Je m'abonne
Fermer
Fermer
Actualités Nos Numéros Nos Dossiers Grands Entretiens La recherche
A propos de la revue Nous contacter

Je m'abonne
Accueil
Les écosystèmes cybercriminels
Une approche systémique de la délinquance numérique
Par Éric Freyssinet
Aux antipodes de la figure du hacker solitaire, la cybercriminalité implique de multiples acteurs qui se spécialisent selon une logique de division du travail. Si certains groupes présentent une organisation stable et hiérarchisée qui peut rappeler celle d’une entreprise, les outils numériques permettent également des collaborations plus ponctuelles au sein de cet écosystème.
Datadome

Prenons un exemple concret : en 2023, l’installation d’un simple infostealer1 comme RedLine nécessite l’intervention d’au moins six acteurs différents. Un développeur conçoit le malware, un gestionnaire de trafic (TDS, traffic distribution system2) génère des clics sur des liens ou l’affichage de pages Web, puis une plateforme d’exploits installe le malware sur l’appareil de la victime. Les données sont ensuite collectées puis revendues sur des places de marché, avant de servir à d’autres groupes pour de l’hameçonnage bancaire.

Cette chaîne illustre les limites de l’approche traditionnelle de la cybercriminalité telle qu’elle était généralement pratiquée il y a dix ans. Les analystes se concentrent trop souvent sur les aspects purement techniques : décortiquer le code malveillant, cartographier les infrastructures, identifier les vulnérabilités. Mais cette approche passe à côté de l’essentiel : la logique systémique qui organise ces activités.

Parallèlement, nos cadres juridiques peinent à appréhender ces nouvelles réalités. La Convention de Palerme définit le “groupe criminel organisé” comme “un groupe structuré de trois personnes ou plus, existant depuis un certain temps et agissant de concert dans le but de commettre une ou plusieurs infractions graves”, une définition qui présuppose une stabilité temporelle et une structure formelle qui ne correspondent plus à la réalité mouvante du cybercrime contemporain. Ces écosystèmes cybercriminels se caractérisent au contraire par leur fluidité, leurs recombinaisons permanentes et l’absence de connaissance mutuelle directe entre acteurs, défiant ainsi les catégories juridiques établies.

C’est pourquoi une approche systémique s’impose : celle des écosystèmes cybercriminels.

 

Définition et caractéristiques

 

Pour comprendre cette réalité complexe, il convient d’abord de définir ce qu’est un écosystème cybercriminel. Il désigne l’ensemble des acteurs, outils, infrastructures et interactions qui gravitent autour d’une activité malveillante donnée. Cette approche reconnaît que les relations entre membres sont fluides : ils ne se connaissent pas nécessairement et peuvent changer de partenaires du jour au lendemain, mais travaillent néanmoins de concert pour obtenir un résultat.

Le concept de “botnet étendu”3 illustre parfaitement cette généralisation. Traditionnellement, un botnet4 se limite au réseau de machines infectées. Dans une approche écosystémique, il englobe l’ensemble des acteurs nécessaires : logiciel malveillant, plateformes de distribution, campagnes d’installation, personnes impliquées.

Au-delà de cette définition, l’observation de ces écosystèmes révèle plusieurs caractéristiques qui se retrouvent systématiquement. D’abord, leur dimension internationale conserve paradoxalement des groupements linguistiques, les opérations mondiales maintenant des affinités culturelles. Ensuite, on observe une évolution individuelle des acteurs, une progression du débutant vers le spécialiste chevronné qui structure ces communautés. La motivation financière domine, contrastant avec les hacktivistes des années 2000. Enfin, la fluidité des partenariats multiplie les ruptures de traçabilité, rendant l’identification des responsabilités particulièrement complexe.

