Archives de catégorie : cyberattaque

cyberattaque, Cybersécurité, Entreprise

Cybercriminalité en 2024 : Les vrais chiffres de la France sous surveillance

Alors que les projecteurs mondiaux étaient braqués sur la France pour les Jeux Olympiques et Paralympiques 2024, beaucoup redoutaient une vague de cyberattaques sans précédent. Pourtant, derrière les chiffres officiels, la réalité s’avère bien plus nuancée. Loin des effets d’annonce, la cyberdélinquance en France dessine une cartographie complexe, où la vigilance institutionnelle côtoie les arnaques numériques du quotidien, et où l’évolution des comportements cybercriminels suit sa propre logique, loin des prédictions alarmistes.

L’année olympique n’a pas déclenché de tsunami cyber : radiographie d’une menace maîtrisée

En 2024, la France s’attendait à une avalanche d’incidents informatiques, alimentée par la visibilité mondiale des Jeux Olympiques et Paralympiques. Mais, au grand dam des catastrophistes, la vague n’a pas eu lieu. Les services de police et de gendarmerie, sur le pont, ont observé une stabilité inattendue du nombre d’infractions liées au numérique, alors même que l’Hexagone était sous les feux de la rampe.

Ce calme relatif cache toutefois une réalité plus subtile : la cybercriminalité ne connaît pas de pause, elle mute. Les chiffres officiels, consolidés par le Service Statistique Ministériel de la Sécurité Intérieure (SSMSI), montrent que le volume total des infractions numériques a progressé de 2 % en 2024 par rapport à l’année précédente. Cette hausse, loin d’un raz-de-marée, s’inscrit dans une tendance de fond : le numérique façonne désormais toutes les facettes de la délinquance.

Dans ce paysage, la création de la plateforme Thésée, dédiée au dépôt en ligne de plaintes pour e-escroqueries, a bouleversé les usages. Près de 51 000 plaintes y ont été enregistrées, soit plus d’un cinquième des atteintes numériques aux biens recensées par les forces de l’ordre. Si le volume global d’atteintes numériques aux biens recule légèrement (-1 %), cette évolution masque des dynamiques inversées : la forte baisse des infractions déclarées via Thésée (-19 %) n’est que partiellement compensée par une hausse des signalements hors plateforme (+6 %).

La conclusion s’impose : le numérique n’a pas provoqué d’explosion, mais il a façonné les modalités mêmes de la criminalité. Loin des fantasmes, la cybersécurité institutionnelle française a tenu bon, mais la vigilance reste de mise, car la délinquance numérique s’adapte et évolue, souvent à bas bruit.

En 2024, 348 000 infractions numériques ont été enregistrées en France, soit une hausse de 2 % par rapport à 2023, confirmant une progression constante, mais loin de l’explosion attendue durant les JO.

Victimes, profils et genres : la cybercriminalité cible différemment

Derrière chaque statistique, une histoire. En 2024, les femmes ont payé un lourd tribut aux atteintes numériques à la personne. Deux tiers des victimes sont de sexe féminin, une surreprésentation flagrante qui interroge sur la nature de la violence numérique : harcèlement, injures, menaces ou encore discriminations prolifèrent en ligne, bien au-delà des frontières physiques.

Les femmes de 18 à 44 ans incarnent à elles seules près de la moitié des victimes majeures de ces délits, alors qu’elles ne représentent qu’un cinquième de la population adulte française. Cette surexposition ne s’explique ni par un taux d’équipement informatique supérieur, ni par une différence d’accès à Internet, mais bien par une réalité sociale et numérique qui démultiplie la vulnérabilité dans l’espace digital.

Du côté des atteintes numériques aux biens — essentiellement des escroqueries et fraudes financières en ligne —, le clivage de genre s’estompe. Hommes et femmes sont concernés à parts quasi égales, avec une légère surreprésentation des hommes de plus de 45 ans. Les mineurs ne sont pas en reste : les victimes d’atteintes numériques à la personne sont très majoritairement des filles de moins de 15 ans, tandis que les garçons de plus de 15 ans dominent dans la catégorie des infractions financières.

L’analyse du profil des personnes mises en cause complète ce panorama : sur les 60 000 individus impliqués dans une infraction numérique en 2024, plus de huit sur dix sont majeurs. Les atteintes à la personne constituent désormais la majorité des dossiers traités (62 %), signe d’une dématérialisation croissante des violences. Sur la décennie écoulée, le nombre de personnes mises en cause a bondi de 75 %, même si la croissance ralentit en 2024. Un détail frappant, pourtant : les atteintes aux institutions et celles touchant aux législations spécifiques (RGPD, loi Hadopi, etc.) représentent une infime part des infractions, mais leur hausse reste spectaculaire en 2024 (+42 % pour ces dernières).

La cybercriminalité n’est donc pas qu’une affaire de chiffres : elle touche différemment selon l’âge, le genre, le statut social, et démontre chaque année sa capacité à contourner les réponses institutionnelles et à s’installer dans tous les recoins de la vie connectée.

En 2024, 66 % des victimes majeures d’atteintes numériques à la personne étaient des femmes, révélant la dimension profondément genrée de la violence numérique en France.

L’évolution des techniques et des profils : du hacking à la délinquance du quotidien

Le paysage cybercriminel français n’a plus grand-chose à voir avec les mythes des années 2000, où le “hacker de génie” était l’unique menace. Désormais, la majorité des infractions enregistrées s’inscrit dans un continuum qui va de l’escroquerie en ligne de masse jusqu’aux atteintes techniques complexes, comme l’intrusion dans les systèmes automatisés de traitement de données (ASTAD).

En 2024, 17 100 atteintes ASTAD ont été recensées, en léger recul, mais ces attaques constituent toujours le noyau dur de la criminalité numérique : sabotages, intrusions, paralysies de réseaux… Ces actes sont à la fois les plus difficiles à mener pour les criminels et les plus complexes à investiguer pour les services de sécurité. Paradoxalement, c’est dans les “petites” infractions du quotidien que l’ampleur du phénomène se mesure le mieux. Les escroqueries et fraudes profitent d’une automatisation croissante des attaques : phishing industrialisé, usurpations d’identité, arnaques à la fausse location ou au faux support technique.

Les chiffres du SSMSI montrent aussi une montée en puissance de la délinquance numérique “banalisée”, dont les auteurs ne sont pas des cyberpirates chevronnés mais de simples opportunistes profitant de failles humaines et techniques. Plus inquiétant encore, la criminalité numérique touche aussi les institutions publiques, avec une augmentation continue des attaques contre les collectivités, les administrations et les entreprises stratégiques.

Dans ce contexte, la plateforme Thésée représente une innovation majeure, tant pour le signalement que pour le dépôt de plaintes. Ce nouvel outil contribue à mieux documenter la réalité cybercriminelle, même s’il révèle aussi le retard de certaines victimes dans la prise de conscience et la dénonciation des faits.

Si la France a su résister à la tempête annoncée en 2024, c’est sans doute grâce à une alliance de facteurs : montée en compétence des équipes cyber, structuration des dispositifs de réponse et, surtout, capacité à s’adapter en continu aux mutations de la menace. La vigilance, quant à elle, reste une affaire collective, car chaque usager, chaque institution, chaque entreprise demeure une cible potentielle dans un univers numérique sans frontière.

cyberattaque, Cybersécurité

Cyberattaque dans les Hauts-de-Seine : la menace invisible qui paralyse les collectivités

Une attaque informatique « de grande ampleur » a paralysé les services numériques du conseil départemental des Hauts-de-Seine ce mardi matin, plongeant l’administration dans le flou technologique.

Ce mardi à 10 heures, le département des Hauts-de-Seine a annoncé sur ses réseaux sociaux être victime d’une cyberattaque d’envergure, touchant l’ensemble de ses systèmes d’information. Ce nouvel incident, qui s’ajoute à une série d’agressions informatiques subies par plusieurs collectivités locales de la région parisienne, souligne la vulnérabilité croissante des institutions publiques face à des menaces numériques toujours plus sophistiquées. Alors que les équipes techniques s’activent encore pour identifier l’origine et l’impact de l’attaque, une question se pose : les collectivités sont-elles suffisamment armées pour affronter ces assauts digitaux ?

Une administration à l’arrêt

Ce mardi matin, c’est par un message sobre mais alarmant que le conseil départemental des Hauts-de-Seine a informé ses administrés : ses services numériques ont été brutalement désactivés à la suite d’une cyberattaque. Dans un communiqué diffusé peu après, l’administration évoque une attaque « de grande ampleur » ayant contraint à couper « l’ensemble des systèmes d’information et des moyens de communication habituels » pour une durée encore indéterminée. La nature exacte de l’agression, ses auteurs potentiels et les failles exploitées n’ont pas été dévoilés, laissant place à une incertitude totale.

