ZATAZ » Group 78, une unité secrète américaine chasseuse de pirates

La divulgation de l’existence du « Group 78 » par le journal Le Monde et Die Zeit met en lumière une nouvelle étape de la lutte extraterritoriale contre la cybercriminalité et pose des questions précises sur la coopération judiciaire et le renseignement.

Le Monde et Die Zeit révèlent l’existence du « Group 78 », une cellule secrète américaine présentée en novembre 2024 à Europol et Eurojust. Chargée de s’attaquer au gang de pirates informatiques Black Basta, le groupe 78 mis en place par le FBI prévoit des actions visant à contraindre ses membres à quitter la Russie et à influencer les autorités russes pour rompre leur protection. La révélation interroge l’intégrité des enquêtes européennes et le partage d’informations sensibles entre polices et services de renseignement. L’enquête, fondée sur documents internes et multiples sources policières et judiciaires européennes, illustre la montée des opérations extraterritoriales de type renseignement par le FBI, et soulève des enjeux juridiques, éthiques et techniques pour la coopération internationale en matière de cybercriminalité.

Une présentation qui a choqué les enquêteurs européens

En novembre 2024, des policiers venus de toute l’Europe étaient réunis à La Haye, au siège d’Europol, pour travailler sur une enquête ultra­sensible visant Black Basta, groupe de cybercriminels d’élite responsable d’attaques contre entreprises et administrations, y compris des hôpitaux. Lors de cette réunion, un agent du FBI a présenté une entité américaine jusqu’alors tenue secrète : le « Group 78 ». Selon les documents et les témoignages recueillis par les journalistes, la présentation a été répétée ensuite devant Eurojust, l’organe qui coordonne les magistrats européens.

Pour des enquêteurs européens, la nature et les objectifs affichés de cette unité ont provoqué stupéfaction et inquiètude. La méthode exposée n’apparaissait pas comme une simple coopération policière. Le message était clair : les Américains disposeraient désormais d’un instrument de pression et d’opération capable d’agir dans des zones d’impunité, y compris sur des territoires où l’action judiciaire classique est limitée. Les sources consultées par Le Monde et Die Zeit ont décrit une démarche ciblée sur Black Basta, que les États européens avaient déjà en ligne de mire, mais l’originalité du Group 78 réside dans sa volonté affichée d’agir à l’intérieur de la sphère russe pour en extraire ou neutraliser des acteurs criminels. La fuite de données de milliers de messages internes de BlackBasta a-t-elle été organisées par le FBI ? On peut dorénavant se poser la question.

Deux axes stratégiques annoncés

La stratégie présentée se scinde en deux volets complémentaires et controversés. Le premier vise à mener des actions opérationnelles en Russie pour rendre la vie des membres de Black Basta impossible et les contraindre à se déplacer hors du territoire russe, afin de faciliter leur arrestation sur la base de mandats d’arrêt existants. Le second consiste à manipuler ou influencer, selon les termes rapportés par les sources, les autorités russes pour qu’elles cessent de fournir protection ou tolérance au groupe. Ces approches, si elles se confirment, relèvent d’un registre hybride mêlant opérations clandestines, pressions diplomatiques et manœuvres de renseignement. Pour des magistrats européens, l’option d’une action conçue pour provoquer des déplacements de suspects pose un risque tangible pour l’intégrité des enquêtes en cours : déplacer ou provoquer la fuite de suspects peut compromettre l’ensemble des procédures, détruire des preuves et entraver la coopération judiciaire internationale.

La révélation du Group 78 pose une question opérationnelle et juridique simple : quand une action de nature renseignementaire se conjugue à une opération policière, qui garde la main sur le calendrier et la préservation des preuves ? Les enquêteurs européens présents à La Haye ont exprimé leur crainte que des opérations conçues sans coordination judiciaire préalable puissent compromettre des enquêtes ouvertes par des parquets nationaux ou par des instances paneuropéennes. Le droit de l’enquête suppose des chaînes de conservation et des garanties procédurales. Une opération destinée à pousser des suspects hors d’un pays tiers ou à manipuler des autorités locales, sans coordination avec les magistrats instructeurs, risque de rompre ces chaînes et d’affaiblir les poursuites. Par ailleurs, la présentation du Group 78 devant des auditoires européens a surpris par son caractère bilatéral et discret. Plusieurs sources indiquent que des documents internes ont été présentés pour expliquer la doctrine d’action de la cellule. Ce mode de révélation, selon des enquêteurs, illustre un basculement : le recours accru à des forces d’intervention rattachées au renseignement se substituant parfois à des voies judiciaires classiques dans la lutte contre les menaces transnationales.

Un basculement vers des méthodes extrajudiciaires ?

La logique affichée du Group 78 rappelle des pratiques de pression et de manipulation qui relèvent davantage du renseignement que de la police judiciaire. Utiliser des moyens pour rendre le territoire infréquentable à des criminels ou favoriser leur exfiltration vers des juridictions où l’arrestation est possible relève d’un répertoire d’action secret. Pour les observateurs, la question centrale est de savoir si ces méthodes, efficaces dans la disruption d’une organisation criminelle, respectent les droits fondamentaux et les normes internationales. Le risque de conséquences collatérales est élevé : erreurs d’identification, atteintes à des tiers, interférence dans des enquêtes étrangères. Les magistrats interrogés par les journalistes ont fait valoir que la légitimité d’une telle cellule dépendrait de contrôles stricts et d’un encadrement juridique clair, éléments qui, selon les sources, faisaient défaut dans les présentations consultées.

