Du 14 au 17 juillet 2025, les autorités judiciaires et policières de 13 pays européens et des États-Unis, sous la coordination d’Europol et d’Eurojust, ont mené une opération conjointe d’envergure baptisée « Eastwood » contre le réseau de cybercriminalité NoName057(16), composé de hackers (pro-)russes. Cette initiative vise à démanteler une infrastructure de cyberattaques ayant ciblé des institutions publiques et privées dans plusieurs États soutenant l’Ukraine.
Une réponse coordonnée à une menace transnationale
Cette action conjointe a mobilisé les forces de sécurité de la France, de l’Allemagne, de l’Italie, des Pays-Bas, de la Finlande, de la Suède, de la Pologne, de la Lituanie, de l’Espagne, de la République tchèque, de la Suisse, ainsi que des États-Unis. Des mesures simultanées ont été prises pour neutraliser les auteurs et démanteler leurs infrastructures. Selon Europol, plus de 4 000 membres du réseau utilisaient un maillage de plus de 100 systèmes informatiques à travers le monde.
L’opération a été soutenue par l’Agence européenne pour la cybersécurité (ENISA), l’unité conjointe de lutte contre la cybercriminalité J-CAT, et les autorités de l’Estonie, du Danemark, de la Lettonie, de la Roumanie, de l’Ukraine, de la Belgique et du Canada. Les sociétés ShadowServer et abuse.ch ont également apporté leur expertise technique.
Des attaques systématiques contre les soutiens de l’Ukraine
D’abord tourné vers des cibles exclusivement ukrainiennes, le groupe NoName057(16) a élargi ses offensives, visant de manière répétée les États occidentaux apportant un soutien militaire, diplomatique ou humanitaire à Kiev. De 2023 à 2024, des cyberattaques ont ainsi été recensées en Suède, en Finlande, en Allemagne (plus de 250 institutions touchées en 14 vagues), ainsi qu’en Suisse lors d’événements en lien avec l’Ukraine, comme le Sommet pour la paix de Bürgenstock. Aux Pays-Bas, une attaque attribuée au groupe a visé les infrastructures numériques durant le dernier sommet de l’OTAN en 2025.
Ces offensives, de type DDoS (déni de service distribué), visent à saturer les sites web publics et privés afin de les rendre inaccessibles. Le groupe a construit son propre botnet, mobilisant plusieurs centaines de serveurs pour amplifier l’impact de ses attaques.
Une infrastructure neutralisée, mais peu d’arrestations
Si une grande partie de l’arsenal technologique de NoName057(16) a été mise hors service, seuls deux individus ont pu être arrêtés. La majorité des membres du groupe étant situés en Russie, toute procédure judiciaire reste limitée par l’absence de coopération de Moscou.
Depuis les années 1990, les agences américaines alertent sur la montée en puissance des « cyber-armées » russes et chinoises, utilisées comme instruments d’influence géopolitique. Déjà en 2007, l’Estonie avait été visée par une attaque massive coordonnée depuis la Russie. Cette attaque, toujours considérée comme l’une des plus structurées de l’histoire d’internet, avait marqué un tournant dans la perception des cybermenaces, incitant l’OTAN à créer à Tallinn un centre spécialisé en cybersécurité.
Une guerre numérique à part entière
En 2021, les États-Unis ont lancé l’initiative « Cyber Flag 21-1 », souvent qualifiée de « Cyber-OTAN », pour renforcer la coordination des démocraties face aux cybermenaces systémiques. Depuis, les offensives russes se synchronisent fréquemment avec les élections, crises diplomatiques ou conflits armés, dans le but de manipuler l’opinion publique, affaiblir les institutions et déstabiliser les États.
Les cibles privilégiées incluent les secteurs stratégiques comme les médias, l’énergie, les télécommunications, les systèmes électoraux et la défense. La campagne contre NoName057(16) illustre la montée en intensité d’un conflit numérique désormais globalisé, où la neutralisation d’un réseau n’est qu’une étape dans une guerre de longue haleine.
