Les enqueteurs neerlandais ont porté l'un des coups les plus significatifs contre l'infrastructure russe de cyberattaques au sein de l'Union européenne : 800 serveurs ont été saisis et deux ressortissants néerlandais arrêtés en lien avec une société d'hébergement qui aidait la Russie à saper la démocratie européenne. L'opération du Service de renseignement fiscal et d'enquête (FIOD), menée le 22 mai 2026, visait WorkTitans B.V. et sa marque THE.Hosting - une société écran créée spécifiquement pour contourner les sanctions de l'UE contre la tristement célèbre infrastructure Stark Industries Solutions. La connexion entre les serveurs DDoS des Pays-Bas et la Russie était dans le viseur des enquêteurs depuis des mois.
Stark Industries : Sanctionnée, puis renaissant sous le nom THE.Hosting
Stark Industries Solutions a été fondée le 10 février 2022 - quelques jours avant l'invasion russe de l'Ukraine à grande échelle - et est rapidement devenue l'un des facilitateurs les mieux documentés des cyberattaques russes en Europe. Ses serveurs hébergeaient des infrastructures d'attaques DDoS, des campagnes de désinformation et des opérations d'ingérence visant des États membres de l'OTAN, des institutions ukrainiennes et des portails gouvernementaux de l'UE.
L'Union européenne a officiellement sanctionné Stark Industries le 20 mai 2025, interdisant aux entreprises européennes de lui fournir des ressources économiques. En quelques semaines, l'infrastructure a été discrètement transférée vers une nouvelle entité néerlandaise : WorkTitans B.V., opérant sous la marque commerciale THE.Hosting. Les enquêteurs estiment que WorkTitans a été créée précisément pour contourner les sanctions - permettant aux mêmes serveurs et capacités d'attaque de continuer à fonctionner sous une identité juridique vierge.
La FIOD a arrêté deux ressortissants néerlandais : un directeur de 57 ans de WorkTitans B.V. et un homme de 39 ans dirigeant une société séparée fournissant la connectivité Internet à l'infrastructure d'hébergement. Des perquisitions ont eu lieu dans deux centres de données à Dronten et Schiphol-Rijk, ainsi que dans des locaux à Enschede et Almere. Au total, 800 serveurs, ordinateurs portables, téléphones mobiles et documents administratifs ont été saisis.
NoName057(16) : Le groupe DDoS servi par WorkTitans
Les autorités danoises et les fournisseurs d'infrastructure ont été parmi les premiers à relier directement WorkTitans à NoName057(16) - un collectif hacktiviste russophone qui mène des centaines d'attaques DDoS politiquement motivées à travers l'Europe depuis 2022. Le groupe coordonne ouvertement ses actions via Telegram, célèbre publiquement les arrêts de sites gouvernementaux et cible les États membres de l'OTAN dans le cadre de sa mission idéologique de soutien au Kremlin.
- Cibles : Portails gouvernementaux, institutions financières, systèmes ferroviaires et médias en Pologne, Allemagne, France, Italie, dans les États baltes, en Ukraine et dans des dizaines d'autres pays.
- Méthode : Attaques DDoS massives pour mettre temporairement hors ligne les cibles à des fins politiques.
- Besoin en infrastructure : Hébergement «pare-balles» résistant aux demandes de retrait et aux pressions légales - exactement ce que proposaient Stark Industries et, plus tard, THE.Hosting.
- Coordination : Canaux Telegram où les résultats des attaques sont publiés et diffusés comme propagande.
L'infrastructure saisie lors des perquisitions n'était pas uniquement utilisée pour des attaques DDoS. Les enquêteurs la relient également à des opérations d'information russes - des campagnes de désinformation visant à ébranler la confiance du public envers les institutions démocratiques des États membres de l'UE. Les procureurs ont qualifié les activités des suspects d'ingérence directe dans la démocratie européenne au profit de la Russie.
La violation de sanctions comme chef d'accusation pénal
Le cadre juridique de cette affaire dépasse la simple poursuite pour cybercriminalité. Les deux suspects font face à des accusations de violation des sanctions de l'UE pour avoir indirectement fourni des ressources économiques à des entités russes et biélorusses inscrites sur la liste des sanctions. Cet argument - qu'une société d'hébergement néerlandaise peut être pénalement responsable d'avoir permis à des entités sanctionnées de continuer leurs opérations sous une nouvelle coquille juridique - établit un précédent direct pour de futures poursuites dans toute l'UE.
La progression de Stark Industries vers WorkTitans B.V. illustre un schéma que les forces de l'ordre de l'UE ciblent désormais activement : les acteurs cyber sanctionnés créant de nouvelles structures dans des États membres de l'UE pour poursuivre leurs opérations. L'enquête FIOD démontre que cette stratégie de contournement n'offre aucune protection légale - elle ajoute des violations de sanctions à l'exposition criminelle existante.
Ampleur de la saisie : Quatre sites, 800 serveurs
La coordination simultanée sur quatre sites était délibérée. Les opérateurs d'hébergement «pare-balles» maintiennent généralement une infrastructure redondante dans plusieurs centres de données, permettant de rediriger le trafic si un noeud est mis hors ligne. En frappant Dronten, Schiphol-Rijk, Enschede et Almere simultanément, la FIOD a empêché toute migration de trafic ou destruction de données avant l'arrivée des enquêteurs.
Les 800 serveurs saisis représentent du matériel qui acheminait activement du trafic DDoS et hébergeait des panneaux de contrôle d'attaques au moment du raid. Combinés aux documents administratifs et aux données de communication des téléphones et ordinateurs saisis, les enquêteurs disposent désormais d'une cartographie détaillée de l'infrastructure - ses clients, configurations et connexions à d'autres acteurs sanctionnés.
Ce que cela signifie pour la vie privée en ligne
Le démantèlement de THE.Hosting illustre les enjeux lorsque l'infrastructure d'anonymisation et d'hébergement «pare-balles» est capturée par des acteurs liés à un État. Les outils de confidentialité légitimes - incluant les services VPN, l'hébergement anonyme et les communications chiffrées - jouent un rôle essentiel pour les journalistes, les militants et les entreprises évoluant dans des environnements à risque élevé. Mais lorsque cette même infrastructure est détournée pour des campagnes d'attaques sanctionnées et des opérations de désinformation d'État, l'intervention des forces de l'ordre devient inévitable. La seule voie durable pour les services de confidentialité légitimes reste la pleine transparence juridique, une juridiction claire et le respect avéré du droit applicable de l'UE.
