Quand les serveurs ne répondent plus
Une task-force internationale composée de cyberenquêtrices et cyberenquêteurs est parvenue à démasquer des criminels présumés au mois de juillet 2025. Ce cas montre l’importance de la coopération policière internationale, notamment contre les cybercriminels qui disposent d’un solide réseau au-delà des frontières nationales.
Ciblée, coordonnée et porteuse d’un message politique – c’est ainsi que les enquêtrices et enquêteurs ont décrit la vague d’attaques DDoS qui a frappé plus de 200 sites Internet suisses en juin 2023. DDoS est l’acronyme de Distributed Denial of Service et désigne une méthode consistant à saturer des serveurs par un nombre considérable de requêtes afin de les paralyser, l’objectif étant de bloquer ou de perturber les services numériques. La plate-forme du Parlement fédéral a été particulièrement touchée en 2023. Le groupe de hackers prorusse NoName057(16) a revendiqué ces attaques, réitérant ainsi son intention de déstabiliser les démocraties occidentales.
Au moment des attaques, fedpol détecte déjà qu’il ne s’agit pas de problèmes techniques isolés, mais d’attaques numériques coordonnées provenant de l’étranger. Il lance de vastes investigations avec le concours du Ministère public de la Confédération et de l’Office fédéral de la cybersécurité.
Réseau international, réponse internationale
fedpol porte le cas à la connaissance de ses partenaires européens en 2023 déjà et lance l’opération EASTWOOD conjointement avec le Canada. Cette dernière se mue en une action soutenue par 19 pays et coordonnée par Europol et la Joint Cybercrime Action Taskforce (J-CAT).
Entre 2023 et 2025, des centaines d’attaques DDoS revendiquées par NoName057(16) sont commises à travers le monde. fedpol parvient à identifier des schémas en analysant ces attaques en détail. Les indices qu’il récolte sur la structure du groupe de malfaiteurs, combinés à d’autres éléments d’enquête, permettent de mettre un nom sur les responsables. Résultat : trois personnes clés présumées du groupe de hackers sont identifiées au printemps 2025 et signalées à des fins de recherche.
Le 15 juillet 2025, une intervention vise un botnet, c’est-à-dire un réseau qui regroupe des centaines voire des milliers d’ordinateurs via des fichiers installés et qui utilise ces ordinateurs reliés au réseau pour effectuer certaines actions pilotées par une machine à distance. Dans plusieurs pays, les forces d’intervention perquisitionnent des domiciles, saisissent des ordinateurs et déconnectent des serveurs. Plus de 100 systèmes sont désactivés à travers le monde, dont l’infrastructure centrale du groupe NoName057(16). Dix mandats d’arrêt sont émis, deux directement exécutés. Plus de 100 personnes ayant soutenu le réseau sont informées de leur éventuelle responsabilité pénale du fait d’avoir connecté leurs ordinateurs au réseau. En Suisse, aucune perquisition n’est nécessaire ; à la connaissance des autorités, aucun ordinateur suisse n’est raccordé au réseau.
Anonymat en ligne ? Pas tant que ça
Le groupe de hackers a délibérément choisi des moments hautement symboliques pour perpétrer ses attaques : le discours du président ukrainien Volodymyr Zelensky au Palais fédéral en juin 2023, le Forum économique mondial en janvier 2024 ou encore l’Eurovision à Bâle en mai 2025. Il souhaite provoquer, faire sensation et créer l’incertitude. Toutefois, l’opération EASTWOOD a mis en lumière que les malfaiteurs ne parviennent pas à rester anonymes dans le monde virtuel et l’espace numérique lorsque les autorités de poursuite pénale travaillent avec détermination et en réseau.
Le cas NoName057(16) démontre les conditions nécessaires aujourd’hui pour lutter efficacement contre la cybercriminalité :une réflexion et une action transnationales, un savoir-faire technologique et une vaste coordination. C’est le rôle qu’assume fedpol en tant que point de contact national.
« Je suis fier que fedpol ait lancé avec le Canada cette opération qui concerne tant de pays. Ce beau succès est avant tout dû à notre excellent travail d’équipe : de notre représentation J-CAT auprès d’Europol à nos enquêteurs et enquêtrices, en passant par la forensique informatique et l’analyse criminelle opérationnelle. »
Andreas, enquêteur fédéral en cybercriminalité