À 18 heures, soit huit heures après la révélation publique de l’attaque, la situation demeurait inchangée. « La phase de diagnostic est toujours en cours« , indiquait alors le service de communication du département. Derrière cette formule se cache une réalité : sans accès à ses outils numériques, une administration moderne voit la majorité de ses activités paralysée. De la gestion des dossiers à la communication avec les usagers, tout repose aujourd’hui sur l’informatique.

« L’ensemble des systèmes d’information et des moyens de communication habituels ont été désactivés pour une période indéterminée », précisait le conseil départemental dans un communiqué publié en milieu de journée.

Un contexte régional tendu

Loin d’être un cas isolé, cette cyberattaque s’inscrit dans une série noire qui frappe depuis plusieurs années les collectivités locales en Île-de-France. Le conseil départemental des Hauts-de-Seine avait déjà été confronté à une intrusion informatique en 2023. Cette attaque, bien que moins sévère selon les dires de l’époque, avait contraint l’institution à couper temporairement certains services, notamment téléphoniques. Les données personnelles n’avaient pas été compromises, assurait alors l’administration.

Mais d’autres collectivités voisines n’ont pas toujours eu cette chance. En novembre 2022, c’est le département de Seine-et-Marne qui voyait ses réseaux informatiques mis hors service à la suite d’une cyberattaque. Il lui avait fallu plusieurs semaines pour retrouver une activité normale. Plus récemment encore, la ville de Bois-Colombes a subi une attaque dans la nuit du 31 janvier au 1er février 2024. Les conséquences avaient été telles qu’un partenariat stratégique fut rapidement conclu entre la Métropole du Grand Paris et le campus Cyber de Puteaux, dans l’objectif de renforcer les défenses numériques des collectivités territoriales.

Un phénomène en pleine expansion

Loin d’être anecdotiques, ces attaques traduisent un phénomène de fond : la montée en puissance du cybercrime ciblant les entités publiques. Selon un rapport publié en février dernier, une commune sur dix en France affirme avoir été victime d’une cyberattaque au cours des douze derniers mois. Cette statistique, en forte progression par rapport aux années précédentes, illustre l’ampleur de la menace. Des villes comme Chaville ou Saint-Cloud, déjà touchées en 2022, en ont fait les frais.

Ce qui motive les cybercriminels n’est pas toujours clair. Il peut s’agir de rançongiciels, qui visent à extorquer de l’argent en échange de la restitution des données volées ou chiffrées. Mais dans certains cas, les motivations peuvent être politiques ou liées à l’espionnage. Quelle que soit la cause, le résultat est souvent le même : des semaines, voire des mois, de paralysie partielle des services, des dépenses imprévues et une perte de confiance des citoyens.

Une commune sur dix en France a été victime d’une cyberattaque au cours de l’année écoulée, selon une étude publiée en février.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Des réponses encore balbutiantes

Face à cette nouvelle donne, les collectivités locales cherchent à s’organiser. Le partenariat évoqué entre la Métropole du Grand Paris et le campus Cyber est un exemple de réaction institutionnelle à un risque devenu systémique. Ce campus, installé à Puteaux, se présente comme un centre névralgique de l’expertise en cybersécurité, rassemblant acteurs publics, entreprises privées et chercheurs.

Mais la tâche est immense. La majorité des collectivités locales ne disposent ni des ressources humaines ni des budgets pour assurer une cybersécurité de haut niveau. Le coût moyen d’une cyberattaque pour une collectivité territoriale peut s’élever à plusieurs centaines de milliers d’euros, sans compter les pertes indirectes liées à l’interruption des services publics. Pour les petites communes, souvent dépourvues de direction informatique propre, la prévention et la réponse aux attaques relèvent du casse-tête.

Le plan national de cybersécurité, lancé en 2021 par le gouvernement français, avait pour ambition d’accompagner les collectivités dans leur transformation numérique sécurisée. Pourtant, les résultats peinent à suivre. Beaucoup d’élus locaux pointent du doigt la complexité des dispositifs d’aides, jugés trop technocratiques. D’autres dénoncent un manque de formation et de sensibilisation à la sécurité numérique, aussi bien pour les agents publics que pour les élus.

Les cyberattaques n’épargnent plus aucune strate de l’administration. Et pourtant, dans bien des cas, les collectivités découvrent leur vulnérabilité une fois l’attaque survenue, jamais avant. Ce qui soulève une inquiétude légitime : combien d’entre elles sont actuellement infiltrées sans le savoir ? Combien de failles dorment encore dans les systèmes, prêtes à être exploitées ?

Le prix du numérique

L’attaque contre les Hauts-de-Seine met une nouvelle fois en lumière le paradoxe auquel sont confrontées les administrations publiques : la course à la numérisation des services, encouragée au nom de la modernité et de l’efficacité, s’accompagne de risques technologiques considérables. La dépendance croissante aux systèmes informatiques transforme chaque faille de sécurité en bombe à retardement.

La collectivité départementale s’efforce désormais de rétablir l’accès à ses applications et réseaux. Mais ce type d’accident, outre le coût financier qu’il engendre, produit un effet délétère sur la confiance du public. Dans un monde où la transparence, l’accessibilité et la réactivité sont devenues les maîtres mots de la gestion publique, un écran noir sur les systèmes numériques devient vite un symbole d’impuissance.

Alors que la cybersécurité ne cesse de gagner en importance, cette dernière attaque dans les Hauts-de-Seine vient rappeler que les collectivités locales, malgré leurs efforts, demeurent des cibles de choix. Et qu’à l’ère du tout numérique, la guerre invisible qui se joue dans les câbles et les serveurs pourrait bien devenir l’un des plus grands défis des administrations publiques françaises.

Rejoignez-nous sur notre news letter, sur WhatsApp et suivez notre veille sur Twitter/X, LinkedIn & YouTube.

cyberattaque, Entreprise

Cyberattaque chez Co-op : les révélations accablantes des pirates

Les pirates du groupe DragonForce affirment avoir volé les données de 20 millions de membres de la coopérative britannique Co-op, malgré les démentis initiaux de l’entreprise.

Alors que la cybersécurité est devenue un enjeu majeur pour les entreprises du monde entier, une nouvelle attaque d’envergure secoue le Royaume-Uni. Le géant britannique de la distribution, Co-op, a été victime d’un piratage informatique attribué au groupe DragonForce, un collectif notoire dans le milieu du rançongiciel. Ce dernier affirme avoir exfiltré d’importantes quantités de données sensibles, concernant à la fois des employés et des clients de l’entreprise. Malgré une communication initiale rassurante de la part de Co-op, les révélations faites à la BBC par les pirates eux-mêmes, accompagnées de preuves concrètes, jettent une lumière inquiétante sur l’ampleur réelle de la brèche.

DragonForce, connu pour ses opérations d’extorsion numérique, a contacté la BBC pour fournir des captures d’écran de son message initial envoyé au chef de la cybersécurité de Co-op. Ce message, daté du 25 avril, a été transmis via Microsoft Teams, une méthode de communication inhabituelle mais révélatrice du niveau d’infiltration atteint par le groupe. Dans un geste encore plus audacieux, les pirates ont ensuite tenté un appel direct au responsable de la sécurité de Co-op, cherchant vraisemblablement à forcer une négociation ou à démontrer leur contrôle sur les systèmes internes.

L’entreprise a dans un premier temps minimisé l’incident, déclarant qu’aucune donnée client ne semblait avoir été compromise. Mais quelques jours plus tard, face à l’accumulation de preuves, Co-op a dû reconnaître que des acteurs malveillants avaient bel et bien eu accès à des informations appartenant à des membres actuels et passés. Les pirates, quant à eux, affirment avoir mis la main sur les données de 20 millions de membres inscrits au programme de fidélité de Co-op — un chiffre que la société n’a pas confirmé, alimentant ainsi la confusion et les spéculations.

« Les pirates ont eu accès aux identifiants du personnel, à 10 000 dossiers clients, aux numéros de carte de membre, noms, adresses et coordonnées personnelles », rapporte la BBC.

Si l’on en croit les informations transmises par DragonForce, la portée de l’attaque dépasse de loin ce que l’on craignait. Les hackers disent avoir infiltré les équipes internes de l’entreprise, récupérant notamment les identifiants de connexion de plusieurs employés. Ils auraient aussi exfiltré au moins 10 000 dossiers clients contenant noms, adresses postales, adresses e-mail, numéros de téléphone et numéros de carte de membre Co-op. La BBC précise qu’elle a pu consulter un échantillon de ces données et qu’après vérification, celles-ci ont été détruites.

Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !

Co-op a toutefois tenu à rassurer ses membres : selon un porte-parole, les informations volées n’incluraient ni les mots de passe, ni les coordonnées bancaires, ni les données de carte de crédit. Les informations relatives aux transactions ou aux services souscrits par les clients seraient également épargnées. Un soulagement relatif pour les consommateurs, mais qui ne dissipe pas l’inquiétude sur la gestion de la crise par l’entreprise.

