Le 14 avril, le FBI (Federal Bureau of Investigation) et le service de police national indonésien ont annoncé conjointement avoir démantelé avec succès l’infrastructure du réseau de phishing W3LL. Les autorités ont saisi des équipements techniques clés directement liés à des escroqueries pour plus de 20 millions de dollars et ont placé en détention le développeur présumé, GL. Cette opération a bénéficié d’un appui judiciaire fourni par le bureau du procureur du district nord de l’État de Géorgie, aux États-Unis. Il s’agit de la première action conjointe des forces de l’ordre des deux pays ciblant une plateforme de piratage.
Mécanisme de fonctionnement du réseau de phishing W3LL : des outils criminels à partir de 500 dollars
Le cœur de la conception de la trousse d’outils de phishing W3LL consiste à créer des pages de connexion factices quasi indiscernables, afin d’inciter les victimes à saisir volontairement leurs informations d’identification. Les attaquants peuvent acheter des droits d’utilisation de l’outil à faible coût via le marché souterrain W3LLSTORE, pour environ 500 dollars. L’adoption s’est propagée rapidement dans le milieu criminel : environ 500 acteurs malveillants auraient été actifs en les utilisant, formant un écosystème de cybercriminalité hautement organisé.
Cependant, la fonctionnalité la plus destructrice du réseau de phishing W3LL est sa technique d’attaque de l’homme du milieu (AiTM). Les attaquants peuvent intercepter instantanément la session de connexion de la victime, et synchroniser le vol des jetons d’authentification au même moment où l’utilisateur saisit son identifiant et son mot de passe. Cela signifie qu’en dépit de la protection par authentification multifacteur déjà activée sur le compte, l’attaquant peut détourner la session une fois l’authentification terminée, rendant ainsi la protection MFA inefficace.
Envergure criminelle et trajectoire d’évolution
L’histoire criminelle du réseau de phishing W3LL s’étend sur plusieurs années, et montre une trajectoire d’évolution claire visant à échapper à l’application de la loi :
2019–2023 : Activité dynamique du marché souterrain W3LLSTORE, entraînant la circulation de transactions portant sur plus de 25 000 identifiants volés
Après la fermeture du marché : Les opérateurs ont migré vers des applications de communication chiffrées, continuant à distribuer des outils reconditionnés afin d’esquiver le pistage des forces de l’ordre
2023–2024 : Des trousses d’outils ayant causé plus de 17 000 victimes à l’échelle mondiale
14 avril 2026 : Action conjointe américano-indonésienne ayant permis de confisquer avec succès l’infrastructure ; le développeur GL a été placé en détention
L’ensemble de l’écosystème criminel est hautement organisé : du développement des outils, à la vente sur le marché, jusqu’à l’exécution réelle des attaques, formant une chaîne d’approvisionnement complète de cybercriminalité.
Coopération en matière de sécurité entre les États-Unis et l’Indonésie : un nouveau champ pour la lutte conjointe contre la cybercriminalité
Le moment choisi pour cette action conjointe de confiscation revêt une portée diplomatique. Le 13 avril, les États-Unis et l’Indonésie ont officiellement annoncé la mise en place d’une relation de partenariat majeur en matière de défense. Le cadre couvre la modernisation militaire de la région indo-pacifique, l’éducation spécialisée et des exercices conjoints. L’action de confiscation du réseau de phishing W3LL indique que la coopération bilatérale en matière de sécurité s’est désormais étendue à l’application de la loi contre la cybercriminalité.
À noter particulièrement : la menace que représente le phishing en ligne pour les détenteurs de crypto-monnaies continue de s’intensifier. En janvier 2026, sur un mois seulement, les investisseurs en crypto-monnaies ont subi des pertes dues à des attaques de phishing en ligne dépassant déjà 300 millions de dollars. Cela montre que, même si cette opération de lutte contre le phishing W3LL a produit des résultats, l’environnement de menace global reste préoccupant.
Questions fréquentes
Pourquoi la trousse d’outils de phishing W3LL a-t-elle pu se diffuser largement au sein de la communauté de cybercriminalité ?
La diffusion rapide de la trousse d’outils W3LL s’explique par deux facteurs majeurs : le coût d’entrée extrêmement faible de 500 dollars, ainsi que les capacités rares des autres outils à contourner l’authentification multifacteur. La combinaison d’une faible barrière d’accès et d’une efficacité élevée en fait l’outil d’attaque privilégié des groupes de cybercriminalité organisés, et elle a permis la création d’une chaîne d’approvisionnement de vente stable sur le marché souterrain.
Comment la trousse d’outils W3LL contourne-t-elle l’authentification multifacteur (MFA) ?
