TL;DR : L’essentiel
- La plateforme Tycoon 2FA permettait à des cybercriminels de louer des outils clés en main pour intercepter les sessions de connexion et contourner la double authentification de nombreuses cibles mondiales.
- L’opération internationale a permis la saisie de 330 domaines techniques constituant le cœur de cette infrastructure criminelle, perturbant ainsi massivement la génération de millions de messages frauduleux chaque mois.
- Près de 100 000 organisations ont été compromises par ce service, incluant des hôpitaux et des écoles, avec plus de 6 823 victimes identifiées sur le seul territoire français par les autorités.
- Une collaboration étroite entre Europol et des acteurs privés comme Microsoft ou Trend Micro a facilité l’identification du développeur principal localisé au Pakistan et l’analyse technique des serveurs proxy.
Le paysage de la menace numérique vient de connaître un tournant majeur avec la neutralisation de Tycoon 2FA, l’une des plateformes de phishing les plus sophistiquées au monde. En activité depuis août 2023, ce service opérait selon un modèle de location qui permettait à des opérateurs peu qualifiés de mener des attaques d’une grande complexité technique. L’impact de cette infrastructure était tel qu’elle représentait environ 62 % des tentatives de phishing interceptées par les systèmes de sécurité à la mi-2025.
Tycoon 2FA simplifie l’accès à la cybercriminalité par abonnement
Le succès de cette plateforme reposait sur une offre commerciale structurée s’inscrivant dans le modèle du Phishing-as-a-Service (PhaaS). Fonctionnant comme un véritable service client pour délinquants, cette approche industrialise la cybercriminalité en mettant des outils de pointe à disposition de n’importe quel acheteur. Pour un tarif débutant à 120 dollars les dix jours ou 350 dollars par mois, les clients accédaient à un panneau de contrôle centralisé. Ce tableau de bord permettait de configurer des campagnes d’attaque en quelques clics, en utilisant des modèles imitant parfaitement les interfaces de Microsoft 365, Gmail ou SharePoint.
Comme le rapporte Korben, le service Tycoon 2FA démantelé : Europol neutralise le géant du phishing MFAne se contentait pas de fournir les outils de création mais gérait toute la logistique technique. Le kit intégrait des mécanismes de redirection automatique et la gestion de domaines éphémères qui se renouvelaient toutes les 24 à 72 heures pour échapper aux listes de blocage. Cette agilité permettait aux attaquants de maintenir une pression constante sur des secteurs sensibles comme la santé, l’éducation et les administrations publiques.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Endgame : Europol et Eurojust saisissent 1 025 serveurs criminels
L’opération Endgame neutralise Rhadamanthys, Venom RAT et Elysium au terme d’une intervention menée à l’échelle mondiale. Lire la suite
L’interception AiTM automatise le vol des sessions de connexion
Sur le plan technique, Tycoon 2FA utilisait une méthode dite de l’adversaire au milieu. Au lieu de simplement voler un mot de passe, le système agissait comme un relais entre l’utilisateur et le service légitime. Lorsqu’une victime saisissait ses identifiants, le kit les transmettait en temps réel au véritable site, déclenchant l’envoi du code de sécurité par SMS ou application. Le code saisi par l’utilisateur était alors intercepté par le serveur de la plateforme pour valider la connexion.
Selon les analyses de Microsoft, la plateforme déployait des mesures d’esquive visuelles et techniques avancées. Pour tromper les outils d’analyse automatique, elle utilisait des défis CAPTCHA personnalisés générant des éléments de canevas HTML5 aléatoires, rendant la page illisible pour les robots mais fluide pour un humain. Pour camoufler les liens, les attaquants utilisaient également des caractères Unicode invisibles ou des chaînes de redirection complexes passant par des services comme Azure Blob Storage.
Europol frappe un réseau crypto à 700 millions et ferme Cryptomixer
Une opération internationale coordonnée a frappé un vaste réseau de fraude en cryptomonnaies et le service de mixage Cryptomixer, pivot présumé de blanchiment transfrontalier. Lire la suite
Une alliance internationale fragilise les serveurs de la plateforme
L’arrêt de ce service Tycoon 2FA démantelé : Europol neutralise le géant du phishing MFAest le fruit d’une coordination pilotée par le Centre européen de lutte contre la cybercriminalité. Cette action a mobilisé les polices de Lettonie, Lituanie, Portugal, Pologne, Espagne et du Royaume-Uni. La phase opérationnelle a abouti à la mise hors service de 330 noms de domaine stratégiques. L’enquête a également permis de remonter jusqu’au développeur principal, actif sous divers pseudonymes depuis le Pakistan, bien qu’aucune arrestation n’ait encore été confirmée.
Cette réussite souligne l’efficacité du programme d’extension du renseignement cyber d’Europol, qui permet aux experts du privé de travailler aux côtés des enquêteurs. Comme le souligne Europol, cette approche collective est désormais indispensable pour contrer des infrastructures capables de générer des dizaines de millions de courriels par mois. Si la disparition de Tycoon 2FA libère temporairement l’espace numérique, la réapparition de nouvelles structures similaires reste une préoccupation majeure pour les autorités.
Le démantèlement de Tycoon 2FA marque une victoire temporaire contre l’industrialisation du phishing. En neutralisant les outils permettant de contourner la double authentification, les autorités protègent des milliers d’organisations contre l’accès illégitime à leurs données sensibles. Cette opération démontre que la coopération technique et judiciaire transfrontalière demeure l’arme la plus efficace face à une cybercriminalité qui ignore les frontières physiques.
Questions fréquentes sur la menace Tycoon 2FA
Qu’est-ce que la plateforme Tycoon 2FA ?
Il s’agit d’une infrastructure de PhaaS vendue sur des messageries chiffrées. Elle fournit aux cybercriminels des modèles de pages frauduleuses et toute l’ingénierie nécessaire pour pirater des comptes professionnels à grande échelle.
Comment le phishing parvient-il à contourner la double authentification ?
Le kit de phishing n’essaie pas de craquer le code de sécurité, il le relaie. En se plaçant entre l’utilisateur et le vrai service, il capture le code MFA au moment où la victime le tape, permettant à l’attaquant de valider la session à sa place.
En quoi consiste précisément l’interception de type AiTM ?
La technique de l’adversaire au milieu (AiTM) consiste à utiliser un serveur proxy qui transmet les données entre la victime et le site légitime en temps réel. Cela permet de voler le jeton de session final, qui donne un accès complet au compte même si le mot de passe est changé ultérieurement.
Qu’est-ce que le Phishing-as-a-Service (PhaaS) ?
C’est un modèle criminel où des développeurs vendent ou louent des outils de piratage complets par abonnement. Cela permet à des individus sans compétences techniques poussées de lancer des cyberattaques sophistiquées en utilisant une infrastructure déjà prête à l’emploi.
Pour approfondir le sujet
Une plateforme mondiale de phishing en tant que service démantelée grâce à une action coordonnée public-privé – Le partage de renseignements via le programme d’extension du cyber-renseignement d’Europol a permis d’obtenir des résultats opérationnels | Euro
L'opération a été menée conjointement par les forces de l'ordre et des acteurs du secteur privé, sous la coordination du Centre européen de lutte contre la cybercriminalité (EC3) d'Europol. Dans le cadre de cette action, 330 domaines constituant l'infrastructure centrale… Lire la suite
Zéro paywall. Zéro pub.
DCOD reste en accès libre grâce à vos contributions. Chaque café compte.