Cette affaire relance le débat sur la transparence des entreprises victimes de cyberattaques. Car si Co-op a fini par admettre l’intrusion, son refus de confirmer l’ampleur exacte du vol de données alimente les doutes. Pour les experts en cybersécurité, cette stratégie de communication minimaliste est risquée. Elle nuit à la confiance des clients et pourrait exposer l’entreprise à des sanctions réglementaires, notamment dans le cadre du RGPD européen, qui impose des délais stricts et des obligations de notification en cas de fuite de données personnelles.

DragonForce, qui a également revendiqué une attaque récente contre M&S et affirmé avoir tenté de pirater Harrods, fonctionne selon un modèle bien rodé. Le groupe diffuse ses outils via un réseau d’affiliés, en échange d’un pourcentage sur les rançons obtenues. Cette approche de la cybercriminalité, qui rappelle les logiques de start-up, lui permet de multiplier les attaques tout en diversifiant ses cibles. Les experts estiment que le groupe est constitué majoritairement d’adolescents anglophones, animés à la fois par des motivations financières et une forme de défi idéologique envers les grandes entreprises.

Les canaux de communication utilisés par DragonForce, notamment Telegram et Discord, jouent un rôle central dans leur stratégie. Ils y diffusent les preuves de leurs attaques, publient des listes de victimes et parfois même des données volées, exerçant ainsi une pression publique sur les organisations ciblées. Cette tactique s’avère redoutablement efficace : l’exposition médiatique incite certaines entreprises à céder au chantage pour éviter que leurs informations confidentielles ne soient divulguées sur Internet.

La question de savoir si Co-op a reçu une demande de rançon demeure floue. L’entreprise ne s’est pas exprimée sur ce point, mais le message envoyé via Microsoft Teams laisse penser que les pirates cherchaient à ouvrir un canal de négociation. Refuser de répondre publiquement à cette question pourrait s’expliquer par le souhait de ne pas encourager d’autres attaques similaires, ou par la simple volonté de limiter les retombées médiatiques.

Au-delà du cas Co-op, cette cyberattaque illustre une évolution préoccupante du paysage numérique. Les cybercriminels n’hésitent plus à cibler des structures de grande envergure, à compromettre leurs systèmes internes et à se servir des médias pour amplifier leur pouvoir de nuisance. Dans un contexte où les données personnelles constituent un actif stratégique, les entreprises doivent redoubler de vigilance, investir dans des dispositifs de protection plus robustes et surtout adopter une posture de transparence active dès qu’une faille est détectée.

D’un point de vue juridique, le vol présumé de données de millions de clients pourrait entraîner des poursuites et des sanctions. Si le chiffre de 20 millions de personnes concernées venait à être confirmé, il s’agirait d’une des violations de données les plus importantes qu’ait connues le Royaume-Uni ces dernières années. À l’échelle européenne, les conséquences seraient tout aussi significatives, notamment en matière de régulation et de cybersécurité.

Dans ce climat tendu, les entreprises sont appelées à repenser leurs protocoles de réponse aux incidents, à renforcer la formation de leurs employés et à mettre en place des dispositifs de surveillance avancés. La collaboration avec les autorités judiciaires et les experts en cybersécurité devient également essentielle pour contenir les dégâts, identifier les auteurs et prévenir de nouvelles intrusions.

La cyberattaque contre Co-op agit donc comme un électrochoc. Elle met en lumière les failles d’un système encore trop vulnérable face à des pirates toujours plus organisés, inventifs et audacieux. Elle rappelle également aux consommateurs l’importance de la vigilance numérique : changer régulièrement ses mots de passe, surveiller ses relevés bancaires et être attentif aux communications inhabituelles sont devenus des gestes de prudence élémentaires.

Alors que les menaces numériques s’intensifient et que les groupes comme DragonForce gagnent en influence, une question essentielle demeure : comment les entreprises peuvent-elles regagner la confiance du public et garantir la sécurité de nos données dans un monde de plus en plus connecté ?

Harrods a confirmé une cyberattaque

Après des incidents similaires subis par M&S et Co-op, ce qui en fait le troisième grand détaillant britannique ciblé en quelques jours. Le grand magasin de luxe Harrods a confirmé la cyberattaque. « Nous avons récemment été confrontés à des tentatives d’accès non autorisé à certains de nos systèmes », a pu lire DataSecuritybreach.fr dans un communiqué publié par l’entreprise. « Notre équipe de sécurité informatique expérimentée a immédiatement pris des mesures proactives pour assurer la sécurité des systèmes et, par conséquent, nous avons restreint l’accès à Internet sur nos sites aujourd’hui.« 

En réponse à l’attaque, l’entreprise a « restreint l’accès à Internet sur ses sites« , mais le site de Harrods est resté en ligne. Harrods n’a pas fourni de détails techniques sur les attaques, et il n’est pas clair s’il a subi une violation de données.

Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à notre newsletter.

cyberattaque, Entreprise

Cyberattaque sur le bureau du procureur général de Virginie : le groupe Cloak revendique la responsabilité

Le groupe de ransomware Cloak a revendiqué la responsabilité de la cyberattaque qui a frappé le bureau du procureur général de Virginie en février dernier. L’attaque a forcé les autorités à désactiver les systèmes informatiques, perturbant le fonctionnement de l’institution et exposant potentiellement des données sensibles.

En février 2025, une cyberattaque sophistiquée a été détectée au sein du bureau du procureur général de Virginie, provoquant l’arrêt immédiat des systèmes informatiques internes, y compris les services de messagerie et de VPN. Face à l’ampleur de la faille, les responsables ont dû revenir temporairement à des procédures manuelles, utilisant des documents papier pour assurer la continuité du service. Steven Popps, procureur général adjoint en chef, a décrit l’attaque comme « particulièrement complexe », soulignant le niveau de sophistication des techniques employées par les assaillants. L’incident a été immédiatement signalé au FBI, à la police d’État de Virginie et à l’Agence des technologies de l’information de Virginie (VITA), qui ont ouvert une enquête pour évaluer l’ampleur des dégâts et identifier la source de l’attaque.

Le bureau du procureur général de Virginie est resté très discret sur la nature exacte de la brèche, refusant de divulguer des détails précis sur les systèmes compromis ou les types de données potentiellement volées. Cependant, le 20 mars 2025, le groupe Cloak a ajouté le bureau du procureur général de Virginie à la liste de ses victimes sur son site de fuite hébergé sur le dark web. Le groupe a déclaré que le délai de négociation avec les autorités avait expiré et a affirmé avoir volé 134 Go de données sensibles lors de l’attaque.

Des captures d’écran de certains fichiers volés avaient été publiées comme preuve initiale du piratage. Désormais, l’ensemble des 134 Go de données est accessible en téléchargement sur la plateforme de fuite du groupe. La divulgation de ces fichiers fait craindre une potentielle exposition de documents juridiques sensibles, de communications internes, et d’informations confidentielles concernant des enquêtes en cours. Cette fuite massive pourrait avoir des conséquences majeures sur le fonctionnement du bureau du procureur général, tout en compromettant la sécurité des affaires traitées par l’institution.

Cloak : un groupe de ransomware organisé et expérimenté

Le groupe Cloak est actif depuis au moins 2023. Selon un rapport de la société de cybersécurité Halcyon, le groupe aurait déjà ciblé plus d’une centaine d’organisations, principalement en Europe et en Asie. L’Allemagne figure parmi les cibles privilégiées du groupe, mais les attaques se sont également étendues à d’autres pays, touchant divers secteurs économiques, notamment la santé, l’immobilier, la construction, l’informatique, l’agroalimentaire et la production industrielle. Cette diversification des cibles témoigne de la capacité d’adaptation du groupe et de la sophistication de ses méthodes d’attaque.

Le mode opératoire de Cloak repose en grande partie sur l’acquisition d’accès réseau par l’intermédiaire de courtiers d’accès initiaux (Initial Access Brokers, IAB) ou par des techniques d’ingénierie sociale. Les méthodes employées incluent le hameçonnage (phishing), les publicités malveillantes (malvertising), les kits d’exploitation de vulnérabilités et les téléchargements furtifs (drive-by downloads) déguisés en mises à jour légitimes de logiciels, comme les installateurs de Microsoft Windows. Cette capacité à manipuler le comportement des utilisateurs par des techniques psychologiques et technologiques rend les attaques particulièrement difficiles à détecter avant qu’elles ne soient en cours d’exécution.

Cloak utilise une variante du ransomware ARCrypter, dérivée du code source du ransomware Babuk, qui avait fuité en 2021. Une fois le réseau infiltré, le ransomware chiffre les fichiers sensibles, rendant leur accès impossible sans une clé de déchiffrement. Les attaquants exigent ensuite une rançon, souvent en cryptomonnaie, en échange de cette clé. Si la victime refuse de payer ou tarde à réagir, Cloak menace de divulguer publiquement les données volées sur le dark web, comme ce fut le cas dans l’attaque contre le bureau du procureur général de Virginie.