La trousse d’outils W3LL utilise la technique d’attaque de l’homme du milieu (AiTM) : elle détourne instantanément la session de connexion authentifiée et les jetons d’authentification au moment même où la victime termine la vérification MFA. Ainsi, l’attaquant peut se connecter au compte cible en se faisant passer pour la victime, sans avoir besoin de connaître le second facteur, rendant les mécanismes de protection MFA traditionnels inefficaces.
Comment les utilisateurs de crypto-monnaies peuvent-ils se protéger efficacement contre ce type d’attaques de phishing avancées ?
Les mesures de défense clés incluent : utiliser des clés de sécurité matérielles (comme YubiKey) à la place des OTP par SMS ou via application pour l’authentification multifacteur ; le recours aux premières peut efficacement résister aux attaques AiTM ; vérifier soigneusement la réalité du nom de domaine avant d’accéder à toute plateforme ; et éviter de cliquer sur des liens de connexion figurant dans des e-mails ou messages provenant d’expéditeurs inconnus.
Avertissement : Les informations contenues dans cette page peuvent provenir de tiers et ne représentent pas les points de vue ou les opinions de Gate. Le contenu de cette page est fourni à titre de référence uniquement et ne constitue pas un conseil financier, d'investissement ou juridique. Gate ne garantit pas l'exactitude ou l'exhaustivité des informations et n'est pas responsable des pertes résultant de l'utilisation de ces informations. Les investissements en actifs virtuels comportent des risques élevés et sont soumis à une forte volatilité des prix. Vous pouvez perdre la totalité du capital investi. Veuillez comprendre pleinement les risques pertinents et prendre des décisions prudentes en fonction de votre propre situation financière et de votre tolérance au risque. Pour plus de détails, veuillez consulter l'
avertissement.
Articles similaires
Le président de la CFTC, Selig, cherche à codifier des règles protégeant les développeurs d’outils crypto non dépositaires (non-custodial)
Lors de Consensus Miami, le président de la CFTC, Michael Selig, a déclaré que l’agence prévoit de formaliser des orientations sur le moment où les développeurs de logiciels crypto doivent s’enregistrer en tant que courtiers. En mars, la CFTC a publié une lettre de non-action indiquant qu’elle ne chercherait pas à engager des poursuites pour non-respect de l’enregistrement contre le fournisseur de wallet Phantom. Selig ai
GateNewsIl y a 5h
Les victimes d’actes terroristes en Corée du Nord déposent une plainte $71M contre les pirates ayant piraté Aave, en requalifiant l’attaque comme une fraude
Les avocats des victimes de trois affaires de terrorisme attribuées à la Corée du Nord ont déposé, mardi, une réponse de 30 pages, en requalifiant le piratage d’Aave du 18 avril comme une fraude plutôt que comme un vol — une distinction juridique qui pourrait conférer aux attaquants le titre juridique sur la crypto empruntée. Les victimes cherchent à récupérer environ 71 millions de dollars
GateNewsIl y a 14h
La baleine crypto poursuit Coinbase pour des fonds volés en $55M DAI, gelés
Une baleine crypto anonyme identifiée comme « D.B. » a déposé une plainte lundi contre Coinbase et un voleur présumé au sujet du refus de la plateforme de restituer des fonds gelés liés à un vol crypto d’août 2024, selon un document judiciaire. Le demandeur a perdu environ 55 millions de dollars d’une valeur de DAI dans l’incident
CryptoFrontierIl y a 15h
La CFTC prévoit de codifier les protections des développeurs non dépositaires à la suite de la lettre d’exemption « Phantom »
Selon le président de la CFTC, Michael Selig, qui s’est exprimé mardi à Consensus Miami, l’agence prévoit de codifier des protections pour les développeurs de logiciels non dépositaires par le biais d’une procédure formelle d’élaboration de règles. En mars, la CFTC a publié une lettre de non-action indiquant qu’elle ne chercherait pas à engager de poursuites pour faire appliquer les règles contre le fournisseur de portefeuilles crypto
GateNewsIl y a 16h
La lutte pour la montée en niveau des détenteurs dans la décision d’attentat de la Corée du Nord fait geler 71 millions de dollars d’actifs de Aave : invoquant la loi sur les assurances antiterroristes
L’affaire d’attaque terroriste contre la Corée du Nord s’intensifie : 71 millions de dollars en actifs Aave gelés passent au troisième round. Le plaignant modifie sa demande en invoquant la loi TRIA, affirmant que l’ETH constitue des biens nationaux de la Corée du Nord, en soulignant que c’est une fraude plutôt qu’un vol, afin de contourner l’argument selon lequel le voleur ne possède pas le produit du crime. Dans le même temps, il conteste la recevabilité (standing) et la position de gouvernance d’Aave. DeFi United a levé plus de 328 millions de dollars, avec des fonds suffisants pour indemniser les utilisateurs touchés. L’affaire pourrait devenir une décision clé pour la jurisprudence DeFi et la gouvernance des DAO.
ChainNewsAbmediaIl y a 18h
