Le documentaire français Don't Go to the Police retrace la cyberattaque LockBit qui a paralysé Coaxis et 350 000 entreprises en une nuit. Un film événement et intéressant à voir gratuitement dès ce jeudi.
Le 8 décembre 2023, à 4h50 du matin, un appel téléphonique réveille Coaxis, une PME du Lot-et-Garonne qui héberge des logiciels comptables. En quelques heures, c'est toute une filière qui est paralysée par une attaque informatique de type ransomware, derrière laquelle on retrouve LockBit, mastodonte du cybercrime. Porté par Orange Cyberdefense et réalisé par Ludoc, le documentaire Don't Go to the Police, que nous avons pu voir en avant-première au Grand Rex à Paris mercredi soir et que vous allez aussi pouvoir regarder, nous montre comment, à partir d'un clic qui semblait anodin, tout s'est effondré.
LockBit a chiffré les systèmes de Coaxis en quelques heures
Lorsqu'il reçoit un appel en pleine nuit l'informant du comportement anormal de ses services, Joseph Veigas, le directeur de la société touchée Coaxis, fonce en voiture vers son data center du Lot-et-Garonne et découvre l'étendue des dégâts. Une partie des systèmes est déjà chiffrée (plus précisément crypto-lockées), des milliers de fichiers sont verrouillés, et une demande de rançon de 5 millions rédigée en anglais est déposée. Le mal est fait.
Le film restitue, durant une bonne heure, la mécanique de l'attaque avec une minutie. La musique et les plans larges font leur effet sur grand-écran. Pour en revenir aux faits, la veille, à 22h43, un intrus s'est faufilé dans le réseau grâce à l'identifiant d'un commercial de l'agroalimentaire, client de Coaxis, à l'aide d'un lien mlcrosoft, avec un « L » minuscule, au lieu de microsoft. L'usurpation d'identité est presque parfaite. Le hacker cartographie les serveurs les plus critiques, règle son timer et déclenche le chiffrement à 4h32 très exactement. Une bombe à retardement numérique, et personne n'en sait encore rien.
Les dégâts collatéraux ont aussi été vertigineux. Plus de 1 200 cabinets d'expertise comptable ont été du jour au lendemain coupés de leurs outils, des établissements de soins ont perdu l'accès à leurs données. Au total, Orange Cyberdefense estime à 350 000 le nombre d'entreprises impactées.
Pendant ce temps, Coaxis réfléchit à la rançon. Après l'hésitation, ses dirigeants, bien conseillés, finissent par trancher : l'entreprise ne paiera pas. En parallèle, des clients sont privés de revenus, et des manœuvres d'intimidation physique ont lieu, à Toulon notamment dans une boîte d'intérim qui ne pouvait plus payer ses salariés. Plutôt que de payer (ce qui aurait été moins cher, a reconnu mercredi son patron), Coaxis a préféré tout reconstruire (nous en reparlerons prochainement sur Clubic), et ce fut possible en l'espace d'un mois, bien aidée par Orange Cyberdefense, qui pensait y laisser plus de temps au départ.
Une traque internationale a mis fin au règne de LockBit
LockBit, justement, a été intraitable. Le groupe pirate est ensuite infiltré par les Américains Jon DiMaggio et Azim Khodjibaev, qui racontent d'ailleurs comment ils ont dû passer par la case « entretien d'embauche » pour intégrer LockBit en tant que petites mains. Le 18 décembre 2023, le collectif s'attaque à un hôpital de Chicago, sans égard pour les enfants malades qui en dépendent. Les deux infiltrés ne parviendront pas à faire changer LockBit d'avis. Le 26 décembre, le groupe brandit une nouvelle menace, celle de publier les données sensibles des clients de Coaxis, pour donner vie au principe de double extorsion. Sauf que c'était du bluff, aucune exfiltration n'avait eu lieu.
En février 2024, le rapport de force bascule. Une coalition internationale de forces de l'ordre démantèle l'organisation lors de l'opération Cronos. Le chef de LockBit croit encore jouer et va jusqu'à promettre 10 millions de dollars à quiconque révélera son identité. Le FBI, lui, n'a pas besoin de prime. L'homme se croyait à l'abri, beaucoup pensaient qu'il était aux États-Unis. Mais c'est bien en Russie qu'il se trouvait.
S'ensuit la traque de Dmitry Khoroshev, identifié comme cerveau de l'opération. Fin 2024, Rostislav Panev est arrêté et son ordinateur, véritable coffre-fort à preuves, ne laisse aucun doute. Khoroshev, lui, reste encore protégé en Russie, hors de portée des extraditions. Le cybercrime a ses sanctuaires, et la certaine proximité entre le Kremlin, le renseignement russe et les hackers, peut servir d'immunité. D'autant plus que LockBit a perturbé bien d'autres acteurs partout dans le monde.
Un film qui parle à tout le monde, pas seulement aux geeks ou pros de la cyber
Réalisé par Ludoc, ancien directeur artistique chez Canal+ désormais fort de 600 000 abonnés YouTube, le documentaire tien, à notre sens, son pari, à savoir rendre le cybercrime lisible sans jamais le dénaturer. Dix-huit experts se succèdent à l'écran, analystes, journalistes d'investigation, chercheurs spécialisés en ransomwares jusqu'à Cybermalveillance.gouv.fr, qui aide et protège les victimes françaises. Le rythme du film est soutenu, la pédagogie jamais pesante. On ne voit pas franchement l'heure passer…
Lors de l'avant-première au Grand Rex, Joseph Veigas s'est prêté sans détour aux questions. Interrogé par votre serviteur, le dirigeant explique que la majorité des clients sont restés, et que le chiffre d'affaires de son entreprise dépasse le niveau d'avant-crise. Il reconnaît que certains sont partis, estimant leur confiance trahie. « Si c'était le contraire, je ne suis pas certain que j'aurais été là », glisse-t-il, avec humilité.
Don't Go to the Police dépasse largement le film de commande. Et s'il n'explore pas suffisamment le traitement légal et la relation avec les autorités qu'ont, parfois dans le flou pour le grand public, les acteurs touchés, le contenu s'adresse à tous. Que vous soyez patron d'un cabinet comptable, DSI d'un grand groupe ou monsieur et madame Tout-le-monde, le film a le mérite de garder l'attention du public, tout en lui distillant les bons messages de pédagogie et d'hygiène numérique. Et trouver des acteurs frappés qui parlent des méfaits subis et de toute la pression qui en découle, cela reste rare, trop sans doute.
Car les experts le répètent en boucle sans toujours se faire entendre : dans le cybercrime, la faille, c'est presque toujours l'humain. LockBit le sait que trop, lui qui ne cesse de revenir sur le devant de la scène. 5 000 personnes ont d'ores et déjà reçu le message mercredi soir, en avant-première en France et en Europe. Toutes les autres pourront le suivre, gratuitement et depuis cette adresse, à compter de 17 heures ce jeudi 12 mars 2026. On a hâte de lire vos retours !
