Cybercriminalité : les autorités réinventent leurs stratégies 

Intelligence artificielle : un catalyseur de cybercriminalité “industrialisée”

« Grâce à l’intelligence artificielle, le seuil de connaissance est abaissé », explique Jean-Philippe Lecouffe. « Vous pouvez faire une escroquerie en ligne dans 26 langues et l’envoyer de façon massive à des milliers de gens. » L’intelligence artificielle abolit les barrières techniques qui séparaient hier les amateurs des cybercriminels aguerris. Elle permet d’automatiser des attaques, de générer des contenus de fraude plausibles, d’exploiter des données personnelles à grande échelle, et ce, à moindre effort et à moindre coût. Ce que les experts observent, c’est moins une révolution technologique qu’un effet d’échelle : la criminalité se diffuse, se multiplie et s’émancipe des défis techniques. 

Par ailleurs, cette dynamique est moins centrée sur les grandes entreprises, désormais mieux armées : « Aujourd’hui, ils s’attaquent beaucoup plus à des entités moins matures d’un point de vue cyber ». PME, collectivités territoriales et hôpitaux deviennent ainsi les cibles de prédilection. Les montants des rançons, eux, sont modulés « proportionnellement aux chiffres d’affaires ».

Cette diversification des cibles est aussi l’indice d’un phénomène plus large : la criminalité numérique s’est industrialisée. « C’est un système global extrêmement efficace », constate Carsten Meywirth, chef de la division cybercriminalité de la police fédérale allemande. Selon lui, depuis 2015, un écosystème global et structuré s’est mis en place. Les accès initiaux sont compromis puis revendus ; d’autres acteurs injectent les malwares ; les rançongiciels sont ensuite opérés en marque blanche. En d’autres termes, le modèle économique du cybercrime repose sur une segmentation des fonctions et une externalisation des compétences — exactement comme dans une économie légale. Dans cette logique de spécialisation, la neutralisation de l’infrastructure tend à primer sur celle de l’individu. 

Vers une approche systémique de la lutte contre la cybercriminalité

Les autorités ont pris acte de cette nouvelle organisation. Elles ne cherchent plus seulement à identifier et arrêter les auteurs, mais à perturber leur environnement de travail. Trois leviers sont mobilisés : les personnes, les infrastructures et les flux financiers. « Il vaut faire un package et essayer de bousculer les cybercriminels sur ces trois domaines », explique le général Lecouffe.

Les opérations les plus marquantes des dernières années illustrent cette bascule stratégique. L’opération Endgame, menée à l’échelle européenne, a permis de désactiver six des plus gros botnets utilisés par des groupes de rançongiciel. Selon Carsten Meywirth, l’effet a été immédiat : « tous les ransomwares ne disposaient plus de l’infrastructure nécessaire ».

L’argent, ensuite, est une cible à part entière. La saisie de 20 millions d’euros en cryptomonnaies dans l’affaire Bitzlato marque une étape : frapper les outils de blanchiment, et non plus seulement les utilisateurs. Enfin, les canaux de communication eux-mêmes sont visés. Les démantèlements successifs des services de messagerie utilisés par les réseaux criminels tels que EncroChat, Sky ECC ou Matrix participent d’une même logique : neutraliser les environnements techniques qui rendent possible la coordination.

Une autre voie, plus inhabituelle, émerge : la communication disruptive. Elle consiste à semer le doute dans les communautés criminelles elles-mêmes, en diffusant des vidéos anonymes, non nommées, mais suffisamment renseignées pour susciter la paranoïa. Dans le cadre de l’opération Endgame, Europol utilise ces vidéos comme une forme de guerre psychologique pour semer la peur et la méfiance chez les cybercriminels, en diffusant des messages comme « Tu penses être anonyme ? Nous savons qui tu es » ou « Ton complice a déjà parlé ». C’est un outil de dissuasion, visant à montrer que les autorités sont capables d’infiltrer leurs réseaux. 

Une réponse internationale face à une menace transnationale

À menace transfrontalière, réponse transnationale oblige. Tous les acteurs autour de la table convergent : seule une coopération internationale technique, judiciaire, policière et politique permettra de constituer une capacité d’action. « La lutte contre le cybercriminalité est un sport d’équipe », affirme Stan Duijf, à la tête des opérations cyber de la police néerlandaise . Les « data sprints », qui réunissent enquêteurs, traducteurs, ingénieurs et juristes de plusieurs pays autour d’un objectif commun, permettent de traiter massivement les données numériques saisies lors des perquisitions. Ces dispositifs, encore récents, traduisent une volonté de décloisonnement opérationnel.

Mais cette volonté se heurte à un autre mur : celui du droit. En Allemagne, les adresses IP ne sont conservées que quelques jours. En France, les procédures restent longues, parfois trop, pour permettre une réactivité adaptée. « Par définition, l’adversaire n’est pas soumis à ce cadre légal. L’adversaire a toujours un temps d’avance », reconnaît le général Husson, à la tête du ComCyber de la gendarmerie française . Alexandra Davin, cheffe de la mission “Lutte contre la cybercriminalité » du ministère de la Justice, précise : « Il faut faire remonter le besoin opérationnel pour que ça se traduise dans la loi par des dispositifs efficaces. »

C’est dans cet entre-deux que se joue la soutenabilité de l’action publique : maintenir un équilibre entre exigence d’efficacité et respect des principes fondamentaux. « On ne réclame pas de back doors », insiste le général Lecouffe. « On veut un accès aux données légal, surveillé, monitoré. »

Sur le terrain, cette tension se prolonge dans la distribution des compétences. Il ne suffit pas de centraliser les capacités. « Il faut irriguer la culture cyber à tous les niveaux » ; une culture qui ne repose pas seulement sur la technique, mais sur une articulation plus large entre prévention, assistance et coopération.