La lutte contre la cybercriminalité, un défi collectif

Février 2024, au petit matin. Un drone FPV survole un hôtel particulier d’une grande ville d’Europe de l’Est dont la police locale force la porte à coups de bélier. Son propriétaire, identifié comme une des têtes de réseau du groupe de ransomware LockBit (leader du « marché » avec plus de 7000 attaques recensées depuis 2020), s’est enfuit sur le toit. Il est encore en robe de chambre, son ordinateur portable à la main. Il n’a manifestement pas eu le temps de le plonger dans un bain d’acide, comme c’est d’usage dans le milieu pour détruire toute pièce à conviction. Constatant qu’il n’a plus d’échappatoire, il fixe le drone au-dessus de lui d’un air dépité et se répand en injures en faisant un bras d’honneur… On retrouvera des centaines de milliers d’euros en cryptomonnaie dans son Ledger, que la police ne parviendra à consulter qu’en interceptant une conversation téléphonique entre le criminel et un complice.

Cette arrestation spectaculaire fait partie de l’opération internationale « Cronos », à laquelle participait (entre autres) la gendarmerie française, aux côtés d’Europol et du FBI. L’infiltration et le démantèlement spectaculaire du gang LockBit (34 serveurs saisis dans le monde et 200 comptes de cryptomonnaies gelés en 2024), s’inscrit dans une série d’interventions d’envergure, conduites depuis 2020 avec le démantèlement de la messagerie EncroChat, du botnet Emotet, l’arrêt du service DoubleVPN, la fermeture de la marketplace du darknet « RAIDforums » et le démantèlement de l’infrastructure du réseau Qakbot. Autant d’actions qui symbolisent l’efficacité d’une coordination internationale entre les services de police occidentaux, les parquets nationaux (dont le parquet de Paris), Europol et Interpol. Une collaboration dans laquelle les acteurs français (OFAC, C3N, BL2C, section J3 de la JUNALCO…) se sont particulièrement illustrés.  

Une cybermenace en constante adaptation

Les résultats de Cronos ont été immédiats : on a en effet constaté une baisse de 35 % des paiements de rançons entre 2023 et 2024, leur montant total estimé passant 1,25 milliards à 813 millions de dollars. L’action de la police, conjuguée à une meilleure sensibilisation et une plus grande préparation des entreprises (qui sont moins nombreuses à payer les rançons), a porté ses fruits. Mais si l’opération Cronos a fortement perturbé l’écosystème du ransomware, elle ne l’a pas abattu pour autant. Loin de là. Le marché des ransomwares s’est fragmenté en une multitude d’acteurs : plus de cent groupes était actifs dans le monde en 2024, dont 49 nouveaux acteurs utilisant pour certains leur propre version du logiciel de ransomware de LockBit (dont le code source a fuité sur GitHub et a donné lieu, selon Kaspersky, à plus de 400 versions « pirates »). Ces groupes ont attaqué entre 50 000 et 200 000 entreprises et organisations en 2024, majoritairement aux États-Unis et en Europe. Le ransomware demeure ainsi « la première menace du secteur industriel », comme le rappelait le groupe de cybersécurité français OWN, dans son rapport consacré à la cybermenace maritime en 2023.

Dans le même temps, partageant le constat d’une baisse des résultats du ransomware, des cybercriminels privilégient désormais l’extorsion pure et simple (menace d’exfiltration de données sensibles, compromettantes ou stratégiques des organisations et des particuliers). Dans le même temps, Microsoft a observé l’explosion des attaques par techscam, vocable générique désignant les faux supports techniques, les fausses boutiques en ligne, les arnaques aux cryptomonnaies et les extensions de navigateur malveillantes. Le nombre d’incidents quotidiens compris dans cette catégorie est en effet passé de 7 000 en 2023 à… 100 000 en 2024, selon le dernier Microsoft Digital Defense Report. 

Autre source de préoccupation majeure, l’explosion des « infostealers ». Généralement proposés en SAS, les infostealer sont conçus pour dérober les informations de connexion, des données bancaires ou des cookies de session. Selon le dernier rapport du groupe de Cyber Threat Intelligence israélien Kela, « 4,3 millions de machines dans ont été infectées en 2024 dans le monde par des malwares de type infostealer, entraînant la compromission de plus de 330 millions d’identifiants. » Pour Morgan Guesdon, Cyber Threat Analyst chez OWN, « les infostealers constituent sans conteste une des menaces les plus dangereuses auxquelles font face les organisations depuis 3 ans ». Même constat chez IBM, qui observe dans son dernier rapport « une augmentation prononcée des cybermenaces ciblant les identités, qui met en évidence la relative facilitée d’acquisition d’informations d’identification ». Fait notable, en 2023, 71 % des cyberattaques ont utilisé des identifiants compromis pour infiltrer des réseaux d’entreprise, dépassant pour la première fois le phishing comme principal mode d’accès initial.