Une attaque qui soulève des questions sur la sécurité des institutions publiques

L’attaque contre le bureau du procureur général de Virginie met en lumière la vulnérabilité des infrastructures informatiques des institutions publiques face à des menaces cyber de plus en plus agressives. Les institutions gouvernementales, souvent dotées de systèmes informatiques vieillissants et de protocoles de sécurité obsolètes, sans parler de la mise à la porte de milliers de fonctionnaires aux USA par l’administration TRUMP, constituent des cibles privilégiées pour les groupes de ransomware. La capacité des attaquants à paralyser les opérations critiques du bureau du procureur général démontre le niveau de préparation et de sophistication de Cloak.

Les conséquences potentielles de cette attaque sont multiples. Outre la compromission des dossiers juridiques en cours, le vol de données pourrait entraîner une manipulation de certaines affaires sensibles. Les communications internes du bureau, y compris les stratégies de défense et les éléments à charge dans des procédures judiciaires, pourraient également être utilisées comme levier par des acteurs malveillants.

Steven Popps, procureur général adjoint, a déclaré que le bureau s’efforce de restaurer ses systèmes et de renforcer ses mesures de sécurité. Les autorités de Virginie collaborent étroitement avec le FBI et la police d’État pour identifier les auteurs de l’attaque et évaluer l’ampleur des dommages causés. Cependant, dans la mesure où Cloak opère depuis des juridictions étrangères, les possibilités d’arrestation ou de sanction directe restent limitées.

Arnaque, cyberattaque

Rakuten face à une vague d’escroqueries par hameçonnage : les clients appelés à renforcer leur sécurité

Rakuten Securities a récemment alerté ses clients sur une augmentation inquiétante des escroqueries par hameçonnage ayant entraîné des connexions et des transactions non autorisées. L’entreprise exhorte ses clients à renforcer la sécurité de leurs comptes pour faire face à cette menace croissante.

Depuis la fin de l’année dernière, les cyberattaques ciblant le secteur financier se sont intensifiées, exposant les investisseurs à des risques accrus. Rakuten Securities, l’un des plus grands courtiers en ligne, a constaté une augmentation spectaculaire des cas d’hameçonnage (phishing) conduisant à des transactions boursières non autorisées. Les victimes se retrouvent souvent piégées après avoir reçu des messages frauduleux ressemblant à des communications officielles. Cette situation met en lumière les vulnérabilités du système financier numérique et la nécessité de renforcer les mesures de sécurité pour protéger les investisseurs.

Une montée en puissance des attaques ciblées

Le 21 mars 2025, Rakuten Securities a publié une déclaration officielle sur sa page d’accueil, attirant l’attention de ses clients sur la gravité de la situation. L’entreprise a signalé une hausse significative des demandes de renseignements concernant des connexions suspectes à des comptes de trading et des transactions effectuées sans l’autorisation des titulaires.

« Depuis la fin de l’année dernière, nous avons reçu de nombreuses demandes de renseignements de la part de clients concernant des connexions non autorisées« . Cette augmentation des signalements reflète une tendance inquiétante dans le secteur financier, où les attaques informatiques se professionnalisent et ciblent des comptes à fort potentiel de rendement.

Parmi les cas signalés, certains clients ont découvert que des actions chinoises avaient été achetées à leur insu. Cette situation laisse supposer une tentative de manipulation des cours boursiers par des criminels cherchant à exploiter les fluctuations de titres peu liquides. Ce type de fraude est particulièrement difficile à détecter, car il repose sur des transactions en apparence légitimes, dissimulées au sein de volumes de trading importants.

La stratégie des criminels : sophistication et adaptation

Les escroqueries par hameçonnage sont devenues de plus en plus sophistiquées. Les cybercriminels utilisent des méthodes avancées pour inciter les investisseurs à divulguer leurs identifiants de connexion. Des faux emails, des messages texte et des appels téléphoniques imitant les communications officielles de Rakuten Securities sont employés pour tromper les victimes.

Ces techniques d’hameçonnage ne se contentent plus de demander des identifiants de connexion. Elles exploitent également des méthodes d’ingénierie sociale pour obtenir des informations sensibles supplémentaires, comme les codes de vérification envoyés par SMS.

Les criminels s’adaptent rapidement aux nouvelles mesures de sécurité. Ils exploitent les failles comportementales des utilisateurs et utilisent l’intelligence artificielle pour personnaliser leurs attaques.

L’une des stratégies les plus fréquentes consiste à pousser la victime à télécharger une application ou un fichier infecté. Une fois installé, le logiciel malveillant permet aux attaquants d’intercepter les données de connexion en temps réel et de contourner les dispositifs de sécurité tels que l’authentification à deux facteurs (2FA).

Des transactions boursières suspectes : la menace d’une manipulation du marché

Le rapport de Rakuten Securities met en évidence une tendance inquiétante : les attaques ciblent non seulement des comptes individuels, mais également des portefeuilles d’actions spécifiques. Les actions chinoises semblent être une cible privilégiée des criminels.

En achetant des titres peu liquides à l’insu des investisseurs, les attaquants parviennent à influencer temporairement le cours de ces actions. En gonflant artificiellement la demande, ils provoquent une hausse des prix, leur permettant de vendre ensuite ces titres à profit avant que le marché ne corrige l’anomalie.

Cette tactique, connue sous le nom de « pump and dump« , est particulièrement redoutable dans un contexte de marché volatil. Les actions chinoises, souvent cotées à la fois sur les bourses asiatiques et internationales, offrent un terrain propice à ce type de manipulation. Les criminels peuvent ainsi exploiter les écarts de cotation entre différentes places boursières pour maximiser leurs profits.

Le fait que des actions chinoises soient spécifiquement ciblées suggère une coordination entre plusieurs acteurs criminels. Cela pourrait être le signe d’une tentative de manipulation de grande ampleur.

Une menace persistante dans le secteur financier

Les incidents signalés s’inscrivent dans une tendance plus large de cybercriminalité ciblant les institutions financières. Les services de courtage en ligne sont particulièrement vulnérables en raison du volume élevé de transactions et de la valeur des portefeuilles détenus par leurs clients.

Les plateformes de trading sont devenues une cible de choix pour les cybercriminels, attirés par la perspective de gains rapides et la possibilité de blanchir des fonds par le biais de transactions complexes. Les cryptomonnaies jouent également un rôle clé dans ces opérations, offrant aux criminels un moyen d’échapper aux contrôles traditionnels.

Dans un contexte de marché de plus en plus interconnecté, la question demeure : les plateformes de trading seront-elles capables de combler le fossé technologique face à des attaquants toujours plus sophistiqués ?

backdoor, cyberattaque

Chrome sous attaque : une faille critique exploitée dans une campagne de cyber espionnage

Une faille zero-day dans Google Chrome a été découverte par Kaspersky. Exploitée dans une campagne d’espionnage en cours, elle permet de contourner les protections de sécurité du navigateur.

Mi-mars 2025, une nouvelle offensive sophistiquée vient ébranler les défenses du navigateur le plus utilisé au monde. L’entreprise de cybersécurité Kaspersky a levé le voile sur une vulnérabilité critique dans Google Chrome, identifiée sous le nom de CVE-2025-2783. Cette faille, jusqu’alors inconnue, permettait aux attaquants de s’affranchir des mécanismes de protection de la sandbox, cette zone sécurisée censée contenir les menaces. Mais plus inquiétant encore : elle faisait déjà l’objet d’une exploitation active dans le cadre d’une opération d’espionnage ciblée.

Les chercheurs ont observé une vague d’infections débutant par des courriels d’hameçonnage savamment personnalisés. Une simple interaction — cliquer sur un lien — suffisait à déclencher l’enchaînement de l’attaque. Aucun téléchargement, aucune installation requise. En un clic, le système de la victime était compromis.

Baptisée « Operation ForumTroll« , cette campagne visait des profils bien définis : journalistes, chercheurs universitaires et membres d’institutions gouvernementales russes. Le subterfuge ? Des invitations à consulter le forum géopolitique « Primakov Readings« , un événement réel, dont les organisateurs n’avaient évidemment rien à voir avec l’affaire. Les liens piégés redirigeaient d’abord vers une version malveillante du site, avant de renvoyer — une fois l’exploit terminé — vers la véritable page. Discrétion assurée, détection contournée.

« Une sophistication rare, digne d’acteurs étatiques »

L’analyse du code malveillant laisse peu de place au doute : l’attaque ne visait pas à propager un rançongiciel ou à voler des données financières. Il s’agissait clairement d’un outil de surveillance avancé, typique d’une opération de cyber espionnage menée sur le long terme. Dans le jargon, on parle d’APT — Advanced Persistent Threat —, des menaces conçues par des groupes très organisés, souvent liés à des États.

