Coup de filet historique : Microsoft et Europol démantèlent Lumma Stealer

Microsoft et Europol viennent de porter un coup décisif à la cybercriminalité mondiale en démantelant Lumma Stealer, l'un des logiciels malveillants les plus redoutables de ces dernières années. Cette opération coordonnée à l'échelle internationale a permis de neutraliser des milliers de domaines et de couper les communications entre le malware et ses victimes.

Un redoutable voleur numérique neutralisé

Apparu dans l'écosystème cybercriminel fin 2022, Lumma Stealer s'était rapidement imposé comme un outil de prédilection pour les pirates informatiques. Ce logiciel malveillant, développé par un individu se faisant appeler "Shamel" et probablement basé en Russie, fonctionnait selon le modèle du Malware-as-a-Service (MaaS). Les cybercriminels pouvaient louer ses services moyennant des abonnements mensuels allant de 250 à 1 000 dollars selon les fonctionnalités souhaitées.

Sa popularité reposait sur son efficacité redoutable et sa facilité d'utilisation. Un cocktail explosif qui a permis à son créateur de se constituer une clientèle fidèle d'environ 400 clients actifs fin 2023, selon une interview accordée à un chercheur en cybersécurité.

L'arsenal de vol de Lumma

Lumma Stealer n'était pas un simple malware, mais une véritable plateforme sophistiquée de vol d'informations sensibles. Sa mission principale : dérober un maximum de données personnelles, notamment :

• Les mots de passe stockés dans les navigateurs (Chrome, Edge, Firefox)
• Les coordonnées bancaires et numéros de cartes de crédit
• Les portefeuilles de cryptomonnaies
• Les cookies de navigation et l'historique
• Divers identifiants et documents confidentiels

Sa méthode de propagation privilégiée reposait sur des campagnes de phishing ciblées. En mars 2025, Microsoft a notamment identifié une campagne se faisant passer pour l'agence de voyages Booking.com pour diffuser le malware. Les publicités malveillantes (malvertising) constituaient également un vecteur d'infection courant.

L'une des forces de Lumma résidait dans sa capacité à contourner certaines mesures de sécurité, comme l'ont constaté les chercheurs de Cloudflare qui ont dû renforcer leurs systèmes en février 2025 lorsque le malware a commencé à bypasser leurs pages d'avertissement.

Un impact dévastateur à l'échelle mondiale

Les dégâts causés par Lumma Stealer ont été considérables. Entre le 16 mars et le 16 mai 2025 seulement, Microsoft a identifié plus de 394 000 ordinateurs Windows infectés à travers le monde. Selon les chercheurs de Flashpoint, le malware aurait infecté environ 1,8 million d'appareils en 2024.

Les cibles de Lumma étaient extrêmement diversifiées :

• Des établissements scolaires
• Des communautés de jeux vidéo
• Des infrastructures critiques dans les secteurs de la santé, de la finance, des télécommunications et de la logistique

Le logiciel était même utilisé par des groupes notoires de ransomware comme Octo Tempest (également connu sous le nom de Scattered Spider), amplifiant encore davantage son impact destructeur.

Une opération de démantèlement coordonnée à l'échelle mondiale

Face à cette menace croissante, une riposte d'envergure s'est organisée. Le 13 mai 2025, Microsoft a lancé une action en justice aux États-Unis, obtenant une ordonnance du tribunal de district du nord de la Géorgie pour intervenir sur l'infrastructure de Lumma Stealer.

L'opération a mobilisé plusieurs acteurs clés :

• La Digital Crimes Unit (DCU) de Microsoft
• Le Département de la Justice américain
• Le Centre européen de cybercriminalité d'Europol (EC3)
• Le Centre de contrôle de la cybercriminalité du Japon (JC3)
• Plusieurs entreprises de cybersécurité comme ESET, Bitsight, Lumen, Cloudflare, CleanDNS et GMO Registry

Le coup fatal a été porté à l'infrastructure de communication de Lumma : environ 2 300 domaines malveillants ont été saisis ou bloqués, dont plus de 1 300 redirigés vers des serveurs contrôlés par Microsoft. Cette action a coupé les liens entre le malware et ses opérateurs, rendant l'outil inopérant pour les cybercriminels qui l'avaient acheté.

Parallèlement, le Département de la Justice américain a saisi le panneau de contrôle central de Lumma et perturbé les places de marché où le malware était vendu, s'attaquant ainsi directement au modèle économique du cybercrime.

Une victoire significative, mais la vigilance reste de mise

Ce démantèlement représente une victoire majeure dans la lutte contre la cybercriminalité et illustre l'efficacité des partenariats public-privé. Comme l'a souligné un porte-parole de Microsoft, les enquêteurs ont déjà observé des tentatives de reconstruction de l'infrastructure par les cybercriminels. Toutefois, grâce à l'ordonnance du tribunal et à la coordination étroite entre les partenaires, ces nouvelles infrastructures peuvent être immédiatement démantelées.

L'opération contre Lumma Stealer marque potentiellement un tournant dans la lutte contre les plateformes de Malware-as-a-Service, établissant un précédent juridique et technique qui pourrait être appliqué à d'autres menaces similaires.

Pour les utilisateurs, cette affaire rappelle l'importance de maintenir à jour ses systèmes de sécurité et d'adopter des pratiques numériques prudentes, notamment face aux tentatives de phishing qui constituent le principal vecteur de propagation de ces malwares.