Cybercriminalité : enquêtes internationales du MPC et de fedpol aboutissent à une condamnation pour Realtime-Phishing en Angleterre

En juillet 2022, le Ministère public de la Confédération (MPC) a ouvert une procédure pénale contre inconnu pour suspicion d’utilisation frauduleuse d’un ordinateur (art. 147, al. 1 en relation avec al. 2 du Code pénal, CP) en lien avec une vaste série de phishing. Au préalable, plusieurs ministères publics cantonaux avaient déjà ouvert des procédures pour une trentaine de cas dans le même contexte, que le MPC a ensuite reprises et regroupées dans une seule procédure. En août 2023, à la suite de l'identification du développeur et distributeur du kit de phishing, la procédure pénale a été étendue à l’encontre de cette personne.

Realtime-Phishing à grande échelle

De mai 2022 à septembre 2022, un auteur non identifié a créé et utilisé plusieurs pages de connexion falsifiées (pages de phishing) de différentes banques suisses. Pour ce faire, il a utilisé un outil appelé kit de phishing. Les clients bancaires ont été lésés en étant redirigés, via une recherche sur Google, vers ces pages de phishing affichées comme des annonces, où ils tentaient de se connecter à ce qu’ils croyaient être leur compte e-banking. Par la suite, les données de connexion des victimes ont été interceptées en arrière-plan, permettant ainsi à l’auteur de l’infraction d'accéder avec les données d’accès volées à leurs comptes e-banking et de déclencher l'authentification à deux facteurs. Les victimes, persuadées d'être sur le véritable site web de leur banque, saisissaient le code d'authentification reçu par SMS sur la page de phishing. Ce code était donc récupéré par l’auteur de l’infraction, lui permettant de se connecter avec succès au compte e-banking des victimes et d'enregistrer un appareil supplémentaire pour l'authentification à deux facteurs. Ensuite, l’auteur a pu accéder aux comptes des victimes sans nécessiter de nouvelles actions de ces derniers et initier des transactions financières à leur insu et sans leur consentement. Le préjudice financier dans le cadre de la procédure pénale suisse s’élève à environ CHF 2,4 millions.

Coopération fructueuse avec le Royaume-Uni, Europol et Eurojust

Grâce aux investigations intensives menées par le MPC et fedpol, un ressortissant britannique a pu être localisé et identifié en tant que développeur et distributeur du kit de phishing au cours de la procédure. La collaboration étroite qui s’en est suivi entre le MPC et fedpol avec Europol, Eurojust et les autorités judiciaires britanniques a permis d’arrêter cet individu au Royaume-Uni et de le traduire en justice. Étant donné que les autorités britanniques menaient déjà une procédure similaire à l’encontre de cette personne, elles ont repris, à la demande du MPC, la procédure suisse et l'ont poursuivie contre le développeur et distributeur en Grande-Bretagne. Le MPC a classé sa procédure pénale par la suite. Le 23 juillet 2025, l'accusé a été condamné au Royaume-Uni à une peine d'emprisonnement de sept ans pour les faits qui lui étaient reprochés (communiqué de presse du Crown Prosecution Service). Ce résultat montre l’importance et l'efficacité de la coopération internationale dans la lutte contre la cybercriminalité en constante augmentation.

Texte original du communiqué de presse en allemand.