« Cette vulnérabilité se distingue des dizaines de failles que nous avons découvertes au fil des ans« , souligne Boris Larin. Ce dernier insiste sur la capacité inédite de l’exploit à désactiver les barrières de la sandbox de Chrome sans laisser de trace visible. Une prouesse technique rare, nécessitant des moyens considérables. L’exploitation de la faille n’était qu’une pièce d’un puzzle plus vaste, impliquant au moins un autre exploit, encore non identifié, permettant l’exécution de code à distance (RCE).

L’un des aspects les plus troublants de cette attaque réside dans sa capacité à se fondre dans le décor numérique. Les liens malveillants étaient éphémères, générés de manière à ne rester actifs que quelques minutes après l’envoi du mail. Ce système rendait leur détection extrêmement difficile, même pour les logiciels de sécurité les plus performants. La charge utile (le malware) était livrée discrètement, sans déclencher d’alerte visible pour l’utilisateur.

Un correctif publié, mais l’enquête se poursuit

L’équipe de sécurité de Google a publié un correctif en date du 25 mars 2025, corrigeant la vulnérabilité CVE-2025-2783.

Ces attaques successives mettent en lumière une réalité préoccupante : les navigateurs web sont devenus l’un des vecteurs d’attaque privilégiés par les cybercriminels. Leur omniprésence sur les ordinateurs, combinée à leur accès aux données sensibles (identifiants, historique, sessions ouvertes), en fait des portes d’entrée idéales. Et bien que Google Chrome bénéficie d’un système de sécurité parmi les plus avancés, aucune solution n’est infaillible face aux menaces de niveau étatique.

L’apparition de failles zero-day — ces vulnérabilités inconnues des éditeurs et non encore corrigées — est particulièrement redoutée. Exploitées dans le silence, elles permettent des attaques fulgurantes, souvent indétectables jusqu’à ce qu’un expert lève le voile sur leur existence. Des 0day qui connaissent un vrai business, souvent orchestré dans l’ombre des claviers comme pour cette recherche d’un « jour zéro » pour Telegram pour 4 millions de dollars.

Les zero-days sont des armes numériques de haute précision. Lorsqu’elles sont déployées dans un contexte d’espionnage, elles ne visent pas nécessairement la quantité, mais la qualité des cibles. On cherche à infiltrer les bonnes personnes, pas les masses.

Un jeu d’échecs numérique aux ramifications géopolitiques

Si aucune attribution officielle n’a encore été formulée concernant l’Operation ForumTroll, les indices pointent vers un groupe disposant d’une expertise technique rare et d’un objectif clairement défini : surveiller certaines élites intellectuelles et administratives russes. Ce type de ciblage ciblé, couplé à une infrastructure très éphémère, est typique des opérations étatiques cherchant à éviter tout retentissement médiatique.

Dans le contexte actuel de tensions géopolitiques croissantes, l’usage de cyberattaques comme outils d’influence, de renseignement ou de déstabilisation est désormais monnaie courante. Les forums internationaux, les think tanks et les médias indépendants deviennent des cibles autant que des vecteurs d’information. Et dans ce paysage mouvant, chaque faille non corrigée devient une opportunité pour ceux qui savent la manier.

Alors que les failles zero-day deviennent des instruments d’espionnage de plus en plus perfectionnés, une question demeure : combien d’entre elles sommeillent encore dans le code de nos navigateurs préférés, prêtes à être exploitées dans l’ombre ?

cyberattaque, Piratage

Des milliers d’esclaves sauvées de camps de concentration dédiés aux escroquerie en ligne bloqués à la frontière thaïlandaise

Plus de 7 000 personnes, récemment libérées de camps de concentration spécialisé dans les escroqueries en ligne Birman, se retrouvent bloquées à la frontière thaïlandaise, incertaines de leur avenir. Ces individus, originaires de 29 pays, attendent leur rapatriement dans des conditions précaires.

Depuis plus d’une semaine, ces victimes du trafic humain, principalement issues de l’industrie des escroqueries en ligne, sont détenues dans un centre à la frontière thaïlandaise. Malgré quelques rapatriements récents, des milliers d’autres demeurent en attente, la Thaïlande exigeant des garanties de leurs pays d’origine pour les accueillir.

Jeudi, 84 Indonésiens secourus ont été autorisés à traverser la frontière depuis la ville de Myawaddy et seront rapatriés par avion à Jakarta vendredi, selon le ministère indonésien des Affaires étrangères. La semaine précédente, plus de 600 personnes avaient été rapatriées en Chine. Cependant, des milliers d’autres restent piégées dans l’incertitude, la Thaïlande souhaitant obtenir des garanties que leurs pays d’origine accepteront leur retour avant de les laisser entrer. Des esclaves obligé de produire des escroqueries en ligne par milliers comme le montrait ZATAZ en 2022.

L’essor des escroqueries en ligne en Asie du Sud-Est

Ces dernières années, la Birmanie, le Cambodge et le Laos sont devenus des centres névralgiques pour des gangs criminels transnationaux, principalement chinois, spécialisés dans les escroqueries aux investissements en cryptomonnaies. Ces gangs attirent des travailleurs avec de fausses offres d’emploi et les forcent à opérer dans des conditions proches de l’esclavage. Privés de leurs documents et sous surveillance constante, les travailleurs sont contraints de mener des arnaques en ligne ciblant des victimes dans le monde entier.

La Karen Border Guard Force (BGF), une milice birmane alliée à la junte militaire, a joué un rôle ambigu dans cette crise. Elle est accusée d’avoir facilité l’expansion de centres d’escroquerie, notamment à Shwe Kokko, tout en étant à l’origine de la libération récente de milliers de travailleurs. Cette action s’inscrit dans un contexte de pressions croissantes de la part des gouvernements thaïlandais et chinois pour démanteler ces réseaux criminels, notamment après un incident très médiatisé : l’enlèvement d’un acteur chinois en Thaïlande, qui avait été transféré de force au Myanmar.

Une crise humanitaire à la frontière thaïlandaise

La libération soudaine de milliers de travailleurs a engendré une crise humanitaire à la frontière thaïlandaise. Le gouvernement thaïlandais a indiqué que ces individus ne seraient autorisés à entrer sur le territoire que si leurs pays d’origine acceptaient officiellement de les rapatrier. Le vice-Premier ministre et ministre de la Défense, Phumtham Wechayachai, a exprimé son inquiétude quant à la gestion des détenus, soulignant que si la milice BGF les relâchait tous en même temps, cela pourrait provoquer un exode massif et incontrôlable.

« Si cela se produit, ils fuiront en masse comme un essaim d’abeilles« , a-t-il déclaré au journal thaïlandais The Nation. Il a exhorté le ministère des Affaires étrangères à conclure des accords de rapatriement rapidement, mais à ce jour, la plupart des détenus se trouvent toujours en Birmanie.

Les conditions de vie dans les camps sont difficiles. Selon la BBC, de nombreuses personnes secourues sont en mauvaise condition physique, souffrant de malnutrition et d’un accès insuffisant à la nourriture et aux soins médicaux.

Un avenir incertain pour des milliers de victimes

La diversité des nationalités des victimes complique leur rapatriement. Plus de 4 800 d’entre elles sont originaires de Chine, suivies par des citoyens vietnamiens, indiens et éthiopiens. Bien que certaines aient pu regagner leur pays, notamment les Indonésiens qui ont traversé la frontière avec la Thaïlande, des milliers d’autres restent en attente.

Le gouvernement thaïlandais a déjà pris des mesures drastiques pour contrer l’industrie des escroqueries en ligne en Birmanie. Plus tôt ce mois-ci, il a coupé l’électricité, le carburant et l’accès à Internet dans trois régions du Myanmar, suivant une visite du ministre adjoint chinois de la Sécurité publique, Liu Zhongyi, qui a exhorté Bangkok à faire davantage pour réprimer ces activités illicites.

Cependant, les gangs adaptent leurs stratégies pour contourner ces restrictions. Selon Wired, de nombreux sites frauduleux situés dans la région de Myawaddy utilisent désormais Starlink, le service Internet par satellite, pour maintenir leurs activités malgré les coupures de connexion imposées par la Thaïlande.

Le nombre de personnes victimes de trafic humain dans le cadre de ces opérations frauduleuses est estimé à plus de 100 000 au Myanmar. La Thaïlande, en tant que carrefour régional, joue un rôle clé dans la gestion de cette crise.

Cette situation met en évidence l’ampleur du trafic humain lié aux escroqueries en ligne et pose une question cruciale : la communauté internationale doit-elle intervenir pour assurer un rapatriement rapide et sécurisé de ces victimes, tout en renforçant la lutte contre ces réseaux criminels transnationaux ?

cyberattaque, Entreprise

Chronopost victime d’une cyberattaque : 210 000 clients compromis ?

Le 28 janvier 2025, Chronopost découvre une cyberattaque compromettant les données personnelles de 210 000 clients, exposant noms, adresses et signatures.

