Un développeur présumé d’un kit de phishing « as a service » RaccoonO365 arrêté après des renseignements venus de Microsoft et d’agences américaines. Derrière l’interpellation, une économie criminelle structurée.
La police nigériane annonce l’arrestation d’Okitipi Samuel, soupçonné d’être un développeur important de RaccoonO365, un kit d’hameçonnage vendu sur abonnement. Deux opérations à Lagos et dans l’État d’Edo ont conduit à trois interpellations, sur la base d’informations transmises par Microsoft, le FBI et le Secret Service. RaccoonO365 servait à fabriquer de faux portails Microsoft pour voler des identifiants et infiltrer des messageries d’entreprises, d’acteurs financiers et d’établissements éducatifs. Microsoft affirme avoir obtenu en septembre une ordonnance pour saisir 338 sites liés à l’infrastructure, tandis que Cloudflare a supprimé des centaines de domaines et de comptes associés.
Quand le « phishing kit » devient une filière industrielle
Le communiqué du National Cybercrime Centre nigérian décrit une scène devenue classique, mais rarement documentée aussi précisément : deux descentes, du matériel saisi, puis un nom qui émerge comme pièce centrale. Il y a quelques jours, des policiers ont mené des raids à Lagos et dans l’État d’Edo, aboutissant à trois arrestations. Deux personnes arrêtées ne seraient pas liées à l’opération cybercriminelle. La troisième, Okitipi Samuel, est présentée comme un acteur clé dans le développement de l’infrastructure RaccoonO365.
Le déclencheur n’est pas seulement local. La police dit avoir agi après des signalements de Microsoft, du FBI et du U.S. Secret Service. L’angle « renseignement » se lit ici dans la chaîne de coopération : une entreprise identifie une infrastructure, des agences recoupent, un service national intervient sur le terrain. Ce type de montage illustre un déplacement du centre de gravité des enquêtes, où le privé détecte, cartographie et documente, avant que l’État n’appose l’autorité coercitive.
RaccoonO365 est décrit comme un kit de phishing sur abonnement, conçu pour réutiliser l’identité visuelle de Microsoft. La promesse commerciale, côté criminel, est simple : fournir des emails, des pièces jointes et des sites factices suffisamment crédibles pour pousser une cible à cliquer, télécharger ou saisir ses identifiants. Le produit se vendait environ 365 $ par mois (336,4 €), une somme qui ressemble presque à un tarif SaaS banal, sauf qu’elle finance un accès illégal aux boîtes mail des victimes.
La police nigériane affirme que l’enquête montre qu’Okitipi Samuel animait un canal Telegram (850 abonnés) où des liens de phishing étaient vendus contre cryptomonnaie. Elle ajoute qu’il hébergeait des portails frauduleux via Cloudflare, en s’appuyant sur des identifiants email volés ou obtenus par fraude. Ce détail est important : il suggère une logistique plus large que la seule création de pages contrefaites. Il faut gérer l’hébergement, la rotation des domaines, les accès, et la relation client avec d’autres cybercriminels.
Les saisies annoncées, ordinateurs portables, téléphones et autres équipements numériques, sont l’autre volet du renseignement : ce sont des preuves, mais aussi des carnets d’adresses, des historiques, des portefeuilles crypto, des logs et des conversations qui peuvent remonter une filière.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR |
CAPTCHA, QR codes et contournement du MFA : la ruse dans le parcours utilisateur
Le kit RaccoonO365 ne se contente pas d’imiter un écran de connexion. Il cherche à contrôler le chemin qui y mène. D’après les éléments communiqués, les campagnes prenaient souvent la forme d’emails comportant une pièce jointe, avec un lien ou un QR code. La cible arrive ensuite sur une page avec un CAPTCHA, une étape qui joue un double rôle : filtrer certains outils automatisés et rassurer l’humain, en donnant l’impression d’un mécanisme de sécurité « normal ».
Une fois le CAPTCHA validé, la victime est redirigée vers une fausse page de connexion Microsoft O365. Le point d’impact est clair : l’identifiant et le mot de passe sont captés. Le texte précise que le service proposait aussi des techniques visant à contourner l’authentification multifacteur, afin de voler des identifiants et d’obtenir un accès persistant. Là se situe la bascule la plus critique pour les organisations : ce n’est plus une tentative isolée, c’est une capacité à rester, à relancer des sessions et à s’installer dans le temps.
La police nigériane relie ces mails à des compromissions de messagerie d’entreprise, des violations de données et des pertes financières. Ce trio est révélateur : une boîte mail compromise n’est pas une fin, c’est un levier. Elle sert à espionner, à détourner des paiements, à lancer des fraudes au président, ou à élargir l’accès à d’autres systèmes via les échanges internes.
En septembre, Microsoft dit avoir obtenu une ordonnance judiciaire permettant la saisie de 338 sites associés à RaccoonO365. Dans le même mois, Cloudflare supprimait des centaines de domaines et de comptes reliés au groupe. Les campagnes pirates usurpaient des marques comme Adobe, Maersk ou DocuSign. Autrement dit, l’outillage est agnostique : il peut changer de masque, en fonction de la cible et du contexte.
Microsoft soutient aussi qu’un ressortissant nigérian, Joshua Ogundipe, était la force motrice de RaccoonO365. Une saisine pénale a été transmise aux forces de l’ordre internationales, mais sa localisation reste inconnue. L’entreprise affirme qu’il a écrit l’essentiel du code, tout en déléguant à des associés le développement, la vente et le support « client » auprès d’autres cybercriminels. Leur activité aurait rapporté au moins 100 000 $ (92 160 €) ce qui, pour être trés honnête, est rien à la vue de la structure annoncée.
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