L’attaque a toujours l’avantage sur la défense 

« Depuis plus de 50 ans, les professionnels de la cybersécurité ont sacrifié soir et week-ends à leur travail. Et pourtant, les attaquants conservent toujours un avantage significatif sur les défenseurs », déplorait en août dernier le chercheur Jason Healey lors de la dernière conférence Black Hat. La complexité des systèmes et l’interconnexion des réseaux jouent en leur faveur malgré les avancées technologiques, les attaquants n’ont en effet « besoin d’avoir raison qu’une seule fois pour parvenir à leur fin », soulignait de son côté le chercheur Michael Senft lors de la HammerCon de juin 2024. Pour autant, des progrès réels ont été fait en 20 ans, notamment avec le cloisonnement des réseaux et l’application progressive de « la défense en profondeur ». Jason Healey observe ainsi que le temps moyen de détection d’une intrusion a considérablement diminué (passant de plus d’une centaine de jours à plusieurs dizaines) et que les tactiques, techniques et procédures des cyberattaquants ont dû se complexifier avec le temps pour passer outre les défenses.   

Lors de sa création en 1990, l’Electronic Frontier Foundation craignait qu’internet ne devienne « l’espace de prédilection des hors-la-loi et des milices ». Deux ans plus tôt, Walter Wriston prédit « un bouleversement de la tectonique des plaques de la souveraineté », dû à l’accélération technologique et à l’essor d’internet. Un constat s’imposait : assurer la sécurité numérique exigeait une gouvernance nouvelle, impliquant une forte collaboration entre le secteur public que le secteur privé. D’autant plus que les pouvoir publics observaient en France une rupture majeure : la défense n’était plus « le moteur de l’innovation et n’avait plus qu’un impact marginal sur le marché » (Livre Blanc de 1994). Vingt ans plus tard, en 2018, Guillaume Poupard pouvait écrire : « Le rôle des acteurs privés est essentiel pour apporter des solutions et des services de sécurité adaptés, efficaces et de confiance. » Avec l’intensification des attaques depuis les années 2000 et l’industrialisation de la cybercriminalité depuis 2018, les atteintes aux entreprises sont devenues « plus sophistiquées, mieux élaborées et plus destructrices », signalait Guillaume Poupard la même année. En réponse, l’écosystème de la cybersécurité a dû s’adapter pour offrir des solutions de défense accessibles et performantes (SOC, EDR, XDR, etc.) Plus encore, des acteurs privés contribuent directement à l’élucidation des crimes numériques, à l’image des travaux d’investigation menés par exemple par le groupe Chainalysis sur l’ensemble de la blockchain. 

L’adoption de nouvelles normes au niveau européen (NIS2, DORA, etc.), la consolidation du réseau des CERT au niveau français et européen, jusqu’à la mise en place du 17 Cyber en décembre dernier sont autant d’avancées qui participent d’une sécurité numérique en constante amélioration. Cette dernière solution, équivalent cyber de l’appel 17, est « destinée à toutes les victimes d’infractions numériques ». « Le 17 Cyber marque une avancée majeure pour notre résilience collective. Il offre une grande lisibilité aux nombreux dispositifs cyber existant. C’est un gage d’accessibilité pour tous les territoires », estime le Directeur Général de Cybermalveillance.gouv, Jérôme Notin, qui a porté le projet avec le ministère de l’Intérieur. Ces logiques de coordination et de consolidation constituent « un enjeu majeur pour la cybersécurité collective », estime de son côté le général Jean-Philippe Lecouffe, directeur exécutif adjoint d’Europol. « Tous les domaines ont été successivement confrontés à des enjeux cyber et y ont répondu parfois de façon isolée. L’enjeu désormais est de casser les silos, d’apporter de l’horizontalité et de faire circuler l’information ». 

L’impact croissant des tensions géopolitiques sur les entreprises 

« La mondialisation a placé les entreprises au cœur des turbulences géopolitiques », analysait Laurent Célérier (Orange Cyberdéfense) en octobre dernier, dans un rapport publié par l’Institut Montaigne. C’est particulièrement vrai pour les secteurs critiques et stratégiques, très exposés aux cyberattaques d’origines étatiques contre laquelle une logique de dissuasion est impossible. En effet, les actions de sabotage, d’espionnage ou de subversion demeurent en deçà du seuil de la guerre conventionnelle et bénéficient en outre de tactiques d’obfuscation (proxys, infrastructures détournées etc.) qui rendent l’attribution des attaques impossible. « Les acteurs étatiques n’hésitent plus à se dissimuler derrière les ransomware-as-a-service, qui leur offrent tous les gages de confidentialité nécessaires », observe ainsi William B., Cyber Threat Analyst chez Intrinsec. « Derrière les actions malveillantes que subissent les entreprises peuvent se cacher d’autres mobiles que la simple extorsion, surtout lorsqu’il s’agit de données liées à la propriétés intellectuelle et aux secrets industriels », poursuit l’analyste. 

