L'enquête, qui a été lancée début 2019 dans le canton de Vaud, a permis de remonter jusqu'en Pologne pour démasquer un groupe de pirates informatiques dénommé "InfinityBlack". Cinq membres présumés de ce groupe y ont été arrêtés le 29 avril, tandis que cinq personnes ont été interpellées sur sol vaudois entre le 30 avril et le 2 mai 2019, a indiqué mardi Europol.
Ce sont ces premières arrestations en Suisse qui ont permis de mener l'enquête et de comprendre le fonctionnement de cette cyberattaque de bons de fidélité. La Brigade d'analyse des traces technologiques (BATT) de la police vaudoise a ensuite collaboré avec Fedpol, la police polonaise et Europol.
Enquête partie de consommateurs vaudois
Tout est parti de plaintes de clients, surtout vaudois, ayant remarqué que leurs bons Cumulus de Migros avaient été utilisés à leur insu. "Une dizaine de plaintes vers la fin 2018 puis plusieurs dizaines les mois suivant", explique Julien Cartier, chef du BATT.
En quelques mois d'enquête, cinq jeunes pirates sont arrêtés dans le canton. Ils avaient profité de mesures de sécurité "peu optimales" sur la plateforme en ligne des points Cumulus Migros pour récupérer des identifiants et mots de passe de comptes-clients.
Ils ont ensuite revendu les données et bons vers d'autres réseaux illégaux de distribution. Et de fil en aiguille, ce "début d'entreprise criminelle" en Suisse a rebondi en Pologne vers le groupe de pirates informatiques "très professionnel et important" "InfinityBlack", poursuit Julien Cartier.
Gains potentiels énormes
Les pertes ont été estimées à quelque 53'000 francs, selon Europol, tandis que le total potentiellement disponible sur ces comptes piratés se montait à environ 640'000 francs de bons Cumulus.
Les fraudeurs et pirates, parmi lesquels des mineurs et de jeunes adultes, ont été démasqués lorsqu'ils ont utilisé les bons volés dans des magasins en Suisse, précise l'agence européenne de police criminelle.
De son côté, la police nationale polonaise (Policja) a fouillé six sites dans cinq régions du pays et donc arrêté cinq individus. Elle a saisi du matériel informatique pour une valeur de près de 120'000 francs.
ats/jop