https://www.lefigaro.fr/actualite-france/les-petits-secrets-du-baron-russe-du-cybercrime-dmitry-khoroshev-le-crabe-de-poutine-20250721 Les petits secrets du baron russe du cybercrime Dmitry Khoroshev, le «crabe de Poutine» La chute des maîtres du cybercrime Par Steve Tenré Le 21 juillet 2025 à 23h22 Sujets Criminalité Russie cybercriminalité Nigeria Le regard franc, tout sourire, l’air sportif et âgé d’une trentaine d’années à peine. En photo, Dmitry Khoroshev n’a rien du monstre cybercriminel qu’il est accusé d’être : aucun œil injecté de sang, aucun sweat noir à capuche, aucune pièce sombre tapissée d’écrans… Il a seulement le visage d’un jeune homme ordinaire, que l’on croiserait dans la rue sans s’inquiéter. Une apparente banalité qui cache, en réalité, l’architecte de l’un des réseaux de cyberextorsion les plus puissants de la dernière décennie : LockBit. Sous le pseudonyme « LockBitSupp », Khoroshev a dirigé dans l’ombre cette organisation tentaculaire, véritable multinationale du crime, qui a racketté sans relâche hôpitaux, ministères ou industries sensibles dans le monde entier. À l’aide de « rançongiciels », des logiciels qui cryptent puis prennent en otage les données d’un disque dur jusqu’au paiement d’une rançon par son propriétaire, les hackeurs de LockBit ont extorqué, entre 2019 et 2024, plus de 500 millions de dollars à près de 2500 victimes. Peu d’États occidentaux ont été épargnés - et chaque assaut laissait derrière lui le goût amer de l’impuissance. Du moins, jusqu’au 20 février 2024, lorsque le démantèlement de LockBit a été annoncé en grande pompe. » LIRE AUSSI - La déchéance de Hushpuppi, le « brouteur » bling-bling aux deux millions de victimes Ce jour-là, le FBI, Europol, la NCA britannique et la gendarmerie française, entre autres, dévoilent l’opération Cronos, un coup de filet d’envergure mené par pas moins de dix pays pour mettre un terme au règne du groupe de hackeurs : 34 serveurs de LockBit sont saisis dans le monde. Le code source des logiciels du groupe est récupéré, 200 comptes en cryptomonnaie sont gelés, et 14.000 comptes en ligne utilisés pour lancer les opérations de LockBit sont fermés. Des perquisitions et des arrestations ont lieu en Pologne et en Ukraine contre des ressortissants russes. Au total, 188 individus affiliés au groupe sont identifiés. « Nous savons qui vous êtes, et nous vous surveillons », prévient le FBI. Passionné de jardinage Mais un individu échappe aux forces de l’ordre : le cerveau de LockBit. Incapables de l’interpeller, les autorités internationales dévoilent le 8 mai 2024 ses photos et son nom, Dmitry Khoroshev. Une prime de 10 millions de dollars est proposée par le FBI pour toute information pouvant mener à son arrestation. Dès lors, sa traque n’est plus limitée aux seules forces de l’ordre. Des centaines d’enquêteurs anonymes tentent de remonter sa trace. Ils découvrent, dans un premier temps, son profil sur Vkontakte, le Facebook russe. Celui qui fait désormais face à 26 chefs d’accusation aux États-Unis, lui faisant risquer un maximum de 185 ans de prison, ne se cache pas particulièrement : sa liste d’amis est publique, ses photos de profil et de vacances également. Les internautes découvrent sa dernière acquisition, une luxueuse Mercedes-AMG, et même… sa plaque d’immatriculation. Khoroshev tient également un blog personnel dédié à la culture de légumes et des potagers. Les commandes du passionné de jardinage sur Yandexfood, l’équivalent de Deliveroo, sont également rendues publiques, ainsi que ses coordonnées GPS. Le monde apprend alors que le cybercriminel le plus recherché de la planète vit à Voronej, ville d’un million d’habitants située à 400 kilomètres au sud de Moscou, dans un appartement cossu mais loin d’être exubérant. La