De la cyber-extorsion à la cyberguerre : quand les lignes se brouillent

Max Smeets, chercheur à l’ETH Zurich, n’aurait pas pu trouver meilleur moment pour publier son livre Ransom War, sous-titré « comment la cybercriminalité est devenue une menace pour la sécurité nationale ». Car il n’est pas le seul à l’appréhender de la sorte.

« Animées par des motivations financières, la plupart du temps, les attaques par rançongiciel ont un impact sur les individus et les entreprises, mais aussi sur le fonctionnement même de services essentiels, et donc, sur la stabilité des États ». C’est ce que déplorait la France au Conseil de Sécurité des Nations Unies le 8 novembre dernier.

Google appréhende la situation sous le même angle. Selon ses équipes de renseignement sur les menaces, « la cybercriminalité représente l’essentiel des activités malveillantes en ligne et mobilise la majorité des ressources des défenseurs ». Pour autant, « la cybercriminalité reçoit bien moins d’attention de la part des patriciens de la sécurité nationale que la menace des groupes soutenus par des États ». 

Une erreur, pour eux : « un hôpital perturbé par un groupe soutenu par un État utilisant un wiper et un hôpital perturbé par un groupe motivé pécuniairement utilisant un rançongiciel ont le même impact sur les soins aux patients ». Quant aux données exfiltrées puis divulguées après refus de paiement de rançon ? Elles peuvent s’avérer aussi dévastatrices que celles obtenues à des fins de cyberespionnage. 

Et c’est sans compter avec les impacts économiques. Google revient d’ailleurs au passage sur l’exemple de la campagne Conti contre le Costa Rica en 2022.

« La cybercriminalité facilite également le piratage soutenu par les États en leur permettant d’acheter des cybercapacités ou de coopter des criminels pour mener des opérations dirigées par l’État [...] ».

Mais il y a plus. « La cybercriminalité facilite également le piratage soutenu par les États en leur permettant d’acheter des cybercapacités ou de coopter des criminels pour mener des opérations dirigées par l’État, afin de voler des données ou de provoquer des perturbations ». À leur insu comme de leur plein gré – ainsi que l’ont suggéré certains exemples documentés.

Les équipes de Google invoquent là la manière dont Sandworm (APT44) fait de plus en plus usage de moyens techniques venus du monde de la cybercriminalité, depuis des infostealers comme Rhadamanthys jusqu’aux infrastructures connues pour leur absence de coopération avec les forces de l’ordre, les hébergeurs dits bulletproof, en passant par des loaders tels que Smokeloader.

L’Iran, la Corée du Nord et la Chine n’échappent pas à la tendance. Fin octobre dernier, les chercheurs de Palo Alto Networks assuraient avoir trouvé les traces du groupe Andariel derrière une cyberattaque impliquant l’enseigne de rançongiciel Play. De quoi conforter d’autres travaux antérieurs. Ce à quoi s’ajoutent notamment les faux professionnels de l’IT de Pyongyang. Sans oublier les multiples braquages numériques, y compris de cryptopépettes.

Du côté de Pékin, Symantec vient de verser de nouveaux éléments au dossier, indiquant soupçonner un acteur du cyberespionnage cachant ses activités (et leurs objectifs) derrière l’enseigne de ransomware RA World. Mais il a été trahi par son outillage : PlugX. SecureWorks soupçonnait déjà de telles activités en 2022.

Pour Google, une approche globale de la menace cyber doit être adoptée – des voix militaient déjà pour l’abandon du traitement de la cybercriminalité de manière en silos, suivant les enseignes de ransomware. 

Et cela passe notamment par l’élévation de la lutte contre la cybercriminalité au rang de priorité nationale et le renforcement de la coopération internationale. Sans oublier le renforcement des défenses et la poursuite des opérations de perturbation des écosystèmes cybercriminels. Bonne nouvelle : 2024 a été une année phare en la matière et 2025 a plutôt bien commencé, avec l’opération Talent et la fin des activités de 8base.