Deux cents arrestations, près de 4 000 victimes identifiées, 53 serveurs saisis et 13 pays mobilisés. Avec l’opération Ramz, coordonnée entre octobre 2025 et le 28 février 2026 au Moyen-Orient et en Afrique du Nord, Interpol franchit un cap important dans la lutte contre la cybercriminalité régionale. L’opération, présentée comme la première de cette ampleur dans la zone MENA, visait à neutraliser des infrastructures malveillantes, identifier des suspects, stopper des campagnes de phishing, de logiciels malveillants et d’escroqueries financières. Le bilan est significatif : 201 personnes arrêtées, 382 suspects supplémentaires identifiés et près de 8 000 éléments de renseignement partagés entre les pays participants.
Mais l’intérêt de cette affaire dépasse les chiffres ci-dessus. Ramz montre surtout comment la fraude numérique s’est industrialisée. Elle ne repose plus seulement sur quelques pirates isolés, mais sur un écosystème mêlant serveurs compromis, phishing à la demande, données bancaires, faux sites d’investissement, ordinateurs personnels détournés, infrastructures vulnérables et parfois exploitation humaine. C’est cette complexité qui doit alerter les entreprises.
Le cybercrime devient une chaîne de valeur distribuée
L’un des enseignements majeurs de cette opération réside dans la diversité des situations découvertes. Au Qatar, par exemple, des appareils compromis ont été identifiés grâce aux renseignements collectés. Leurs propriétaires n’étaient pas complices, mais eux-mêmes victimes, sans savoir que leurs équipements servaient à diffuser des menaces. À Oman, les enquêteurs ont par ailleurs identifié dans une résidence privée un serveur contenant des informations sensibles. Son propriétaire disposait d’un accès légitime, mais le serveur présentait plusieurs vulnérabilités critiques, dont une infection par malware.
La menace ne vient donc pas uniquement de l’extérieur. Elle peut aussi passer par des équipements ordinaires, des accès autorisés, des serveurs mal administrés, des machines oubliées ou des environnements personnels qui contiennent pourtant des données sensibles. Pour les entreprises, c’est une piqûre de rappel et la preuve que la sécurité ne se limite pas au périmètre officiel du système d’information. Les usages hybrides, les accès distants, les sous-traitants, les postes personnels et les serveurs secondaires peuvent devenir des relais d’attaque.
En Algérie, les autorités ont également démantelé un site proposant du « phishing as a service », autrement dit une offre permettant à des fraudeurs de louer ou d’utiliser des outils de hameçonnage prêts à l’emploi. Serveur, ordinateur, téléphone, disques durs, logiciels et scripts de phishing ont été saisis. Au Maroc, ce sont des ordinateurs, des smartphones et des disques externes contenant des données bancaires et des logiciels utilisés pour des opérations de phishing qui ont aussi été récupérés.
La fraude s’abaisse en niveau technique et monte en efficacité opérationnelle. Des acteurs peu qualifiés peuvent désormais accéder à des kits, des scripts, des bases de données et des infrastructures déjà préparées. Le cybercrime devient une activité de plateforme. C’est ce qui le rend plus massif, plus rapide et plus difficile à contenir.
Un esclavage moderne
Le cas jordanien est probablement le plus révélateur. La police a, en effet, localisé un ordinateur utilisé pour mener des escroqueries financières. Les victimes étaient incitées à investir via une plateforme de trading apparemment légitime, qui disparaissait une fois les fonds déposés. Lors du raid, quinze personnes opérant les arnaques ont été découvertes. Mais les enquêteurs ont établi qu’elles étaient victimes de traite humaine, recrutées en Asie sous promesse d’emploi, puis contraintes de participer aux escroqueries après confiscation de leurs passeports. Deux personnes soupçonnées d’avoir organisé l’opération ont été arrêtées.
C’est là toute l’ambiguïté de la cybercriminalité. Dans certaines opérations, les exécutants ne sont ni de purs criminels ni de simples salariés complices. Ils peuvent être exploités, forcés, déplacés, pris dans des réseaux qui combinent fraude financière, cybercrime et traite humaine. Pour les enquêteurs comme pour les entreprises victimes, cela complique la qualification pénale et la compréhension de l’organisation réelle.
Coopérer ne suffit pas
Ramz confirme aussi l’importance de la coopération public-privé. Interpol indique avoir travaillé avec Group-IB, Kaspersky, Shadowserver Foundation, Team Cymru et TrendAI pour suivre les activités illégales et identifier des serveurs malveillants. L’opération a été soutenue par le ministère de l’Intérieur du Qatar et partiellement financée par l’Union européenne et le Conseil de l’Europe via le projet CyberSouth+. Les pays participants étaient l’Algérie, Bahreïn, l’Égypte, l’Irak, la Jordanie, le Liban, la Libye, le Maroc, Oman, la Palestine, le Qatar, la Tunisie et les Émirats arabes unis.
Mais la coopération n’efface pas les limites. Un bilan d’arrestations ne signifie pas que les réseaux sont démantelés durablement. Les 382 suspects encore identifiés montrent que l’opération ouvre autant de pistes qu’elle n’en referme. La saisie de 53 serveurs perturbe des infrastructures, mais les organisations criminelles savent parfaitement migrer, répliquer ou reconstruire leurs outils. Quant aux victimes identifiées, elles ne représentent probablement qu’une partie du préjudice réel. Beaucoup d’escroqueries ne sont, en effet, jamais signalées, ou trop tard.
L’opération Ramz montre, en tout cas, que la fraude numérique est devenue transnationale, industrialisée, hybride et parfois imbriquée dans d’autres formes de criminalité. Et la réponse ne peut plus être strictement technique. Elle doit mêler renseignement, coopération internationale, hygiène cyber, contrôle des accès, surveillance des infrastructures et protection des victimes. C’est moins spectaculaire qu’une vague d’arrestations. Mais c’est là que se joue désormais la confiance numérique.