Mercedes de Khoroshev. DR Son passé est ensuite exhumé, notamment par le chercheur français en cybersécurité Baptiste Robert. Ce dernier partage sur X des photos de Khoroshev en uniforme militaire, accompagné de deux collègues, lorsqu’il servait dans la gendarmerie russe. Il relate aussi qu’à l’âge de 14 ans, le futur patron de LockBit proposait ses services pour créer des serveurs sur le jeu vidéo de tir Counter Strike, sous le pseudo « Darkbot4 », et contre rémunération. L’esprit d’entrepreneur ne le quittera plus jamais : dès 2010, alors qu’il n’était âgé que de 18 ans, ses adresses mails et ses numéros de téléphone ont tour à tour été liés à la création de six entreprises, dont un commerce vendant des escaliers en bois et un site internet spécialisé dans la mode vestimentaire, selon un rapport du site Krebs on Security. Les débuts du «crabe de Poutine» Mais en 2011, Khoroshev se lance à la recherche d’un filon plus juteux. Son adresse mail apparaît sur le forum cybercriminel Opensc. Sous le pseudo « Pin », il revendique d’avoir écrit des codes outrepassant les systèmes de sécurité de Windows XP et Windows 7 et permettant d’injecter des virus directement dans l’espace mémoire des PC. Je veux une part des rançons obtenues : 20 % pour moi, 80 % pour vous (…) Le pourcentage peut être réduit jusqu’à 10/90 si les volumes sont bons Putinkrab Il multiplie dans les mois qui suivent des publications sur d’autres forums russophones, comme Zloy, Verified ou Exploit. Il s’y présente en tant qu’administrateur système, capable « d’installer » les virus « SpyEye ou ZeuS » sur n’importe quelle machine. En avril 2013, il se met à vendre en message privé des logiciels, pour la somme de 5000 dollars. « Je peux fournir mon portfolio sur demande », écrit-il à un internaute. « Je ne modifie pas le code de quelqu’un d’autre ni ne travaille avec les infrastructures logicielles de quelqu’un d’autre. » Sa petite entreprise se poursuit jusqu’en 2016, où il s’évanouit dans la nature après qu’une plainte déposée par un autre internaute l’accuse de n’avoir jamais terminé le code pour lequel il avait été payé 2000 dollars. Il réapparaîtra en 2019, mais sous un autre pseudo : « putinkrab » (« le crabe de Poutine », en français). Cette fois-ci, plus question de se cacher en message privé. Il propose sur les forums du dark web son propre programme de rançongiciels clé en main, avec une politique économique encore jamais vue auparavant. « Je veux une part des rançons obtenues : 20 % pour moi, 80 % pour vous (…) Le pourcentage peut être réduit jusqu’à 10/90 si les volumes sont bons. » Grâce à ce partage des gains, Khoroshev attire dans ses rangs tout un tas de petits cybercriminels, qui vont, à terme, former le noyau dur de LockBit. » LIRE AUSSI - Roumanie et Afrique de l'Ouest, paradis du cybercrime Les trois règles d’or de LockBit Désormais à la tête d’une communauté, Khoroshev change de pseudo pour celui de « LockBitSupp ». Le petit groupe crée rapidement un site internet vitrine, où sont affichés, sur la page d’accueil, les noms des entreprises ou individus ayant téléchargé par inadvertance un rançongiciel de LockBit. Un compte à rebours est disposé en face de chaque nom pour accroître la pression. Un onglet « recrutement » est aussi disponible : en cliquant dessus, les candidats sont invités à remplir un formulaire et renseigner le nom de leur « parrain » au sein de LockBit, condition sine qua non pour entrer dans la « famille ». Les heureux élus doivent ensuite approuver une charte, constituée de trois règles d’or : ne jamais attaquer la Russie ou des pays ex-membres de l’URSS; ne jamais attaquer les entreprises critiques liées au secteur de l’énergie comme les centrales nucléaires ; et entretenir de bons rapports