75 000 utilisateurs, 3 millions de comptes, des attaques à portée de clic : l’opération PowerOFF rappelle la massification de l’économie des attaques DDoS, désormais accessibles sans expertise technique.
DDoS-for-hire : une cyberattaque devenue service de masse
Lancée par Europol, l’opération s’est déployée le 13 avril 2026 sur une semaine d’action coordonnée impliquant 21 pays, de l’Australie au Japon, en passant par le Brésil, la Thaïlande et plusieurs États membres de l’Union européenne*. Plus de 75 000 emails et courriers d’avertissement ont été envoyés à des utilisateurs identifiés, tandis que 4 arrestations ont été prononcées, 53 domaines démantelés et 25 mandats de perquisition délivrés.
Le DDoS-for-hire est désormais décrit comme « l’une des tendances les plus prolifiques et les plus accessibles de la cybercriminalité », permettant à des individus peu qualifiés de lancer des attaques en suivant des tutoriels. Derrière ces attaques, des infrastructures distribuées (botnets, serveurs intermédiaires, mécanismes d’amplification) qui sont encapsulées dans des plateformes qui en masquent entièrement la logique. L’utilisateur final n’a plus besoin de comprendre le fonctionnement d’un DDoS : il consomme un service.
Démanteler l’infrastructure, assécher la demande
L’operation vise “à démanteler les infrastructures criminelles de DDoS-for-hire”. Ces plateformes, appelées booter services, reposent sur une ianfrastructure technique classique, serveurs, bases de données, composants réseau. En saisissant ces infrastructures, les autorités ont cherché à bloquer l’accès au service à la source, plutôt que de courir après chaque utilisateur individuellement.
En amont de la semaine d’action, une série de “sprints opérationnels” avait permis aux experts des autorités nationales de constituer des dossiers et d’identifier les cibles prioritaires. Les bases de données saisies sur les plateformes démantelées ont fourni à Europol des données sur plus de 3 millions de comptes d’utilisateurs criminels, un volume qui a directement alimenté les actions coordonnées dans l’ensemble des pays participants.
Europol a également appuyé les enquêtes en analysant les flux financiers en cryptomonnaies et les données techniques saisies, et en pilotant la coordination entre les différentes autorités.
Prévenir avant de réprimer
L’autre axe de cette phase de l’opération est moins habituel dans l’arsenal des forces de l’ordre : agir en amont, avant que l’attaque ne soit commandée. Des annonces ciblées ont été diffusées sur les moteurs de recherche, avec des “messages adressés aux jeunes cherchant des outils DDoS-for-hire sur Google” (citation traduite de l’anglais). Plus de 100 URLs faisant la promotion de ces services ont été retirées des résultats de recherche. Des avertissements ont même été envoyés directement sur les blockchains utilisées pour régler les transactions liées à ces activités illicites.
Le profil des utilisateurs visés couvre un spectre large : de l’adolescent curieux à l’acteur motivé par l’extorsion ou le sabotage d’un concurrent, en passant par des hacktivistes cherchant à paralyser une cible idéologique. C’est précisément parce que ces profils sont aussi variés que la prévention doit s’exercer là où ces individus cherchent ces outils : sur les moteurs de recherche, avant même que la décision de passer à l’acte soit prise.
*”Les pays suivants ont participé à cette action conjointe : Australie, Autriche, Belgique, Brésil, Bulgarie, Danemark, Estonie, Finlande, Allemagne, Japon, Lettonie, Lituanie, Luxembourg, Pays-Bas, Norvège, Pologne, Portugal, Suède, Thaïlande, Royaume-Uni et États-Unis.”, d’après la communication d’Europol.