 

Cas concrets et applications

 

Cette théorisation prend tout son sens à travers des exemples concrets. Les stalkerware offrent ainsi un cas d’étude particulièrement éclairant. Contrairement aux malwares traditionnels, ils se présentent comme des outils légitimes, commercialisés par de réelles entreprises enregistrées. Leur diffusion ressemble à celle de produits commerciaux : sites web, marques, publicités Google Ads, camouflés par des intentions de “protection des enfants”.

Dans le cadre de recherches menées au LORIA par Sébastien Larinier, nous analysons la collecte d’informations des sites de vente, le langage commercial utilisé, les liens techniques entre familles de malwares (code, parfois certaines infrastructures) et les flux financiers associés.

On rencontre aussi parfois des interconnexions profondes entre des phénomènes apparemment distincts. L’installation d’un infostealer comme Vidar peut se faire via un botnet spammeur ou un dropper distribué par des groupes de distribution de trafic. Chaque composant se spécialise, devenant performant dans sa fonction sans lien direct avec l’infraction finale. Cette spécialisation multiplie les ruptures dans la chaîne de responsabilité.

La diversité organisationnelle de ces écosystèmes mérite également d’être soulignée. Le spectre va des partenariats fluides aux structures lourdes. Autre forme de cybercriminalité, le “pig butchering5 illustre cette dernière catégorie : escroqueries industrialisées avec des exécutants respectant des scripts fixes, placés dans des centres de travail forcé avec confiscation de passeport en Asie du Sud-Est ou au Moyen-Orient.

 

Enjeux géopolitiques et zones grises

 

Une dimension particulièrement troublante de ces écosystèmes réside dans le flou croissant entre criminalité et espionnage étatique. Certains États laissent proliférer la délinquance tant qu’elle ne vise pas leur territoire, pour développer des compétences nationales ou déstabiliser des concurrents. Inversement, certaines actions d’espionnage sont financées par des activités criminelles, comme l’illustrent les activités du groupe Lazarus6 associé à la Corée du Nord.

Cette dimension géopolitique complique considérablement la lutte contre ces écosystèmes opérant dans un contexte international. Les frontières entre délinquance et actions étatiques s’estompent, créant des zones grises juridiques qui défient nos catégories traditionnelles d’analyse.

 

Implications pour la lutte et les investigations

 

Face à cette complexité, l’approche écosystémique transforme nécessairement les stratégies de lutte. Au lieu de cibler des composants techniques isolés, elle identifie des points de vulnérabilité plus efficaces dans l’ensemble du système. Les stratégies actuelles visent à rendre les actions malveillantes coûteuses et risquées, puis à identifier les acteurs pour idéalement les interpeller.

Les démarches opérationnelles combinent aujourd’hui démantèlement d’infrastructures, identification d’acteurs, saisie d’avoirs criminels (y compris sur blockchains), et sanctions compliquant la vie des délinquants non arrêtés.

Cette évolution impose également une adaptation profonde des méthodes d’enquête. Ce foisonnement d’acteurs crée en effet trois obstacles majeurs. Le brouillage des pistes s’intensifie : plus d’intermédiaires compliquent la remontée, imposant parfois d’observer l’ensemble du phénomène plutôt que de suivre des faits isolés. Les recombinaisons permanentes bouleversent les habitudes : les configurations changent constamment, obligeant parfois à s’attaquer à un “métier” criminel plutôt qu’à un type de malveillance. Enfin, la fermeture croissante des espaces d’interaction complique l’accès aux preuves : les interactions se font dans des forums où les enquêteurs n’ont pas accès, rendant les enquêtes sous pseudonyme, voire la copie de ces serveurs, indispensables.

Cette réalité impose aussi une adaptation du cadre juridique lui-même. Les définitions actuelles de criminalité organisée ne correspondent pas à ces écosystèmes. Il faudrait créer un critère supplémentaire : celui d’une multiplicité d’acteurs se rendant mutuellement des services, sans connaissance mutuelle directe ni stabilité temporelle.