La mise en place d’unités secrètes dédiées à la lutte contre la cybercriminalité engage des choix politiques. Pour les États qui les déploient, elles offrent la possibilité d’agir rapidement et discrètement contre des menaces difficiles à appréhender par des voies classiques. Pour les partenaires internationaux, elles suscitent suspicion et interrogations, en particulier lorsque l’information transfrontalière est partagée dans un cadre restreint. Les policiers et magistrats européens présents à Europol et Eurojust ont pointé l’absence apparente de garde-fous publics et la nécessité d’une meilleure articulation entre action clandestine et procédure judiciaire. Ils ont aussi souligné que la crédibilité des enquêtes européennes dépendait d’une coopération perçue comme loyale. La révélation du Group 78 a donc alimenté un débat sur la confiance mutuelle entre acteurs chargés de la sécurité et de la justice.

Black Basta est cité comme l’un des groupes visés par la cellule. Le profil même de ces organisations, mobiles et résilientes, explique en partie l’attrait pour des méthodes non conventionnelles. Les groupes de ransomware et d’extorsion opèrent via des infrastructures réparties et recourent à des protections locales. La présentation du Group 78 a mis en avant l’objectif de dissocier les acteurs cybercriminels de leurs refuges territoriaux. Toutefois, la technique soulève des défis concrets : comment garantir que les actions menées n’entravent pas la collecte de preuves numériques essentielles ? Comment concilier les tempos du renseignement, souvent furtifs, avec ceux des procédures pénales, qui exigent traçabilité et publicité des actes ? Les réponses à ces questions déterminent la capacité des États à traduire en justice des réseaux cybercriminels sans compromettre la validité des poursuites. Le FBI a-t-il agit de la sorte avec d’autres groupes, tel que LockBit ? Par exemple, comme ZATAZ l’a souvent remarqué, afficher des « Wanted » de pirates agissant de pays « difficiles » permettaient-ils d’attirer le regard des autorités locales, voir de la mafia ?

Une affaire qui interroge la délimitation police / renseignement

La frontière entre police judiciaire et services de renseignement est une des lignes de fracture de cette affaire. Les premiers opèrent selon des règles procédurales et judiciaires strictes. Les seconds disposent souvent de marges d’action plus larges mais aussi de plus faibles garanties de transparence. Le recours à une cellule secrète telle que le Group 78 souligne la tentation de privilégier l’efficacité opérationnelle immédiate face à des menaces rapides et multiformes. Les sources citées insistent toutefois sur le besoin d’un cadre qui permette d’articuler ces deux registres sans sacrifier ni l’efficacité ni l’État de droit. À défaut, le prix à payer pourrait être élevé pour la coopération internationale et la confiance entre partenaires.

La mise au jour du Group 78 par Le Monde et Die Zeit révèle une dynamique nouvelle dans la lutte contre la cybercriminalité : le recours croissant à des instruments d’action dissimulés et puissants. Si leur efficacité peut paraître prometteuse contre des groupes transnationaux, leur usage soulève des questions de souveraineté, d’intégrité judiciaire et de contrôle démocratique. La coopération européenne, déjà fragile dans certains dossiers, doit désormais définir des règles claires pour encadrer toute action conjointe avec des acteurs de renseignement. Faute de garanties robustes, la lutte contre la cybercriminalité risque de fragiliser ses propres fondements juridiques et éthiques.

Dans les habitudes du FBI ?

Le FBI a déjà eu recours à des équipes publiques et à des techniques clandestines pour lutter contre la cybercriminalité. Cyber Action Team (CAT), une équipe rapide et publique composée d’agents, d’analystes et d’experts techniques, déployable à l’international pour répondre aux incidents majeurs. Cette unité est officielle et documentée par le FBI.

Operation Tovar, 2014
Le FBI a dirigé ou co-piloté des opérations multinationales contre des botnets et ransomwares, notamment l’opération Tovar contre Gameover Zeus et CryptoLocker en mai-juin 2014. Ces actions ont combiné saisies de serveurs, sinkholing et coopération judiciaire internationale.

Playpen / Operation Pacifier, 2015
En 2015 le FBI a saisi puis fait tourner le site Tor « Playpen » et a déployé un « Network Investigative Technique » (NIT), un code visant à identifier des visiteurs anonymes. L’opération, dite Operation Pacifier, a conduit à des centaines d’arrestations mais a déclenché des contestations juridiques et éthiques sur la portée et la légalité de ces intrusions.

Freedom Hosting, 2013
Des révélations indiquent que le FBI a contrôlé des serveurs de fournisseurs Tor (Freedom Hosting) et utilisé des exploits pour desanonymiser des utilisateurs dès 2013, technique comparable aux NIT. L’usage de NIT et d’exploits a donné lieu à des ordres de justice, des demandes de divulgation du code et des remises en cause de preuves. Des ONG et certains juges ont critiqué le maintien secret de ces outils pour des raisons de sécurité et d’état de droit.