avec les autres affiliés. Une quatrième loi, tacite, oblige tous les membres à reverser 20 % de leurs revenus gagnés avec les rançongiciels. L’immeuble depuis lequel Khoroshev passait des commandes sur Yandexfood, à Voronej. Capture d’écran Google Street / Baptiste Robert Jon DiMaggio, chercheur de la société de cybersécurité Analyst1, a infiltré LockBit pendant de nombreux mois. Khoroshev « gérait LockBit comme une entreprise et consultait souvent ses partenaires sur la manière d’améliorer l’efficacité de son opération criminelle », a-t-il expliqué auprès de Wired . « Il ne se contentait pas de prendre l’argent pour lui-même, il le réinvestissait pour rendre LockBit plus attrayant. » En ce sens, Khoroshev met en place un système de récompense pour la recherche de bugs, organise des concours, et paye même les membres osant se faire tatouer le logo de LockBit sur leur corps. Jon DiMaggio a parlé à plusieurs reprises à LockBitSupp. « Le personnage qu’il incarnait était le mélange d’un supervilain et de Tony Montana dans Scarface. Il était arrogant, exhibait son succès et son argent, et cela agaçait parfois certaines personnes. » Les mois passant, LockBit gagne en réputation. Khoroshev et ses affiliés visent l’usine de semi-conducteurs TSMC, l’équipementier automobile Continental, l’avionneur Boeing, la poste britannique Royal Mail, l’Agence fiscale italienne, la société informatique IBM. 17.000 entreprises américaines sont touchées. Ne commettez pas de crime, le crime, c’est mal, bisous de Prague LockBit En France, 200 individus et acteurs économiques sont ciblés entre 2019 et 2024, dont l’entreprise de défense Thalès et les hôpitaux de Corbeil-Essonnes et Versailles. À Corbeil-Essonnes, l’attaque cause la panne de très nombreux ordinateurs, et met à l’arrêt, pendant trois mois, tous les logiciels ayant trait aux admissions de la patientèle. À Versailles, la coupure totale du système informatique force l’hôpital à transférer plusieurs malades vers d’autres structures médicales. Sur cette période, LockBit ne représente pas moins de 70 % des attaques de rançongiciel recensées dans l’Hexagone, causant 1,1 milliard d’euros de préjudice - le coût économique de ces attaques allant bien au-delà du paiement initial de la rançon et incluant les pertes liées à l’interruption des opérations. La déchéance de l’ex-numéro un L’ascension du groupe cybercriminel ne sera interrompue que par l’opération Cronos, en février 2024. Bien qu’officiellement, LockBit parvient à créer des copies de son site trois jours seulement après son blocage par les autorités, il est confronté en interne à une fuite massive de ses affiliés, passant de plusieurs centaines à seulement 69, selon le média Wired. D’après l’acte d’accusation américain, Khoroshev a tenté peu après l’opération de contacter les autorités. Non pas pour se rendre, mais pour « offrir (ses) services en échange d’informations sur (ses) concurrents ». « Donnez-moi le nom de mes ennemis », a-t-il dit, en vain. En juin 2024, LockBit tente le tout pour le tout, et revendique une attaque contre la Fed américaine… qui s’avérera sans conséquence. Le 7 mai dernier, enfin, le groupe est publiquement humilié. Sur son nouveau site, un message apparaît en anglais : « Ne commettez pas de crime, le crime, c’est mal, bisous de Prague ». Une partie des données de LockBit sont volées, signant la déchéance de l’ancien numéro un du cybercrime. Khoroshev, lui, ne donne plus signe de vie. Il ne serait en tout cas pas inquiété par les autorités, alors que le Kremlin entretient une politique de non-intervention envers les cybercriminels attaquant l’Occident. https://www.lefigaro.fr/actualite-france/les-petits-secrets-du-baron-russe-du-cybercrime-dmitry-khoroshev-le-crabe-de-poutine-20250721