Les forces de l'ordre ont réussi à perturber la plateforme de phishing **W3LL**, un outil qui permettait aux cybercriminels de créer de faux sites web réalistes pour la récolte d'identifiants. ### La coopération internationale mène au démantèlement Le bureau d'Atlanta du **FBI** a annoncé la saisie de l'infrastructure soutenant le service de phishing. Simultanément, la police nationale indonésienne a appréhendé l'individu soupçonné d'être le développeur de la plateforme, identifié uniquement comme G.L., et a confisqué des domaines cruciaux associés à **W3LL**. « Ce n'était pas seulement du phishing – c'était une plateforme de cybercriminalité à service complet », a déclaré Marlo Graham, agent spécial en charge au **FBI** Atlanta, soulignant la nature complète de la menace. ### Le modus operandi de W3LL La plateforme **W3LL** permettait aux attaquants de tromper les victimes pour qu'elles saisissent leurs identifiants dans des portails de connexion usurpés. Ces identifiants volés étaient ensuite utilisés pour contourner l'authentification multi-facteurs (MFA), accordant aux cybercriminels un accès persistant aux comptes compromis. Le **FBI** a révélé que le kit de phishing était soutenu par une place de marché en ligne appelée **W3LLSTORE**, qui commercialisait des identifiants de connexion compromis et des identifiants d'accès à distance. ### L'ampleur de l'opération Entre 2019 et 2023, **W3LLSTORE** aurait proposé plus de 25 000 comptes compromis à la vente, facilitant le vol d'identifiants et permettant des tentatives de fraude dépassant les 20 millions de dollars. Les chercheurs de **Group IB** ont rapporté que la plateforme s'adressait à une communauté fermée d'au moins 500 acteurs de la menace, offrant un kit de phishing personnalisé appelé **W3LL Panel** conçu pour contourner la MFA, ainsi que 16 autres outils pour les attaques de compromission de la messagerie professionnelle (BEC). Selon **Group-IB**, les outils de phishing de **W3LL** ont ciblé plus de 56 000 comptes d'entreprise **Microsoft 365** aux États-Unis, au Royaume-Uni, en Australie et en Europe entre octobre 2022 et juillet 2023. Les chercheurs estiment que les revenus de **W3LL** ont probablement atteint un demi-million de dollars au cours des 10 derniers mois d'exploitation. ### Persistance et évolution Malgré la fermeture de **W3LLSTORE** en 2023, la plateforme a continué à fonctionner via des services de messagerie cryptés. Les cybercriminels ont continué à commercialiser l'outil, qui a été utilisé dans des attaques ciblant 17 000 victimes dans le monde entre 2023 et 2024. ### Montée de la fraude cyber-habilitée Le **FBI** a récemment signalé une augmentation de la fraude cyber-habilitée, représentant la majorité des pertes signalées à son Centre de plaintes sur la criminalité sur Internet (**IC3**) en 2025, avec un montant stupéfiant de 17,6 milliards de dollars volés. Ce démantèlement fait suite aux actions récentes du **FBI** contre d'autres plateformes de cybercriminalité, notamment **Leakbase** et le marché russe **RAMP**. En décembre, le **FBI** a également collaboré avec la police nigériane pour arrêter un développeur derrière le kit de phishing **RaccoonO365**, qui, similaire à **W3LLSTORE**, était utilisé pour créer de fausses pages de connexion **Microsoft** pour la récolte d'identifiants.