Europol a coordonné une vaste opération contre les hackers pro-russes NoName057, qui a abouti à plusieurs arrestations, dont une en France. Plus de cent serveurs ont aussi été neutralisés partout dans le monde.
L'Europe vient de porter un coup d'arrêt sérieux, même s'il ne sera pas décisif, à la cybercriminalité pro-russe. Entre le 14 et le 17 juillet 2025, l'opération « Eastwood » a mobilisé treize pays pour démanteler l'infrastructure du groupe de pirates répondant au nom de code NoName057(16). La France a notamment procédé à une arrestation préliminaire. Les personnes mises en cause sont accusées d'avoir harcelé l'Ukraine et ses alliés occidentaux, en menant des attaques de déni de service distribuées, ou DDoS.
Treize pays, dont la France, s'unissent dans l'opération Eastwood contre les hackers
L'opération Eastwood restera dans les annales comme l'une des plus importantes lancées contre la cybercriminalité idéologique. Coordonnée par Europol et Eurojust, elle a rassemblé les forces de l'ordre de nombreux pays, à savoir la France, l'Italie, la République tchèque, l'Espagne, la Finlande, la Suisse, l'Allemagne, la Lituanie, la Pologne, la Suède, les Pays-Bas mais aussi les États-Unis, par le biais du FBI.
En France, la juridiction nationale de lutte contre la criminalité organisée (JUNALCO) du Parquet de Paris et l'unité cyber de la Gendarmerie nationale ont aidé au bon déroulé de l'opération.
Le bilan est d'ailleurs important, puisqu'on compte deux arrestations immédiates, l'une en France, l'autre en Espagne ; sept mandats d'arrêt internationaux et vingt-quatre perquisitions simultanées. L'Allemagne a notamment émis six mandats visant directement la Russie, dont deux concernent les cerveaux présumés du réseau. Ces suspects figurent désormais sur la liste des personnes les plus recherchées d'Europe.
Mais c'est surtout l'infrastructure technique qui a subi les plus lourds dégâts. Plus de cent serveurs ont été neutralisés à travers le monde, paralysant l'essentiel des capacités opérationnelles du groupe de cybercriminels. Les autorités ont également contacté plus de mille sympathisants à l'aide des applications de messagerie, pour les avertir de leur responsabilité pénale.
Le réseau du groupe NoName057(16) était tout simplement tentaculaire
Le mode opératoire de NoName057(16) fascine autant qu'il inquiète. Ce réseau, notamment connu dans l'Hexagone pour s'en être pris au CERT-FR (l'ANSSI) ainsi qu'à plusieurs grandes mairies du pays, compte plus de 4 000 partisans, autrement dit une véritable petite armée.
Il utilise des méthodes de gamification pour motiver ses troupes. Les récompenses et statuts spéciaux, mais aussi les tableaux de classement, transforment les attaques DDoS en véritable jeu pour eux, avec un vrai effet de concurrence, qui hélas fait mouche auprès des jeunes utilisateurs.
Europol précise que les participants recevaient des paiements en cryptomonnaies, avec une véritable économie parallèle. Le groupe exploitait des canaux pro-russes, des groupes de discussion et des forums de jeux pour recruter de nouveaux volontaires. Des plateformes comme DDoSia simplifiaient par exemple les processus techniques, ce qui permettait aux néophytes de devenir opérationnels rapidement.
Depuis novembre 2023, NoName057(16) a orchestré des dizaines d'attaques d'envergure en Europe. Outre la France, l'Allemagne a été particulièrement visée par quatorze cyberattaques documentées, touchant plus de 250 entreprises et institutions. Le groupe a également frappé lors d'événements symboliques, comme le sommet de paix ukrainien en Suisse, celui de l'OTAN aux Pays-Bas, ou encore pendant les interventions d'officiels ukrainiens au Parlement suisse. Toutes ces attaques ont été neutralisées sans interruption majeure des services.
