Introduction : Un outil de cybervol neutralisé à l’échelle mondiale
Le 13 mai 2025 marque une étape décisive dans la lutte contre la cybercriminalité. Microsoft, via sa Digital Crimes Unit (DCU), a mené une opération internationale d’envergure pour démanteler Lumma Stealer, un malware voleur d’informations massivement utilisé par les cybercriminels à travers le monde. En collaboration avec les autorités judiciaires, Europol, le département américain de la Justice (DOJ), ainsi que plusieurs partenaires privés, l’entreprise a neutralisé l’infrastructure centrale de ce logiciel malveillant, mettant ainsi un frein à ses activités destructrices.
Lumma Stealer : un malware au service du cybercrime organisé
Lumma, également connu sous le nom de Lumma Stealer, est un malware de type Malware-as-a-Service (MaaS), commercialisé depuis au moins 2022 sur des forums cybercriminels clandestins. Il permet à ses utilisateurs de voler des informations sensibles : identifiants, mots de passe, données bancaires, portefeuilles de cryptomonnaies, entre autres.
Sa popularité repose sur sa simplicité de diffusion, sa capacité à contourner certaines protections, et sa difficulté à être détecté. Parmi ses victimes : des établissements scolaires bloqués contre rançon, des services critiques perturbés, des entreprises privées et même des institutions de santé.
Une action judiciaire et technique coordonnée
Grâce à une décision rendue par le tribunal fédéral du district nord de la Géorgie, Microsoft a obtenu le droit de saisir et désactiver plus de 2 300 domaines malveillants utilisés par Lumma. Le DOJ, de son côté, a mis hors service les serveurs de commande du malware, tandis qu’Europol et son Centre européen de lutte contre la cybercriminalité (EC3), avec le Centre japonais JC3, ont contribué à désactiver les infrastructures locales.
Cette action a été complétée par la redirection de plus de 1 300 domaines vers des “sinkholes” gérés par Microsoft. Ce système permet non seulement d’interrompre la communication entre Lumma et les appareils infectés, mais aussi de collecter des informations cruciales pour prévenir de futures attaques.
Un impact mondial : des centaines de milliers de machines infectées
Entre mars et mai 2025, 394 000 ordinateurs Windows infectés par Lumma ont été recensés. Microsoft, avec ses partenaires publics et privés, a engagé une campagne globale de neutralisation. Les données récoltées à travers les “sinkholes” permettront d’améliorer la détection des menaces, d’informer les victimes et de renforcer la résilience des systèmes informatiques.
Un marché structuré derrière Lumma
Le créateur de Lumma, opérant sous le pseudonyme “Shamel”, est basé en Russie. Il vend ses services via Telegram et d’autres plateformes russophones. Offrant différentes formules, il permet aux clients de personnaliser le malware, de suivre les données volées via un tableau de bord, et de l’intégrer à des outils d’obfuscation. Cette approche commerciale structurée fait de Lumma un véritable “produit” avec logo, slogan (« gagner de l’argent est un jeu d’enfant »), et image de marque – illustrant la professionnalisation inquiétante du cybercrime.
Exemples d’utilisation de Lumma : phishing, ransomware, ciblage stratégique
Lumma a été utilisé dans de nombreuses campagnes malveillantes, dont :
-
Une attaque de phishing ciblé en mars 2025, usurpant l’identité de Booking.com.
-
Des campagnes contre des joueurs en ligne, des établissements éducatifs et des services de santé.
-
Des actions menées par des groupes de ransomware comme Octo Tempest (alias Scattered Spider).
Ses vecteurs de diffusion incluent : spear-phishing, malvertising, et usurpation de marques de confiance comme Microsoft.
Une action collective pour fragiliser l’écosystème cybercriminel
Ce démantèlement illustre l’importance des partenariats public-privé. Microsoft salue la coopération de nombreuses entreprises, dont ESET, Bitsight, Lumen, Cloudflare, CleanDNS et GMO Registry, qui ont joué un rôle clé dans la désactivation rapide de l’infrastructure Lumma.
L’impact est clair : priver les cybercriminels d’un outil clé ralentit leur capacité d’action, augmente leurs coûts opérationnels, et affaiblit leur modèle économique.
Conclusion : un signal fort, mais une vigilance constante
La lutte contre les malwares comme Lumma ne peut reposer sur une seule action. Microsoft, via sa Digital Crimes Unit, affirme sa volonté de poursuivre ses efforts pour perturber les outils clés de la cybercriminalité, protéger les infrastructures critiques, et garantir un internet plus sûr pour tous.
Cette opération montre qu’avec des actions coordonnées, des outils adaptés et une volonté politique affirmée, il est possible de porter des coups significatifs à l’écosystème cybercriminel.