que le modèle économique du RaaS reste rentable et que des affiliés libres circulent sur le marché cybercriminel, de nouveaux groupes émergent pour remplacer ceux qui tombent.
Sources
National Crime Agency (NCA) — Communiqué officiel Operation Cronos, février 2024
NCA — LockBit Leader Unmasked and Sanctioned, mai 2024
Europol — Law Enforcement Disrupt World's Biggest Ransomware Operation, février 2024
Trend Micro — Unveiling the Fallout: Operation Cronos' Impact on LockBit, avril 2024
TRM Labs — LockBit Leak Provides Insight into RaaS Enterprise, mai 2025