Roblox : 3 arrestations en Ukraine, 610 000 comptes piratés

Ce qui s'est passé

La police nationale ukrainienne a annoncé en début de semaine l'arrestation de trois individus âgés de 19, 21 et 22 ans, soupçonnés d'avoir orchestré entre octobre 2025 et janvier 2026 une opération de vol massif de comptes Roblox. Selon le communiqué officiel relayé par BleepingComputer et The Record, plus de 610 000 comptes auraient été compromis et revendus sur des marketplaces clandestines spécialisées dans les jeux en ligne. Le bénéfice cumulé est estimé à 225 000 dollars, principalement reçus en cryptomonnaies.

Le mode opératoire repose sur un infostealer dédié, packagé sous forme d'outil de triche promettant des avantages dans le jeu (Robux gratuits, accès à des objets premium, contournement des restrictions parentales). Le binaire malveillant était diffusé via des chaînes Discord, des publications Twitter/X, des vidéos YouTube et des forums spécialisés. Une fois installé, il extrayait les cookies de session, les jetons d'authentification et les identifiants stockés dans les navigateurs Chromium et Firefox de la machine victime, avec une attention particulière aux artefacts liés à roblox.com.

Les sessions ainsi capturées étaient automatiquement injectées dans des comptes attaquants pour valider l'accès, puis revendues lot par lot. Selon les enquêteurs, certaines comptes contenaient des stocks importants de Robux, la monnaie virtuelle de la plateforme, ainsi que des objets cosmétiques rares dont la valeur sur le marché secondaire dépasse parfois plusieurs centaines d'euros. Les acheteurs étaient majoritairement basés en Europe occidentale et aux États-Unis.

Les perquisitions ont été menées simultanément sur dix sites à Lviv, dans l'ouest de l'Ukraine, en coordination avec l'unité cybercriminalité de la police nationale et le procureur régional. Les enquêteurs ont saisi 35 000 dollars en liquide, 37 téléphones, 11 ordinateurs de bureau, 7 ordinateurs portables, 5 tablettes et 4 clés USB. Du matériel de minage et plusieurs portefeuilles cryptographiques actifs ont également été confisqués pour analyse forensique. Les suspects sont poursuivis sur le fondement des articles 185 (vol) et 361 (interférence non autorisée avec des systèmes informatiques) du code pénal ukrainien, qui prévoient jusqu'à 15 ans de prison cumulés.

Roblox, la plateforme cible, totalise plus de 70 millions d'utilisateurs actifs quotidiens dont une majorité de mineurs. L'entreprise n'a pas fait de commentaire détaillé sur l'affaire, mais a rappelé dans un message générique l'importance d'activer l'authentification à deux facteurs et d'éviter les outils tiers non officiels. Plusieurs analystes soulignent toutefois que la plateforme reste une cible privilégiée des opérateurs d'infostealers, en raison de la combinaison entre forte valeur monétaire des comptes et niveau souvent faible de durcissement côté utilisateurs.

L'opération s'inscrit dans une coopération soutenue entre les autorités ukrainiennes et plusieurs partenaires occidentaux. Selon les sources, des contributions techniques ont été apportées par la Computer Crime Unit britannique et par des chercheurs privés ayant cartographié les marchés de revente. Cette collaboration intervient dans un contexte où Kiev cherche à valoriser sa contribution à la lutte contre la cybercriminalité, malgré le contexte de guerre, pour conserver son attractivité auprès des partenaires et financements internationaux.

Au-delà de l'interpellation elle-même, l'enquête se poursuit pour identifier le développeur original de la souche d'infostealer et les complices éventuels chargés de la distribution massive. La police ukrainienne lance également un appel aux victimes pour qu'elles signalent leurs comptes compromis, afin d'alimenter le dossier judiciaire et d'évaluer plus précisément le préjudice. Sources : BleepingComputer, The Record, SecurityAffairs, gHacks.

Pourquoi c'est important

L'affaire illustre la maturité atteinte par l'écosystème des infostealers, qui ne ciblent plus seulement les comptes bancaires ou cryptos mais aussi les plateformes de jeu, les portefeuilles d'objets numériques et les profils sociaux. Pour les éditeurs de jeux, le coût n'est pas seulement financier ; chaque vague de comptes compromis dégrade la confiance des utilisateurs, génère du support client coûteux et alimente une économie parallèle qu'il devient difficile de contenir sans authentification forte par défaut.

Pour les parents et les responsables d'écoles équipées d'ordinateurs partagés, l'opération souligne le risque d'installer des outils tiers réputés « gratuits » sur des sessions utilisateurs où sont également stockés des identifiants professionnels ou administratifs. Les infostealers ne discriminent pas leurs cibles : un même binaire qui aspire les cookies Roblox aspirera aussi les sessions Microsoft 365, Google Workspace ou les VPN d'entreprise présents sur la machine. Plusieurs incidents récents en milieu professionnel ont eu pour origine la machine domestique d'un employé.

Sur le plan judiciaire, l'interpellation est un bon point pour la coopération internationale. Mais le retour sur investissement reste contesté : pour 225 000 dollars de gain illicite, l'enquête mobilise des dizaines d'agents et plusieurs mois d'instruction. Les analystes pointent que tant que l'offre d'infostealers prêts à l'emploi (MaaS, malware-as-a-service) reste accessible à 50-200 dollars par mois sur les forums, le bilan coût-bénéfice penche structurellement du côté des attaquants. La réponse ne pourra pas reposer uniquement sur la justice pénale.

Enfin, la décision de Roblox de ne pas imposer la 2FA par défaut continue d'alimenter le débat. Plusieurs régulateurs européens, dont l'ICO britannique et le PCMA italien, ont déjà exprimé leur préoccupation quant à la protection des mineurs sur la plateforme. Une obligation réglementaire d'activation par défaut de l'authentification multifactorielle pour les comptes mineurs pourrait émerger dans les douze prochains mois, dans la lignée du UK Online Safety Act et des évolutions du DSA européen.

Ce qu'il faut retenir

• 610 000 comptes Roblox volés en quatre mois via un infostealer déguisé en outil de triche.
• Trois suspects à Lviv, 35 000 dollars saisis, jusqu'à 15 ans de prison sous le code pénal ukrainien.
• Activer la 2FA Roblox et bannir les outils tiers sur les machines partagées (familles, écoles).