Le 28 janvier 2025, Chronopost, leader français de la livraison express, a été la cible d’une cyberattaque majeure. Cette intrusion aurait conduit à la fuite des données personnelles de 210 000 clients, incluant noms et adresses. Etonnamment, j’ai lu dans certains médias que le pirate avait eu accès aux signatures. Détail que le pirate n’a pas exprimé. Il a cependant indiqué dans sa petite annonce « Cette base de données contient des informations sur plus de 7,3 millions d’utilisateurs, comprenant à la fois des clients particuliers et des entreprises. » Les conséquences potentielles pour les clients sont préoccupantes et faciles à définir, notamment en matière de sécurité et de confidentialité. Le pirate, fan de Thorfinn de la saga manga Vinland ou encore de Jing (Arcane), connu sous le pseudonyme de akldvg/arkeliaad, n’est pas à son coup d’essai dans le vol de bases de données.

Le 29 janvier 2025, Chronopost détecte une intrusion dans son système informatique. Une détection assez facile. Il faut dire aussi que le pirate a diffusé une petite annonce vue par des centaines de personnes sur le forum Breached. Ce bad hacker indique avoir exfiltré les informations la veille, le 28 janvier.

Le cybercriminel aurait réussi à accéder aux données personnelles. Chronopost parle de 210 000 clients. Le pirate affiche, lui, l’exfiltration de 7 millions. Les informations compromises comprennent les noms, prénoms, adresses postales, numéros de téléphone et, dans certains cas, les signatures apposées lors des livraisons [ce que le pirate n’indiquait pas dans sa petite annonce].

Chronopost a rapidement informé les clients concernés et a renforcé la sécurité de ses systèmes pour prévenir de futures attaques. Chronopost a acheté la base de données au pirate ? Non, évidement ! L’échantillon diffusé par le pirate a permis à la société de retrouver la porte d’entrée et les données collectées par le malveillant.

Conséquences pour les clients

La fuite de ces données sensibles expose les clients à plusieurs risques. Elles peuvent être utilisées pour créer de faux documents ou accéder à des services en se faisant passer pour les victimes. Des messages frauduleux ciblés sont possible (Les phishing Chronopost sont déjà trés nombreux, NDR). Chronopost a annoncé travailler avec les autorités pour identifier les auteurs de l’attaque et sécuriser ses systèmes.

cyberattaque, Cybersécurité

La convention sur la cybercriminalité adoptée par l’onu

La Convention sur la cybercriminalité, approuvée par l’Assemblée générale des Nations unies après cinq années de négociations, marque un tournant majeur dans la coopération internationale. Adoptée par consensus, elle vise à mieux coordonner la lutte contre les délits informatiques. Désormais, les 193 États membres devront ratifier ce texte pour le rendre pleinement effectif.

Cette Convention, qui entrera en vigueur 90 jours après sa ratification par un nombre suffisant de pays, est conçue pour harmoniser les définitions d’infractions liées à la cybercriminalité et faciliter les enquêtes transfrontalières. Les délits informatiques, allant du vol de données à la fraude en ligne, pèsent déjà plusieurs trillions de dollars sur l’économie mondiale. L’accord propose un cadre inédit pour l’échange de preuves électroniques, la collaboration judiciaire et la mise en place de mécanismes de prévention. Les organisations internationales, dont le Bureau des Nations unies contre la drogue et le crime (UNODC), saluent cet effort historique, tout en reconnaissant les interrogations que suscite l’absence de garanties explicites sur la confidentialité et les libertés fondamentales. De grands acteurs de la technologie ainsi que des défenseurs des droits humains redoutent en effet des abus potentiels, en particulier si certains gouvernements utilisent ce traité pour renforcer leurs dispositifs de surveillance ou réprimer la société civile.

Un cadre juridique inédit

La Convention contre la cybercriminalité, élaborée à l’initiative de l’Assemblée générale de l’ONU, se veut la réponse la plus complète à ce jour face à la menace grandissante des crimes informatiques. Depuis plusieurs années, la complexité des enquêtes numériques pose de nombreux défis aux forces de l’ordre, qui peinent à appréhender des individus exploitant le caractère transfrontalier d’internet. Les États cherchaient un texte universel allant plus loin que la Convention de Budapest, jugée insuffisamment mondiale ou inadaptée pour ceux qui ne l’avaient pas signée.

Adoptée sans vote formel, la Convention actuelle reflète la volonté commune d’offrir un socle de règles partagées. Les gouvernements espèrent limiter l’existence de « paradis numériques » où les cybercriminels opèrent sans crainte, en profitant de législations nationales floues ou d’un manque de coopération internationale. Le nouveau traité définit ainsi une liste d’infractions — piratage de réseaux, phishing, diffusion de rançongiciels, blanchiment d’argent en ligne, entre autres — et suggère des standards minimaux pour l’échange de données entre autorités compétentes.

Le volet « coopération judiciaire » est au cœur de cet accord : les services d’enquête peuvent désormais réclamer de l’aide à leurs homologues étrangers afin d’obtenir des informations cruciales, comme l’identification de titulaires de comptes, l’accès aux adresses IP ou la récupération de données situées sur des serveurs hors de leurs frontières. Cette approche se veut rapide et efficace, dans un monde où chaque minute compte pour identifier les responsables de cyberattaques ou de fraudes en ligne.

Les négociateurs ont insisté sur des mécanismes devant garantir que l’entraide judiciaire respecte le droit interne de chaque pays et ne viole pas ses impératifs de sécurité nationale. Une clause permet à un État de refuser une demande de coopération s’il estime qu’elle contrevient à ses obligations constitutionnelles ou qu’elle risque de porter atteinte à ses intérêts fondamentaux. Pour les promoteurs de la Convention, ce dispositif constitue un garde-fou essentiel, même si les organisations de défense des libertés estiment qu’il pourrait se révéler insuffisant face à des usages abusifs.

L’UNODC, par la voix de sa directrice exécutive, Ghada Waly, a souligné l’importance de ce cadre mondial : les pays victimes de cyberattaques n’auront plus à se lancer dans des tractations longues et fastidieuses. L’idée est d’harmoniser le plus possible les incriminations, les procédures et la collecte de preuves, tout en proposant un accompagnement technique et logistique aux États qui manquent de ressources. Les Nations unies espèrent ainsi combler le déséquilibre qui rend certains territoires vulnérables, faute de moyens technologiques pour mettre en place des pare-feu, des logiciels de détection de malwares ou des équipes spécialisées en cyberenquête.

Les cybermenaces évoluent rapidement, et le traité inclut la possibilité de réviser régulièrement la liste des infractions couvertes, afin de tenir compte des nouvelles tendances criminelles. Avec l’essor fulgurant des ransomwares et la sophistication croissante des logiciels espions, les États se retrouvent parfois dépassés. Des groupes criminels organisés, voire des entités sponsorisées par certains régimes, orchestrent des attaques massives qui perturbent des secteurs entiers : hôpitaux, banques, infrastructures énergétiques ou systèmes gouvernementaux. Les experts soulignent que sans collaboration formalisée, les criminels exploitent les failles légales, passant d’une juridiction à l’autre pour brouiller les pistes.

Au-delà de la répression, le traité encourage des initiatives de prévention et d’éducation. Les gouvernements sont appelés à lancer des campagnes de sensibilisation, en expliquant aux citoyens comment repérer un mail suspect, protéger leurs mots de passe, sauvegarder leurs données et vérifier l’authenticité des sites web qu’ils consultent. Cet aspect préventif est jugé crucial pour réduire la surface d’attaque, car la vigilance des internautes et des entreprises demeure la première barrière contre les cyberfraudeurs.

La cérémonie de signature solennelle, prévue à Hanoi en 2025, symbolisera l’entrée dans une nouvelle ère. Une fois qu’un nombre suffisant d’États auront ratifié la Convention, ses dispositions deviendront juridiquement contraignantes pour tous les signataires, dans un délai de 90 jours. Les observateurs espèrent que cette dynamique poussera les pays à mettre à jour leurs lois internes, afin de mieux protéger leurs citoyens et de répondre efficacement aux requêtes étrangères.

Les partisans de cette Convention estiment qu’elle permettra de mieux repérer et poursuivre les individus qui se cachent derrière des attaques d’ampleur mondiale. Ils avancent que la collaboration formelle réduira les réticences politiques à transmettre des preuves, rendant plus complexes les stratégies d’anonymisation. Cependant, tout dépendra de la sincérité avec laquelle les gouvernements mettront en place ce nouveau cadre, et surtout de leur capacité à concilier lutte contre la criminalité et préservation des droits fondamentaux.

Des inquiétudes persistantes

Malgré la portée historique de ce traité, nombre d’organisations de la société civile et de groupes de défense des droits humains n’ont pas caché leur profonde préoccupation. Depuis la première ébauche de texte, en août 2023, plusieurs voix ont mis en garde contre des risques de dérive. Les critiques s’appuient sur le fait que la Convention n’inclut pas de langage clairement contraignant en matière de protection de la vie privée ou de liberté d’expression. Certains militants redoutent que des gouvernements autoritaires puissent la brandir pour renforcer leurs mécanismes de censure ou de surveillance.

