Quand l'infrastructure d'hébergement devient une arme : ce que révèle la saisie de serveurs aux Pays-Bas

La semaine dernière, les enquêteurs néerlandais de la FIOD ont mené une opération d'ampleur. Huit cents serveurs ont été saisis, deux personnes ont été arrêtées. Derrière cette action se cache une infrastructure d'hébergement sophistiquée, soupçonnée d'avoir soutenu des cyberattaques et des campagnes de désinformation liées à des acteurs russes et biélorusses.

Ce n'est pas qu'un fait divers de cybersécurité. L'affaire soulève des questions plus larges sur la responsabilité des hébergeurs et la manière dont une infrastructure technique peut être détournée à des fins géopolitiques.

Une architecture pensée pour l'évasion

L'opération reposait sur plusieurs couches d'entreprises. Stark Industries, créée peu avant l'invasion de l'Ukraine en 2022, a servi de point d'entrée. Après les sanctions européennes de mai 2023, l'activité s'est déplacée vers WorkTitans B.V., exploitée sous la marque THE.Hosting.

Mirhosting, basée à Almere, assurait la partie physique : colocation des serveurs, connectivité et accès aux points d'échange internet d'Amsterdam et de Francfort. Cette répartition permettait de brouiller les pistes. Chaque acteur pouvait se retrancher derrière le suivant.

Le problème de visibilité dans l'hébergement

Pour un hébergeur légitime, la difficulté est réelle. Comment savoir ce qui circule vraiment sur ses machines ? La plupart des fournisseurs comptent sur les signalements d'abus. Mais quand un client est organisé et financé, il peut faire fonctionner une infrastructure de DDoS ou de propagande tout en gardant une apparence normale.

L'enquête a relié cette infrastructure aux attaques du groupe NoName057(16), un collectif pro-russe spécialisé dans les DDoS de grande ampleur contre des infrastructures critiques.

Les sanctions contournées par la technique

Stark Industries figure sur la liste des sanctions européennes depuis mai 2023. Plutôt que de disparaître, l'opération a simplement changé de structure. Ce cas montre que les sanctions perdent de leur efficacité si le contournement technique reste trop simple.

Les solutions évoquées vont au-delà de la répression classique :

• Des exigences KYC plus strictes pour les services d'hébergement et de colocation
• Un contrôle renforcé des acteurs qui ont accès aux gros points d'échange internet
• L'intégration des listes de sanctions dans les processus d'onboarding
• Une transparence accrue sur les signalements d'abus

Ce que cela change pour les hébergeurs

Si vous gérez une plateforme d'hébergement, qu'il s'agisse de shared hosting, VPS ou serveurs dédiés, cette affaire appelle à revoir certaines pratiques.

Premièrement, les protocoles de traitement des abus doivent être plus rapides. Recevoir une plainte sur une infrastructure de DDoS ne devrait pas prendre 48 heures à traiter. Deuxièmement, il faut mieux surveiller le trafic : anomalies, ports utilisés, écarts par rapport à l'usage déclaré. Troisièmement, les relations avec les fournisseurs de colocation et de transit comptent. Un maillon faible dans la chaîne peut compromettre tout le reste.

Enfin, il faut accepter que les acteurs malveillants choisissent délibérément les juridictions les moins vigilantes.

L'infrastructure n'est plus neutre

Cette saisie s'inscrit dans une tendance plus large. Les attaques cyber et les campagnes de désinformation ne sont plus seulement des problèmes techniques. Ce sont des outils géopolitiques.

Les hébergeurs et les opérateurs d'infrastructure ne peuvent plus se considérer comme de simples prestataires techniques. Ils font partie de la ligne de front, qu'ils le veuillent ou non. Cela ne signifie pas devenir des auxiliaires de police, mais assumer la responsabilité de ce qui transite sur ses machines et agir vite quand un abus est détecté.

Vers une régulation plus stricte

L'opération néerlandaise était bien coordonnée. Reste à savoir si elle restera isolée ou si elle annonce un nouveau niveau d'exigence. Avec le durcissement des sanctions, on peut s'attendre à d'autres saisies et à une pression accrue sur les hébergeurs pour qu'ils prouvent qu'ils ne sont pas complices d'activités étatiques.

Pour les acteurs légitimes, c'est une bonne nouvelle. Moins de concurrents douteux, un écosystème plus propre, et la possibilité de vendre ses services en toute confiance. Pour les clients, cela réduit le risque de voir leur infrastructure saisie du jour au lendemain.

Le temps où l'on pouvait dire « on héberge juste des bits » est terminé.