Cybersécurité : Europol démantèle la plateforme de phishing Tycoon2FA
La plateforme de phishing-as-a-service utilisée pour contourner l’authentification multifacteurs et compromettre des comptes à grande échelle, a été démantelée à la suite d’une action conjointe des forces de l’ordre et de plusieurs acteurs majeurs du secteur privé.
Si ce n’est qu’une parmi les nombreuses cybermenaces encore en activité malveillante, Europol vient à nouveau de frapper un grand coup avec le démantèlement de la plateforme de phishing-as-a-service (PhaaS) Tycoon2FA. Elle proposait aux cybercriminels un ensemble d’outils par abonnement conçu pour intercepter les sessions d’authentification en direct et accéder sans autorisation à des comptes en ligne, y compris ceux protégés par des mesures de sécurité supplémentaires.
« Contrairement aux kits de phishing traditionnels, Tycoon 2FA a été conçu pour contourner les protections de sécurité supplémentaires, notamment l’authentification multifactorielle, permettant aux cybercriminels de se connecter en tant qu’utilisateurs légitimes sans déclencher d’alertes, même sur des comptes protégés », explique Steven Masada, conseiller juridique adjoint de la Microsoft Digital Crimes Unit, qui a participé à cette vaste opération.
Un service de phishing industrialisé
Actif depuis au moins l’été 2023, Tycoon2FA s’est imposé comme l’un des plus importants services de phishing au monde. Il comprenait, clé en main, des modèles d’e-mails frauduleux, des pages d’hameçonnage prêtes à l’emploi, des proxys dédiés et des outils de gestion de campagne. Résultat : même des cybercriminels disposant de compétences techniques limitées pouvaient lancer des attaques sophistiquées en quelques minutes.
Le fonctionnement reposait sur une technique dite Adversary-in-the-Middle (AiTM). Les victimes étaient redirigées vers de fausses pages de connexion extrêmement réalistes. Lorsque l’utilisateur saisissait ses identifiants et son code d’authentification à usage unique, la plateforme interceptait ces informations en temps réel, capturait les cookies de session et permettait aux attaquants de prendre immédiatement le contrôle du compte.
Selon Steven Masada, « à la mi-2025, Tycoon2FA représentait environ 62 % de toutes les tentatives d’hameçonnage bloquées par Microsoft, dont plus de 30 millions d’e-mails en un seul mois. Cela a placé Tycoon2FA parmi les plus grandes opérations d’hameçonnage au niveau mondial. Malgré des défenses étendues, le service est lié à environ 96 000 victimes distinctes d’hameçonnage dans le monde depuis 2023, dont plus de 55 000 clients Microsoft ».
Une opération internationale coordonnée
Le démantèlement de Tycoon2FA a mobilisé une coalition public-privé inédite. L’opération a été coordonnée par le Centre européen de lutte contre la cybercriminalité (EC3) d’Europol, avec la participation des forces de l’ordre de plusieurs pays, dont la Lettonie, la Lituanie, le Portugal, la Pologne, l’Espagne et le Royaume-Uni.
Cette opération a aussi été rendue possible grâce à une étroite collaboration entre les forces de l’ordre et des partenaires privés, comme Microsoft, déjà l’origine de la fermeture de RedVDS, mais aussi Cloudflare, Proofpoint et Trend Micro. Les investigations ont d’ailleurs été déclenchées à partir d’informations fournies par les chercheurs de Trend Micro, qui suivaient depuis plusieurs mois l’infrastructure du service et les activités de ses opérateurs.
Les analyses ont permis d’identifier le développeur probable de Tycoon2FA, connu sous les pseudonymes SaaadFridi ou Mr_Xaad, qui aurait auparavant participé à des activités de hacktivisme avant de se lancer dans le développement de kits de phishing.
Le rôle clé du renseignement cybernétique
Cette opération s’inscrit dans le cadre du Cyber Intelligence Extension Programme (CIEP) d’Europol, un dispositif visant à renforcer la coopération entre les autorités et l’industrie technologique. Ce programme permet à des experts du secteur privé de travailler temporairement aux côtés des analystes d’Europol à La Haye afin de partager des renseignements techniques exploitables et d’accélérer les enquêtes.
Dans le cas de Tycoon2FA, les données collectées par les chercheurs ont été diffusées via les réseaux opérationnels d’Europol, facilitant la coordination internationale et la transformation du renseignement technique en actions judiciaires et opérationnelles. Pour les autorités européennes, cette collaboration est devenue essentielle face à des infrastructures criminelles souvent distribuées à l’échelle mondiale.
Source : usine-digitale.fr
