Une opération policière coordonnée à l’international a mis hors ligne un service de cybercriminalité par abonnement utilisant l’IA, responsable de plus de 40 millions de dollars de pertes. Les autorités enquêtent sur les responsables et les victimes affectées.
Microsoft a déclaré mercredi avoir perturbé RedVDS, un service d’abonnement à la cybercriminalité de portée mondiale, responsable de millions de dollars de pertes liées à la fraude dans le monde.
Pour 24 $ (21 €) par mois, RedVDS alimentait des campagnes de hameçonnage et des fraudes à l’échelle mondiale, affectant des centaines de milliers de comptes Microsoft depuis septembre 2025.
L’opération coordonnée comprend des actions civiles aux États-Unis et au Royaume-Uni, ainsi que des saisies de serveurs menées par les autorités allemandes et européennes.
Impact en Europe et riposte transfrontalière
Parallèlement à son recours devant le tribunal fédéral du district sud de la Floride, la Digital Crimes Unit de Microsoft a entrepris pour la première fois une démarche judiciaire au Royaume-Uni.
Entre septembre 2025 et janvier 2026, des cyberattaques facilitées par RedVDS hors Amérique du Nord ont touché des victimes dans toute l’Europe, avec des niveaux particulièrement élevés au Royaume-Uni, en France, en Allemagne, en Italie et en Espagne.
Les attaques visaient principalement les établissements d’enseignement primaire et secondaire, l’industrie des biens de consommation et d’autres services professionnels.
L’opération, menée conjointement avec des services de police internationaux, notamment les autorités allemandes et Europol, a saisi des éléments d’infrastructure clés et mis hors ligne la plateforme RedVDS.
Depuis mars 2025, l’activité liée à RedVDS a provoqué environ 40 millions de dollars (34 millions d’euros) de pertes déclarées liées à la fraude aux États-Unis seulement, le bilan réel étant jugé plus élevé en raison d’incidents non signalés.
Qui étaient les victimes ?
Parmi les victimes qui se joignent à Microsoft comme co-plaignants figure H2-Pharma, une société pharmaceutique de l’Alabama qui a perdu des fonds destinés à des traitements vitaux contre le cancer, à des médicaments de santé mentale et à des médicaments contre les allergies pour enfants.
« Être victime d’une escroquerie ne devrait jamais être stigmatisé », a déclaré Microsoft dans un communiqué. « Ces attaques sont menées par des groupes criminels organisés et professionnels qui interceptent et manipulent des communications légitimes entre des parties de confiance », a ajouté l’entreprise.
Comment le système fonctionnait-il ?
RedVDS s’inscrivait dans l’écosystème en pleine expansion de la « cybercriminalité en tant que service », offrant l’accès à des ordinateurs virtuels bon marché exécutant des logiciels non licenciés, notamment Windows. Cela permettait aux criminels d’opérer anonymement au-delà des frontières, d’envoyer des e-mails de hameçonnage, d’héberger des infrastructures d’arnaque et de faciliter des schémas frauduleux.
Le service était fréquemment associé à des outils d’IA générative qui aidaient à identifier des cibles de grande valeur et à générer des fils d’e-mails réalistes imitant des correspondances légitimes.
Dans de nombreux cas, les attaquants utilisaient des outils d’IA d’échange de visages, de manipulation vidéo et de clonage vocal pour se faire passer pour des personnes et tromper les victimes.
Escroqueries immobilières
L’une des attaques les plus courantes permises par RedVDS était la fraude par détournement de paiement, également appelée « compromission d’e-mails professionnels ». Les attaquants obtenaient un accès non autorisé à des comptes e-mail, surveillaient les conversations et attendaient le moment propice pour rediriger des paiements en se faisant passer pour des interlocuteurs de confiance.
Le service a également été largement utilisé dans des escroqueries immobilières par détournement de paiements, l’une des formes de fraude en ligne qui croissent le plus rapidement. Les attaquants compromettaient les comptes d’agents immobiliers, d’agents d’entiercement et de sociétés de titres de propriété pour envoyer des instructions de paiement frauduleuses destinées à détourner les fonds de clôture et les versements placés en séquestre.
Action coordonnée des forces de l’ordre européennes
Les actions juridiques de Microsoft sont renforcées par une étroite collaboration avec des partenaires des forces de l’ordre partout dans le monde, y compris en Europe.
Le parquet de Francfort-sur-le-Main, Office central de lutte contre la criminalité sur Internet, et l’Office de police criminelle du Land de Brandebourg procèdent à la saisie d’un serveur critique utilisé pour alimenter RedVDS.
Ce faisant, les forces de l’ordre allemandes prennent le contrôle du serveur principal que RedVDS utilise pour faire fonctionner son site web, mettant hors service l’espace en ligne où les clients pouvaient s’inscrire, payer et accéder aux outils de RedVDS.
Le Centre européen de lutte contre la cybercriminalité d’Europol travaille avec la Digital Crimes Unit pour démanteler les nombreux serveurs répartis en Europe que des criminels utilisaient activement via RedVDS. Cela perturbe le réseau plus large qui soutenait les escroqueries, au-delà même du site principal.
Se protéger contre la fraude
Microsoft recommande plusieurs mesures pour réduire les risques : prendre son temps et remettre en question l’urgence des demandes de paiement, vérifier les demandes en utilisant des moyens de contact supplémentaires avec des numéros déjà connus de vous, activer l’authentification multifacteur, surveiller les changements subtils dans les adresses e-mail, maintenir les logiciels à jour et signaler toute activité suspecte aux forces de l’ordre.