Un écran de saisie du FBI à la place du forum RAMP. Cette vitrine prisée des amateurs de rançongiciels est-elle vraiment fermée ?
Les sites du forum cybercriminel RAMP, place de marché russophone utilisée par des groupes de ransomware et des courtiers d’accès initiaux, ont été remplacés par une page indiquant une saisie par le FBI. Le Département américain de la Justice n’a pas encore communiqué officiellement, ce qui alimente des questions sur l’authenticité de l’opération. Des enregistrements DNS auraient, au départ, montré une redirection du site en clair vers un domaine du FBI typiquement employé lors de démantèlements. ZATAZ n’a pas remarqué de logos d’autres polices, mais cite une coordination avec le parquet fédéral du district sud de Floride et la section CCIPS du DOJ.
Une page de saisie, puis la question de la preuve
Le basculement est brutal : les sites associés à RAMP, un forum russe réputé dans l’économie souterraine, affichent désormais un visuel de saisie attribué au FBI. Dans le monde des places criminelles, le symbole compte autant que l’action. Une “splash page” est un message opérationnel, elle signale une prise de contrôle, vise à désorganiser les habitués et à décourager la reconstitution. Mais ici, l’absence d’une annonce officielle immédiate du Département de la Justice américain entretient une zone grise, et cette zone grise est précisément le terrain où prospèrent les intox et les diversions.
Le texte fourni rappelle un précédent qui pèse lourd dans les esprits : en 2024, le groupe AlphV/BlackCat avait revendiqué avoir été neutralisé par les forces de l’ordre américaines, dans une mise en scène décrite comme une sortie frauduleuse destinée à flouer ses propres affiliés. Cette référence n’établit pas un lien direct avec RAMP, elle explique pourquoi l’écosystème est devenu méfiant. Dans ce type d’environnement, un écran “FBI seized” ne suffit plus. La question implicite est simple : qui contrôle réellement l’infrastructure, et que cherchent-ils à obtenir, dissuasion, collecte de renseignements, ou écran de fumée ?
Un élément technique est néanmoins mentionné : des enregistrements DNS auraient d’abord montré que le site accessible en clair redirigeait vers un domaine du FBI “régulièrement utilisé” lors de démantèlements. Ce détail est important parce qu’il déplace le débat du pur visuel vers une trace d’implémentation. Le raisonnement est le suivant : une redirection DNS vers une infrastructure déjà associée à des opérations de saisie rend la thèse d’une action policière plus crédible qu’un simple montage graphique. Cela ne prouve pas tout, car des adversaires sophistiqués peuvent imiter des signaux, mais cela relève le niveau de cohérence.
Autre signal, plus politique que technique : l’avis de saisie n’affiche pas les logos d’autres agences internationales, alors que ces opérations sont souvent présentées comme conjointes. Le texte, lui, insiste sur une coordination avec le bureau du procureur des États-Unis pour le district sud de Floride et avec la Computer Crime and Intellectual Property Section, la CCIPS du DOJ. Cette formulation resserre l’attribution sur une chaîne américaine, et elle peut aussi être une façon de maîtriser le récit avant une communication plus complète.
De Matveev à Stallman, la continuité criminelle comme message
RAMP ne servait pas un seul public. Il est décrit comme fréquenté par des cybercriminels russes, chinois et anglophones, avec une spécialisation marquée : ransomware et “initial access brokers”, ces acteurs qui vendent des accès à des réseaux compromis. Dans une logique renseignement, ce type de place est une gare de triage. On y observe les besoins, les prix, les méthodes, et parfois les tensions entre métiers, intrusion, extorsion, blanchiment.
Le texte rappelle aussi un fil humain, utile pour comprendre la gouvernance de ces espaces. Parmi les administrateurs figurait Mikhail Matveev, interrogé en 2022 par Dmitry Smilyanets de Recorded Future. Matveev indiquait alors que la propriété du forum serait transférée à un hacker connu sous le nom de Stallman. Cette transition, annoncée avant les événements actuels, donne un contexte : le pouvoir y est mouvant, et les acteurs préparent des plans de succession, comme dans une entreprise, mais sans garanties.
Cette semaine, sur le forum de hacking XSS, Stallman affirme que les forces de l’ordre ont “pris le contrôle du forum RAMP”. Il décrit un choc personnel et opérationnel, “cet événement a détruit des années de travail”, tout en reconnaissant que le risque faisait partie du jeu. Le passage est précieux, car il sert d’aveu public, même si, là encore, une déclaration n’est pas une preuve. Plus parlant encore, Stallman annonce ne pas vouloir recréer un nouveau forum à partir de zéro. En revanche, il compte poursuivre ses activités criminelles en achetant des accès à des réseaux de futures victimes. Autrement dit, la plate-forme peut tomber, l’activité se déplace.
C’est là que l’analyse de Laura Galante, citée dans le texte, éclaire l’enjeu stratégique. Ancienne directrice de l’intégration du renseignement sur les menaces cyber au sein du bureau du directeur du renseignement national américain, elle explique en 2024 que les saisies de domaines et les opérations de perturbation s’inscrivent dans une stratégie de remodelage de l’écosystème. Son idée centrale est quantitative : aucune action unique n’éradique le ransomware, il faut augmenter la fréquence et la largeur des coups, frapper l’infrastructure régulièrement, et viser aussi les rouages financiers. L’objectif affiché n’est pas seulement de “faire tomber” un acteur, mais d’empêcher l’émergence d’un champion dominant, en maintenant un marché fragmenté et instable. Dans ce cadre, une saisie, réelle ou revendiquée, est aussi un message de tempo : compliquer la consolidation, rallonger le temps de reconstitution, et forcer les criminels à rester en mouvement.
