ZATAZ » Un membre de Nefilim plaide coupable à New York

Extradé d’Espagne, un Ukrainien de 35 ans reconnaît sa participation à des attaques au rançongiciel Nefilim. Derrière l’aveu, la justice remonte une chaîne criminelle encore incomplète.

Un ancien opérateur de rançongiciel a plaidé coupable vendredi devant le tribunal fédéral de l’Eastern District of New York. Artem Aleksandrovych Stryzhak, Ukrainien de 35 ans, admet une conspiration de fraude informatique liée à des attaques menées avec Nefilim contre des entreprises aux États-Unis, au Canada et en Australie. Arrêté à Barcelone l’an dernier, extradé en avril, il risque jusqu’à dix ans de prison, avec une audience de condamnation prévue en mai. Les procureurs décrivent un modèle d’affiliation, 20 % reversés aux développeurs, et un écosystème où un autre suspect, Volodymyr Tymoshchuk, reste recherché malgré une prime de 11 millions $ (10,1 millions €).

Une confession qui éclaire la mécanique de Nefilim

Le dossier avance à partir d’un aveu, mais laisse volontairement une zone d’ombre : l’architecture collective. Il y a quelques jours, Aleksandrovych Stryzhak a plaidé coupable d’un chef, conspiration en vue de commettre une fraude informatique, dans l’Eastern District of New York. La procédure ne résume pas une carrière, elle fige une responsabilité pénale, et pose une balise utile pour les enquêteurs : qui faisait quoi, et à quel moment.

Selon les procureurs, Stryzhak a utilisé la souche Nefilim pour frapper plusieurs entreprises situées aux États-Unis, au Canada et en Australie. La chronologie racontée par l’accusation situe le point de bascule en juin 2021, lorsqu’il obtient l’accès au rançongiciel. Cette précision n’est pas anodine : elle décrit un modèle d’accès organisé, pas un bricoleur isolé. En échange, Stryzhak aurait accepté de verser 20 % des rançons encaissées aux développeurs. Autrement dit, la relation économique est intégrée au dispositif technique : l’outil circule, l’argent remonte, et chacun se spécialise.

La sanction encourue, elle, est nette : un maximum de dix ans d’emprisonnement. La sentence doit tomber en mai. Entre ces deux dates, la justice américaine transforme un acteur opérationnel en source d’informations potentielle, tout en envoyant un signal de dissuasion. La tension tient à une question implicite : ce plaidoyer ouvre-t-il une porte sur les autres membres, ou se limite-t-il à neutraliser un maillon déjà identifié ?

Les procureurs donnent aussi une idée de la stratégie de ciblage. Les opérateurs de Nefilim, écrivent-ils, ont attaqué et visé des entreprises dont le chiffre d’affaires dépassait 100 millions $ (92,2 millions €). L’objectif est clair : privilégier des structures capables de payer, mais aussi suffisamment complexes pour que l’arrêt informatique fasse mal, vite.

Le bilan agrégé, en revanche, reste volontairement flou dans les éléments fournis : les procureurs évoquent « millions of dollars in losses » au total, en additionnant rançons et dégâts causés aux systèmes. Cette formulation, sans chiffre unique, est un indicateur en soi. Elle suggère une multiplicité de victimes et des impacts difficiles à standardiser, entre indisponibilités, remédiation, pertes d’exploitation et coûts de crise.

Une traque plus large, des victimes sectorielles à un administrateur recherché

L’acte d’accusation mentionne un spectre industriel large parmi les victimes américaines : aviation, ingénierie, chimie, lunetterie, assurance, construction, énergie, services liés aux animaux de compagnie. Cette diversité raconte une autre réalité du rançongiciel : l’attaquant ne cherche pas une industrie pour ses secrets, il cherche des organisations dépendantes de leurs systèmes, donc sensibles à l’urgence. Le rançongiciel, ici, sert d’outil de coercition économique, mais l’enquête, elle, se lit comme un travail de cartographie : relier une souche, des accès, des paiements, des infrastructures, puis des personnes.

Au centre de cette cartographie apparaît un nom que le ministère américain de la Justice remet sur la table : Volodymyr Tymoshchuk. Les autorités indiquent maintenir une récompense de 11 millions $ (10,1 millions €) pour toute information le concernant. Cette prime est un message opérationnel : malgré la procédure contre Stryzhak, l’enquête vise plus haut dans l’organigramme. Volodymyr avait mis en avant par le DoJ, à l’été 2025. Volodymyr Tymochtchouk a aussi été placé sur la liste Europol des personnes recherchées. Il est aussi accusé d’avoir aidé à déployer le rançongiciel Lockergoga.

Les procureurs affirment que Tymoshchuk était administrateur pour Nefilim, ainsi que pour deux souches désormais : LockerGoga et MegaCortex. Entre décembre 2018 et octobre 2021, il aurait utilisé ces rançongiciels pour attaquer des centaines d’organisations aux États-Unis et en Europe, causant des « millions of dollars » de dommages, selon le Department of Justice. Un responsable, l’acting Assistant Attorney General Matthew Galeotti, ajoute que Tymoshchuk était lié à des organisations de rançongiciel ayant extorqué plus de 250 entreprises aux États-Unis. Là encore, l’intérêt cyber et renseignement est moins dans la formule que dans ce qu’elle implique : une continuité d’opérateurs à travers des marques criminelles différentes, et une capacité à recycler outils, accès et méthodes.

LockerGoga, rappelle le dossier, reste associé à l’attaque de 2019 contre le groupe norvégien Norsk Hydro. Cette référence agit comme un repère : elle ancre des noms de souches dans des événements marquants, et relie l’actualité judiciaire à une histoire technique faite de rebranding, de fuites de code et de repositionnements. La question qui demeure, au-delà du plaidoyer, est celle de la profondeur : ce coup de filet réduit-il durablement la capacité d’extorsion, ou ne fait-il que déplacer l’écosystème vers un autre nom, un autre panneau d’administration, un autre affilié ?