 

Conclusion : vers une recherche collaborative

 

Cette approche s’inscrit dans une dynamique collaborative, notamment dans le cadre du projet Defmal du PEPR Cybersécurité7. L’enjeu n’est plus seulement de comprendre les aspects techniques des cyberattaques, mais de saisir les logiques systémiques qui les sous-tendent. Les approches des sciences humaines et sociales se révèlent indispensables pour compléter la vision technique (analyse des organisations, de la langue, des échanges économiques, etc.).

Cette approche écosystémique ouvre de nouvelles perspectives pour la recherche académique et l’action opérationnelle, en offrant une grille de lecture plus complète de la délinquance numérique contemporaine.

1. Un infostealer est un logiciel malveillant conçu pour dérober des données de la machine infectée (mots de passe sauvegardés dans le navigateur, clés privées associées à des portefeuilles de cryptomonnaies, etc.) afin de les envoyer à un serveur contrôlé par l’attaquant.
2. Les TDS utilisent diverses méthodes (hameçonnage, publicités malveillantes, etc.) pour amener des victimes à visiter des sites malveillants gérés par d’autres acteurs.
3. Lutte contre les botnets : analyse et stratégie, Éric Freyssinet, 2015 – https://bit.ly/40IseVd
4. Un botnet est un ensemble de machines infectées par un même logiciel malveillant contrôlé par un attaquant. Les botnets sont notamment utilisés pour lancer des attaques par déni de service distribué, lors desquelles toutes les machines infectées envoient des requêtes à un même serveur pour le surcharger.
5. Le “pig butchering” désigne un type d’escroquerie dans lequel la victime est incitée à donner des sommes croissantes d’argent sur une longue période, par exemple à travers une fausse romance.
6. Groupe d’attaquants auquel sont notamment attribués le piratage de Sony Pictures Entertainment en 2014, le vol de 81 millions de dollars à la Banque centrale du Bangladesh en 2016 et la diffusion du rançongiciel WannaCry en 2017.
7. https://bit.ly/4feuQQM – financé par le programme France 2030
Éric Freyssinet
Éric Freyssinet
Officier général de gendarmerie, conseiller senior auprès du chef du Commandement du ministre de l’Intérieur dans le cyberespace, ancien commandant en second de la gendarmerie dans le cyberespace, Éric Freyssinet compte vingt-sept ans de carrière dans différents postes à responsabilité dans le champ de la lutte contre la cybercriminalité. Ingénieur de formation (École polytechnique, X92), il complète sa formation en 2000 par un mastère spécialisé en sécurité des systèmes d’information et des réseaux (Télécom Paris), et en 2015 par une thèse de doctorat en informatique sur la lutte contre les botnets (Université Paris 6).
196 vues
0 commentaires
Les plus lus
Jean-Pierre Farandou (P76)
LE FER CONTRE LE CARBONE
François Braun
"LE SYSTÈME DE SANTÉ N’EST PAS EN CRISE, IL EST EN MUTATION"
L'ingénierie des données de santé en France
Les enjeux des startups medtech
Profils, réglementation et marché
Concurrence : fin du monopole SNCF et règles du jeu en Europe
par Cyprien d'Harcourt (P14)
Le dossier du moment
Datadome
Réindustrialisation et décarbonation
Des impératifs irréconciliables ?
Par Julien Legrand (P12),
directeur Excellence Opérationnelle chez Saint-Gobain
Contribuer à la Revue

La Revue des Mines est produite grâce au temps de ses bénévoles et à ses contributeurs. Pour nous rejoindre, écrivez-nous !

Contribuer
Datadome
Article précédent

Le regard décalé

A digitally generated image featuring a hacker wearing pirate style glasses attempting to crawl through a computer monitor, symbolizing unauthorized access, digital threats, and cybersecurity breaches. This imaginative and symbolic design represents the dangers of cyberattacks and the importance of strong digital protection, making it ideal for cybersecurity, IT security awareness, and data protection themes.
Article suivant

Une attaque vécue de l’intérieur

par Frédéric Didier