Avec 30 arrestations, 179 suspects identifiés et 62 victimes repérées, Europol vient de boucler la première phase du projet Compass, une opération d'un an contre The Com, un réseau criminel qui fait des adolescents à la fois ses cibles et ses recrues.

À ce stade, 4 victimes ont été directement mises en sécurité grâce à l'opération Compass - ©Tobias Arhelger / Shutterstock
À ce stade, 4 victimes ont été directement mises en sécurité grâce à l'opération Compass - ©Tobias Arhelger / Shutterstock

Nous sommes en janvier 2025 lorsqu'Europol lance le projet Compass pour démanteler The Com, diminutif de Community, un réseau criminel anglophone décentralisé qui cible les mineurs là où ils passent leur temps, sur Discord, les plateformes de streaming musical, les jeux en ligne. Le recrutement y commence bien avant que quiconque ne parle de cybercriminalité.

Trente-et-un pays, dont la France et leurs forces de l'ordre respectives ont participé à l'opération, parmi lesquels le FBI, la NCA britannique et la GRC canadienne. Pour l'heure, au bout d'un an de travail coordonné, on comptabilise 30 arrestations.

Un réseau qui fabrique ses propres cybercriminels

The Com fonctionne par sous-groupes thématiques, chacun avec ses propres objectifs.

Cyber Com orchestre les intrusions réseau et les attaques par ransomware, et c'est lui qu'on retrouve impliqué dans les attaques contre Marks & Spencer, Co-op et Harrods au printemps 2025, ainsi que dans les violations de données de casinos de Las Vegas en 2023.

Offline Com pousse ses membres à des passages à l'acte physiques, jusqu'au terrorisme.

Et (S)extortion Com extorque des mineurs pour les contraindre à produire du contenu sexuel, puis utilise ce même contenu pour les maintenir sous pression.

Mais c'est le sous-groupe 764, actif depuis 2021, démontre le mieux la mécanique de captation du réseau. Des jeunes y sont ciblés, manipulés pour créer du contenu explicite, puis piégés par ce même contenu. Deux responsables présumés de ce réseau, Leonidas Varagiannis, 21 ans, et Prasan Nepal, 20 ans, ont été arrêtés en avril 2025 et risquent la prison à vie.

La logique du réseau est en réalité double. The Com victimise des mineurs et, simultanément, en fait ses opérateurs. Certains membres actifs aujourd'hui ont été recrutés alors qu'ils étaient eux-mêmes des proies. Ce mécanisme rend le démantèlement particulièrement difficile, d'où le « peu » de résultats et d'arrestations malgré l'énorme déploiement de forces mondiales.

Pour l'heure, au bout d'un an de travail coordonné, on comptabilise 30 arrestations - ©Europol
Pour l'heure, au bout d'un an de travail coordonné, on comptabilise 30 arrestations - ©Europol

Une décentralisation pensée comme défense juridique

Selon Anna Sjöberg, directrice du Centre européen de lutte contre le terrorisme d'Europol, « Aucun pays ne peut faire face seul à cette menace ».

Mais The Com exploite délibérément les frontières juridiques. Pas de siège social, pas de serveur central, pas de nationalité dominante parmi les membres. De fait, chaque enquête nationale bute sur une compétence territoriale qui s'arrête là où le réseau continue.

Le projet Compass a justement été conçu pour combler ces failles, avec des sprints de données où chaque pays partage ses dossiers actifs.

À ce stade, 4 victimes ont été directement mises en sécurité grâce à l'opération. C'est peu au regard des 62 identifiées, et encore moins face aux 179 suspects qui n'ont pas encore été arrêtés.

L'opération est toujours en cours.

Source : Bleeping Computer, Europol