Des sociétés technologiques majeures, regroupées au sein du Cybersecurity Tech Accord, ont également manifesté des réserves. Microsoft, Meta, Oracle ou encore Cisco craignent que la Convention ne serve à poursuivre des chercheurs en cybersécurité pour des motifs fallacieux. La ligne entre la découverte de vulnérabilités à des fins d’amélioration de la sécurité et l’intrusion illégale peut devenir floue si des gouvernements décident de qualifier la recherche de « piratage criminel ». Sans dispositions protectrices, cette inquiétude demeure vive dans l’industrie.

Les experts redoutent aussi que la Convention devienne un prétexte pour exiger l’accès à des données confidentielles, sans garanties suffisantes. Les plateformes hébergeant des services en ligne pourraient se retrouver contraintes de communiquer des informations sensibles à des autorités étrangères, y compris sur des utilisateurs innocents ou des opposants politiques. Le fait que le texte permette à un État de refuser une demande en cas de doute ne rassure qu’en partie. Dans la pratique, des pressions diplomatiques pourraient survenir, et certains pays pourraient accepter de transmettre des données pour maintenir de bonnes relations bilatérales.

Au sein des Nations unies, des responsables défendent la Convention en soulignant que de nombreux traités antérieurs contre la criminalité transnationale n’évoquaient pas non plus explicitement la question des droits humains, mais comprenaient des clauses générales renvoyant aux autres obligations internationales. Selon cette approche, les États demeurent liés par la Charte de l’ONU, la Déclaration universelle des droits de l’homme et les pactes relatifs aux droits civils et politiques. Ils estiment donc que la Convention cybercriminelle ne saurait justifier une violation flagrante de ces principes.

Certains gouvernements occidentaux se montrent partagés. L’administration américaine, après avoir hésité, a finalement soutenu le traité en arguant qu’il valait mieux participer à la rédaction pour en influencer le contenu et maintenir la possibilité d’amendements ultérieurs. Des parlementaires démocrates ont exprimé leurs réticences dans une lettre adressée à la Maison-Blanche, soulignant l’insuffisance de garanties portant sur la liberté d’expression et la nécessité de mieux encadrer l’intelligence artificielle pour éviter tout détournement répressif.

La question des responsabilités et des sanctions demeure cruciale. Comment faire en sorte qu’un État abuse de la Convention en toute impunité ? Les promoteurs du traité invoquent des mécanismes informels de pression diplomatique et l’attention des médias internationaux, qui pourraient dénoncer un usage disproportionné de l’accord à des fins de répression. Pourtant, l’absence d’une instance de surveillance indépendante dans ce dispositif préoccupe de nombreux militants, qui y voient la possibilité que des dérives passent sous silence.

Dans ce contexte, certaines organisations non gouvernementales prévoient de surveiller de près la mise en œuvre de la Convention. Elles entendent récolter des témoignages, compiler des données sur les demandes d’assistance transfrontalières et publier des rapports annuels pour mettre en lumière d’éventuels abus. Des initiatives similaires avaient été menées dans le passé autour de la Convention de Budapest, mais leur succès restait limité aux pays européens. Avec un texte désormais global, la tâche s’annonce plus complexe, puisqu’il faudra couvrir des juridictions très différentes.

Les inquiétudes se manifestent également sur la question du secret commercial et de la propriété intellectuelle. Dans un monde où la concurrence technologique est très forte, des entreprises craignent qu’un gouvernement exige, au nom de la lutte contre la cybercriminalité, l’accès à des codes sources, des algorithmes propriétaires ou des bases de données confidentielles. L’évolution rapide de l’intelligence artificielle soulève des enjeux inédits : un algorithme conçu pour la cybersécurité peut-il être considéré comme dangereux si un État estime qu’il facilite l’évasion numérique d’opposants ?

Les représentants onusiens ont tenté de rassurer en assurant que toute demande devrait être liée à une affaire criminelle précise, et que la Convention n’autorise pas la saisie de technologies ou de savoir-faire sans lien direct avec une enquête. Toutefois, l’expérience montre que la notion de « lien direct » reste sujette à interprétation. Lorsque la souveraineté et les intérêts nationaux s’en mêlent, la frontière entre un usage légitime du traité et une instrumentalisation politique peut se révéler ténue.

Malgré tout, le traité suscite un certain espoir : plusieurs pays d’Afrique, d’Asie ou d’Amérique latine ont indiqué leur volonté de se doter rapidement des outils nécessaires, tels que des laboratoires d’investigation numérique, des équipes spécialisées dans les rançongiciels ou la lutte contre l’exploitation en ligne. Certains États envisagent même des partenariats public-privé pour développer des centres de formation en cybersécurité. La Convention pourrait donc servir de catalyseur pour faire émerger un écosystème de compétences autour de la protection numérique, bénéfique au grand public comme au secteur économique.

Des perspectives d’avenir

Le véritable impact de la Convention contre la cybercriminalité dépendra de sa ratification et surtout de son application concrète. Chaque État devra transposer les dispositions dans son droit interne, mettre en place des procédures claires pour répondre aux demandes de coopération et garantir que les investigations menées sur son territoire respectent les principes fondamentaux de proportionnalité et de nécessité.

Les experts s’accordent à dire que la plus grande réussite de ce traité pourrait être sa capacité à renforcer la confiance internationale dans le cyberespace. En offrant un cadre de référence commun pour qualifier et poursuivre les délits informatiques, il peut réduire le risque de frictions politiques liées à des accusations mutuelles de piratage. Dans un monde où les tensions géopolitiques se cristallisent souvent autour de la question des intrusions numériques, l’existence de canaux de dialogue encadrés pourrait limiter les escalades et faciliter la diffusion d’informations fiables.

Les pays en développement, souvent en première ligne face à la cybercriminalité sans disposer des moyens nécessaires pour y faire face, aspirent à ce que la Convention leur apporte un véritable soutien technique. Les transferts de connaissances, la formation d’experts locaux, l’obtention de logiciels de détection ou de traçage des cyberattaques constituent autant d’éléments essentiels. L’ONU promet des programmes d’accompagnement, afin que le cyberespace ne demeure pas un terrain de jeu pour les seules économies puissantes.

La dimension économique ne saurait être négligée. Chaque année, les escroqueries, vols de données et sabotages informatiques pèsent lourdement sur les entreprises de toutes tailles. De grandes multinationales investissent déjà massivement dans la sécurité informatique, mais les PME et les infrastructures publiques sont plus vulnérables. En adoptant le traité, les gouvernements espèrent rassurer les investisseurs et les consommateurs, qui pourraient percevoir dans cette coordination internationale un gage de stabilité. Les interactions commerciales gagneraient en fluidité, sachant que le risque de fraude ou de vol de propriété intellectuelle est l’une des craintes majeures dans le commerce numérique transfrontalier.

Sur le plan diplomatique, la Convention ouvre une brèche pour des discussions plus approfondies sur la gouvernance d’internet. De nombreuses voix plaident pour un internet libre et ouvert, tandis que d’autres estiment nécessaire de renforcer les contrôles afin de lutter contre le cybercrime. Entre ces deux pôles, la Convention cherche un équilibre, mais il est probable que les négociations futures, ou les protocoles additionnels, réexaminent la question de la censure et de la surveillance. Certains estiment que seule une instance internationale permanente, chargée de superviser la bonne application du traité, pourrait répondre aux craintes de dérive.

L’harmonisation juridique doit aussi composer avec les spécificités culturelles et législatives. Les notions de diffamation, d’incitation à la haine ou même de pornographie diffèrent selon les pays. Certaines régulations, acceptables dans une société, pourraient être perçues comme liberticides ailleurs. Les ONG rappellent que, sans garde-fous, le champ du cybercrime pourrait s’étendre à des formes d’expression légitimes, visées par des gouvernements souhaitant étouffer la contestation.

Des entités comme Access Now, Privacy International ou Reporters sans frontières comptent poursuivre leur travail de plaidoyer, exigeant plus de transparence dans la mise en œuvre du traité. Par exemple, elles souhaitent que chaque demande d’information transfrontalière fasse l’objet d’un registre accessible à des organismes indépendants, chargés de vérifier si les enquêtes respectent les principes de droit. Une telle transparence diminuerait le risque de persécution politique ou religieuse déguisée en poursuite pour cybercrime.

L’innovation technologique, moteur de transformations rapides, risque de soulever de nouvelles questions quant à l’adaptabilité de la Convention. L’essor de l’intelligence artificielle générative, capable de créer du contenu trompeur ou de simuler des identités, pourrait conduire à la multiplication de fraudes sophistiquées. L’internet des objets (IoT) accroît la surface d’attaque, tandis que la 5G et la 6G offriront des débits plus élevés mais aussi des risques accrus si la sécurité n’est pas intégrée dès la conception des infrastructures. Les futurs protocoles additionnels, déjà évoqués dans l’architecture du traité, permettront d’ajuster en continu les champs d’action, selon les nouvelles menaces détectées.