« Les entreprises doivent adopter une cybersécurité adaptative, capable de gérer à la fois les attaques de faible technicité (mais nombreuses) et celles, plus rares mais critiques, menées par des acteurs sophistiqués », estime de son côté le chercheur en diplomatie cyber Arthur Laudrain. La Cyber Threat Intelligence devient ainsi décisive « pour anticiper les modes opératoires des groupes APT et criminels ». Plus encore, le chercheur signale que « les attaques ne sont plus seulement techniques, elles s’inscrivent dans des logiques plus vastes de géopolitiques, qui peuvent mettre les entreprises en porte-à-faux (saisies, sanctions, mais aussi wiper ou vol de cryptomonnaie sous faux drapeau) ». 

On constate par ailleurs une hausse préoccupante des intrusions physiques dans les entreprises stratégiques, notamment dans l’industrie de défense, à l’initiative d’acteurs étatiques. « Cette menace étatique est multimodale, à la fois physique (cambriolage, intrusions, sabotage, etc.) et cyber. Ce ne sont pas seulement les industries de défense qui sont concernés, mais aussi les industries critiques, le secteur de l’énergie et toutes les technologies duales… Et, phénomène nouveau, c’est désormais l’ensemble de la chaine de valeurs des entreprises qui est concerné », observe de son côté Alexandre Thibault, Président-fondateur de la société ESIOS. « Pour se prémunir de ces menaces de haute intensité, il faut penser ensemble la sûreté, la sécurité et la cybersécurité des entreprises », conclut cet ancien expert du SGDSN. 

L’intelligence artificielle ou les nouveaux habits de la menace cyber  

Pour le chercheur en cybersécurité Michael Senft, l’intelligence artificielle, si elle permet des progrès majeurs en cybersécurité, profitera aussi aux attaquants, parce que « les systèmes sont piratés en dehors des hypothèses sur lesquelles ils sont conçus » (Dorothy Denning). À l’image de l’attaque « DarkMind », récemment mise en lumière dans un article de janvier 2025 par Zhen Guo et Reza Tourani, deux chercheurs à l’Université de Saint Louis. La manœuvre consiste à insérer des comportements malveillants directement dans les instructions de personnalisation des LLM, une backdoor furtive qui pourrait avoir des conséquences critiques dans des secteurs comme la finance ou la santé. De même, on peut s’interroger sur la capacité des organisations à authentifier les identités non humaines, qui connaissent une augmentation exponentielle sur les réseaux ; ou à protéger leurs dispositifs d’API. Mais pour le chercheur Ian Leatherman, les solutions existent déjà : « simplifier les architectures informatiques ; pratiquer la cyber deception, le Zero trust et le Threat hunting ; recourir sans hésiter à la Cyber Threat Intelligence et au Red Teaming », développait-il lors de la dernière HammerCon. 

Toutes menaces agrégées, le coût total de la cybercriminalité pourrait représenter jusqu’à 10 500 milliards de dollars en 2025, selon les estimations hautes de Jason Healey. Un coût considérable, proportionnel aux gains permis par la numérisation de l’économie, qui a aussi des conséquences en dehors de la sphère professionnel. Pour le journaliste américain Steven Kurutz en effet, les arnaques numériques (spams, sms frauduleux, escroqueries en ligne) ont en effet à ce point envahi notre quotidien qu’il faudrait adopter une « paranoïa contenue » pour survivre à ce « Scam World ». Après la montée en compétence des institutions, des grandes entreprises et de leurs supply chain, les particuliers représentent-ils le prochain marché de la cybersécurité et du « Zéro Trust » ? Les gardiens de la confiance numérique y songent sans doute déjà.

Yrieix Denis

ENCADRÉ 1 L’écosystème judiciaire de la lutte contre la cybercriminalité

L’Office anti-cybercriminalité (OFAC) : créé en 2023, l’OFAC est placé sous l’autorité du ministère de l’Intérieur et est chargé du traitement des cyberattaques contre les systèmes informatiques et des activités illicites sur le dark web. Il pilote également le plan national cyber, en collaboration avec la police, la gendarmerie et d’autres acteurs de la lutte contre la cybercriminalité. Les plateformes Pharos et Thésée lui sont rattachés. 

Le Centre de lutte contre les criminalités numériques (C3N) : créé en 2014, le C3N est une unité de la Gendarmerie nationale, rattachée à l’Unité nationale cyber (UNCyber). Il coordonne les enquêtes sur la cybercriminalité et anime le réseau d’enquêteurs spécialisés Cybergend, qui regroupe environ 4 500 gendarmes spécialisés en cybersécurité. 

La Brigade de lutte contre la cybercriminalité (BL2C) : active depuis 1994, la BL2C est une unité de la Préfecture de Police de Paris, spécialisée dans les enquêtes sur les fraudes en ligne, les escroqueries, le piratage informatique et les infractions numériques. 

Le Parquet J-3 de la Juridiction nationale chargée de la lutte contre la criminalité organisée (JUNALCO) : créée en 2020, la section J-3 du Parquet est spécialisée dans la cybercriminalité. Elle est compétente sur l’ensemble du territoire national et coordonne les procédures judiciaires liées aux cyberattaques complexes, notamment les ransomwares, le piratage de systèmes bancaires et les atteintes aux systèmes de traitement automatisé de données.