Le jeudi 12 mars 2026 à 17:54
Une vaste opération internationale a été menée le 11 mars 2026 contre le service de proxy cybercriminel socksescort.com et la plateforme de paiement Bitsidy.com. Un proxy est un intermédiaire permettant de masquer l'identité en ligne de ses utilisateurs. Les autorités judiciaires de France, des États-Unis et des Pays-Bas, avec le soutien d'Europol et d'Eurojust, ont mené cette action coordonnée à laquelle l'Allemagne, l'Autriche, la Bulgarie, la Hongrie et la Roumanie ont été associées. L'opération a permis de saisir 34 noms de domaines et 24 serveurs dans 7 pays et de déconnecter 1 million de modems infectés du réseau criminel. 40 000 euros ont été saisis en France et 3 millions d'euros ont été gelés aux États-Unis, en cryptomonnaie, a annoncé ce jeudi le parquet de Paris.
En juin 2024, sur un renseignement émanant des autorités américaines signalant qu'une partie de l'infrastructure des serveurs de la solution se trouvait en France, la section de lutte contre la cybercriminalité du parquet de Paris avait ouvert une enquête préliminaire. Celle-ci avait été confiée à l'office français anti cybercriminalité (OFAC). L'analyse des serveurs par les enquêteurs de l'OFAC a permis de cartographier l'infrastructure de la solution criminelle, ce qui a conduit la France à ouvrir un dossier à Eurojust, notamment avec les Pays-Bas et les États-Unis.
Un service utilisé pour masquer l'identité de cybercriminels
Le site internet socksescort.com proposait "un service de proxy payant" : il offrait à ses clients la location d'adresses IP résidentielles fixes — c'est-à-dire des adresses internet attribuées à des particuliers, plus difficiles à détecter comme suspectes par les sites web — "permettant de dissimuler leurs adresses IP réelles afin de s'affranchir du blocage lié aux géolocalisations de certains services en ligne". Concrètement, ce type de service pouvait être utilisé par ses clients pour commettre des fraudes en ligne, des usurpations d'identité ou contourner des dispositifs de sécurité.
La société socksescort promettait que ses adresses IP disposaient d'une bande passante illimitée, qu'elles étaient constamment mises à jour et qu'elles n'étaient placées sur aucune liste noire. Le 4 mars 2026, la société affichait sur son site web qu'elle disposait de "35 915 proxys dans 102 pays, dont 454 en France, 14 720 aux USA, 5 317 au Royaume-Uni, 695 en Italie".
Un million de box internet détournées à l'insu de leurs propriétaires
L'enquête a permis d'établir que le service s'adossait en réalité sur "1 million de modems dans le monde infectés par le malware AVRecon", un logiciel malveillant qui sévissait depuis 2019. Ce dernier "infectait les modems appartenant à des particuliers ou des organisations" et les plaçait sous le contrôle de socksescort.com. Concrètement, les box internet ou routeurs de particuliers et d'entreprises étaient détournés à leur insu. Les machines infectées devenaient ainsi "à l'insu de leurs légitimes propriétaires des relais de trafic" pour les clients du service.
L'enquête a également établi que la plateforme de paiement Bitsidy.com était "administrée par les mêmes personnes que le service de proxy" et que cette plateforme avait perçu "plus de 5 millions d'euros des clients de socksescort.com".
Une information judiciaire a été ouverte le 17 février 2026 des chefs d'accès et maintien frauduleux dans des systèmes de traitement automatisé de données (STAD) — un terme juridique désignant les réseaux informatiques, serveurs et ordinateurs —, modification et introduction frauduleuse de données dans des STAD, entrave au fonctionnement de STAD, blanchiment en bande organisée et participation à une association de malfaiteurs en vue de la préparation de délits punis de 10 ans d'emprisonnement.