La tenue de conférences internationales de suivi, tous les deux ou trois ans, est également prévue. Elles permettront aux parties signataires de partager leur retour d’expérience, d’évaluer l’efficacité des dispositions et, si nécessaire, de proposer des réformes. Les débats y seront certainement animés, car la cybercriminalité se retrouve à l’intersection de multiples problématiques : économie, droits humains, souveraineté, innovation, sécurité. Le succès de la Convention dépendra de la qualité du dialogue et de la volonté de parvenir à des compromis respectant à la fois la sécurité et la liberté.

La Russie, qui a introduit la résolution initiale en 2019, a promis de « coopérer pleinement » pour faire de la Convention un instrument efficace. Certains observateurs restent cependant prudents, rappelant que l’adoption du traité ne dissipe pas automatiquement les tensions géopolitiques. Les actions concrètes de chacun des 193 États membres détermineront la portée réelle de l’accord. Le texte consacre un certain nombre de principes, mais leur traduction dans la pratique requiert un effort continu, tant au niveau des gouvernements que des acteurs privés.

Enfin, le rôle des médias ne doit pas être négligé. Les journalistes spécialisés en cybersécurité, les magazines technologiques et les plateformes en ligne diffuseront régulièrement des analyses et des éclairages sur l’évolution de la Convention. L’opinion publique, de plus en plus sensible aux questions de vie privée et de sécurité, influencera l’acceptation ou la contestation de ce traité. Les États sauront qu’en cas d’abus, l’information risque de se propager très vite, exposant leur réputation à l’échelle mondiale.

Ainsi, la Convention sur la cybercriminalité présente un potentiel considérable pour endiguer la vague grandissante de délits informatiques. Elle apporte un cadre de travail commun, dessine une feuille de route pour la coopération judiciaire et promeut une éducation cybernétique plus développée. Toutefois, l’issue dépendra des choix politiques qui seront faits pour défendre les libertés individuelles, garantir la transparence et maintenir la confiance des citoyens dans un internet de plus en plus central dans la vie quotidienne.

La Convention sur la cybercriminalité, fruit d’un consensus international, marque une avancée significative dans la lutte contre les infractions numériques. En adoptant une approche coordonnée à l’échelle mondiale, les États espèrent tarir les réseaux de cybercriminels qui profitent de failles légales et de frontières peu adaptées à la réalité d’internet. L’harmonisation des législations, la facilitation de la coopération judiciaire et la mise en place de mécanismes de prévention sont autant d’éléments qui renforcent l’idée d’une réponse collective et cohérente.

Néanmoins, les préoccupations liées à la protection des droits fondamentaux et à la vie privée demeurent. L’absence de garde-fous explicites contre les dérives autoritaires ou les abus de surveillance interroge de nombreux observateurs. L’avenir du traité dépendra donc de la volonté réelle des gouvernements d’implémenter ses dispositions dans un esprit de transparence et de respect des libertés. Les mécanismes de contrôle, la pression diplomatique et l’implication des ONG seront essentiels pour éviter toute instrumentalisation.

Pour en savoir plus sur les risques et les opportunités liés à l’intelligence artificielle, abonnez-vous gratuitement à notre newsletter.

cyberattaque, Cybersécurité, Entreprise

Ransomware : Gueule de bois pour Stoli Group, le roi de la vodka

Stoli Group, célèbre fabricant de vodka, attribue son dépôt de bilan à une attaque de ransomware en août, aggravant une situation financière déjà tendue.

Le fabricant de vodka Stoli Group, connu pour ses produits emblématiques comme la vodka Stoli, a révélé qu’une attaque de ransomware en août 2024 avait considérablement aggravé ses difficultés financières, conduisant deux de ses filiales américaines à déposer le bilan. L’incident a désactivé son système ERP, obligeant l’entreprise à passer à une gestion manuelle, perturbant ses opérations et compliquant sa relation avec ses créanciers.

Ce ransomware, bien qu’aucun groupe n’ait encore revendiqué l’attaque, s’inscrit dans un contexte de défis multiples pour Stoli : des batailles juridiques prolongées avec le gouvernement russe, des sanctions internationales et une baisse de la demande post-pandémie. En proie à une dette de 84 millions de dollars, l’entreprise lutte pour maintenir ses opérations, visant une restauration de ses systèmes au premier trimestre 2025. Cette affaire illustre l’impact dévastateur des cyberattaques sur les grandes entreprises et leur stabilité financière.

Une attaque de ransomware paralysante

En août 2024, Stoli Group a été victime d’une attaque de ransomware ayant perturbé l’ensemble de son infrastructure informatique, y compris son système de planification des ressources (ERP). Ce système était crucial pour les opérations globales, et sa désactivation a forcé l’entreprise à basculer vers des processus manuels pour gérer ses fonctions internes, notamment la comptabilité.

Les perturbations causées par cette attaque ont également compliqué la communication avec les créanciers, Stoli étant incapable de fournir des rapports financiers actualisés. Cette incapacité à répondre aux exigences des prêteurs a aggravé la situation financière, contribuant directement au dépôt de bilan de ses filiales américaines, Stoli Group USA et Kentucky Owl.

« L’attaque a provoqué des problèmes opérationnels importants dans toutes les sociétés du groupe Stoli, y compris Stoli USA et KO, en raison de la désactivation du système de planification des ressources de l’entreprise (ERP) du groupe Stoli et du passage forcé de la plupart des processus internes du groupe Stoli (y compris les fonctions comptables) à un mode de saisie manuelle.« 

Aucun groupe de ransomware n’a encore revendiqué l’attaque, et la société n’a pas précisé si une rançon a été versée. Stoli vise à restaurer ses systèmes d’ici le premier trimestre 2025, mais les pertes opérationnelles restent lourdes.

La branche américaine de la société a été créée en 2013 et distribue tous ses produits aux États-Unis. En plus de la vodka homonyme Stoli, la société possède plusieurs autres marques internationales d’alcool.

Un contexte économique et juridique déjà tendu

L’impact du ransomware s’ajoute à une série de défis majeurs pour Stoli Group, dont des batailles juridiques prolongées avec le gouvernement russe. Depuis un décret de Vladimir Poutine en 2000 cherchant à renationaliser la marque, Stoli a été confrontée à une série de poursuites et de confiscations, culminant avec la saisie en 2022 de ses deux dernières distilleries en Russie, d’une valeur estimée à 100 millions de dollars.

En juillet 2024, un gouvernement local russe a qualifié Stoli d’« extrémiste », citant son soutien aux réfugiés ukrainiens. Ces mesures, combinées aux coûts juridiques globaux et à la perte d’actifs, ont mis une pression énorme sur les finances de l’entreprise.

La pandémie de COVID-19 et l’inflation ont également joué un rôle. Une baisse de la demande d’alcool, combinée à une hausse des coûts opérationnels, a entraîné une érosion des marges bénéficiaires, exacerbant les défis financiers.

Ransomware : une menace pour la stabilité des entreprises

L’attaque contre Stoli n’est pas un cas isolé. Les cyberattaques par ransomware continuent de causer des pertes massives aux entreprises dans divers secteurs. En 2023, la Brunswick Corporation a estimé les pertes liées à un ransomware à 85 millions de dollars, tandis qu’un libraire canadien a déclaré des pertes de 50 millions de dollars dues à une attaque ayant paralysé ses opérations pendant des semaines.

L’impact des ransomwares va au-delà des pertes financières immédiates, affectant la réputation des entreprises, leur relation avec les créanciers et leur capacité à maintenir des opérations normales. Applied Materials, fournisseur pour l’industrie des semi-conducteurs, a rapporté des pertes potentielles de 250 millions de dollars à cause d’une attaque contre l’un de ses fournisseurs.

Pour Stoli, cette attaque de ransomware a agi comme un catalyseur, accélérant un dépôt de bilan rendu inévitable par des pressions économiques, juridiques et opérationnelles multiples. Ces incidents soulignent la nécessité pour les entreprises de renforcer leurs défenses cybernétiques et de planifier des réponses rapides aux attaques.

L’attaque de ransomware contre Stoli Group illustre l’impact dévastateur des cyberattaques sur les grandes entreprises. Elle montre comment ces incidents, combinés à des pressions économiques et juridiques, peuvent pousser des organisations autrefois solides à la faillite.

En France, même constat pour l’opérateur Octave placé en redressement à la suite d’une cyberattaque. Une attaque informatique qui a mis au tapis l’entreprise, mais aussi et surtout de nombreuses entreprises partenaires, et leur boutique en ligne, obligées de ressortir, crayon et papier en magasin physique. Certaines boutiques ont été relancée… 3 mois aprés l’attaque !

Abonnez-vous à la newsletter de ZATAZ.COM et rejoignez notre groupe WhatsApp pour rester informé des dernières actualités et des meilleures pratiques en matière de cybersécurité.