Rançongiciels, des « écosystèmes criminels organisés »

Vous êtes ici

Sociétés [2]

Numérique [3]

Informatique [4]

^-A [5] ⁺A [5]

article

Rançongiciels, des « écosystèmes criminels organisés »

28.05.2026, par

Matthieu Stricot [6]

Temps de lecture : 10 minutes

Illustration microprocesseur électronique avec une main rouge signifiant « STOP »

Les rançongiciels (« ransomwares ») sont des programmes informatiques malveillants, qui évoluent dans un écosystème où s’entremêlent criminalité, cyberespionnage et désinformation. Décryptage.

Vous êtes l’auteur d’un article1 qui classe les rançongiciels (ou ransomwares) comme l’une des principales cybermenaces pour les individus, les entreprises, les organisations et les États. Comment fonctionnent-ils ?

Jean-Yves Marion2 Les rançongiciels sont des programmes malveillants (ou malwares) conçus pour extorquer de l’argent en bloquant l’accès à des systèmes ou à des données, généralement en échange d’un paiement en cryptomonnaie [7]. Concrètement, une attaque commence par une intrusion, puis se propage à l’intérieur du système informatique à travers les ordinateurs, serveurs, téléphones, box et autres objets connectés.

Les attaquants cherchent à étendre leurs accès, à collecter et exfiltrer des données sensibles, et peuvent ensuite chiffrer tout ou partie des systèmes, bien que certaines attaques reposent uniquement sur la menace de divulgation. L’objectif n’est donc pas seulement de perturber un système, mais de créer une situation de pression sur la victime, en combinant indisponibilité des données et risque de fuite d’informations.

Le monde des ransomwares a considérablement évolué ces dernières années. Pouvez-vous expliquer le modèle actuellement dominant du Ransomware-as-a-Service (RaaS) ?

J.-Y. M. Les rançongiciels fonctionnent aujourd’hui comme de véritables écosystèmes criminels structurés. Les acteurs communiquent et recrutent via différents canaux, notamment des forums spécialisés ou des messageries telles que Telegram. Pour étudier ces milieux, nous exploitons diverses sources, comme les fuites internes de certains groupes criminels, mais aussi des données collectées sur le dark web, représentant plusieurs dizaines de millions de messages.

Le modèle Ransomware-as-a-Service repose sur une forte spécialisation des tâches. Certains groupes développent les outils malveillants, d’autres vendent des accès compromis à des systèmes informatiques ou assurent la négociation des rançons. Cette organisation modulaire rend ces structures particulièrement résilientes. Lorsqu’un service est démantelé, le reste de l’écosystème peut continuer à fonctionner. Les groupes de rançongiciels ne réalisent d’ailleurs pas toujours eux-mêmes les attaques. Ils s’appuient souvent sur des affiliés, rémunérés en fonction du succès des opérations.

Illsutration d’écosystème de rançongiciels

L’écosystème du rançongiciel.

Cet écosystème s’appuie également sur des services techniques spécialisés, comme les Crypters-as-a-Service, dont l’objectif est de rendre les programmes malveillants difficiles à détecter par les antivirus et les systèmes de défense. Ces services utilisent des techniques d’obfuscation FermerL’obfuscation (qui peut se traduire par « dissimulation ») de code consiste à rendre un code informatique le plus difficilement compréhensible possible par un être humain, tout en le laissant parfaitement fonctionnel.avancées pour générer rapidement de nouvelles variantes de malwares capables d’échapper aux défenses. Pour suivre ces évolutions, nous développons Binomics, une plateforme qui « séquence » les malwares afin d’analyser leurs transformations.

Les modèles de rançongiciels, multiples, dépassent toutefois ce type d’organisations.

J.-Y. M. Oui, et c’est précisément ce qui rend ces phénomènes complexes à analyser. On observe aujourd’hui une diversification des acteurs et des objectifs. À côté des grands écosystèmes structurés, on voit réapparaître des acteurs plus isolés ou opportunistes, notamment dans certaines affaires récentes de vols et de divulgations de données

Les frontières entre cybercriminalité, espionnage et déstabilisation deviennent également de plus en plus poreuses. Certains groupes peuvent agir avec le soutien direct ou indirect d’États. La Corée du Nord est souvent citée comme exemple d’un usage du cybercrime à des fins de financement ou de pression stratégique.

Enfin, il devient important de ne plus considérer séparément les rançongiciels, le cyberespionnage et la désinformation. Une fuite de données issue d’une attaque peut ensuite alimenter des campagnes de manipulation, de déstabilisation ou de perte de confiance.

Les cinq principales étapes d’une attaque de rançongiciel.

Quelles sont les tactiques utilisées par les opérateurs de ransomwares ?

J.-Y. M. Le fonctionnement est assez similaire à celui d’un malware. Le processus démarre par une étape de reconnaissance, pour connaître les victimes et, par exemple, le montant de leurs revenus. Les pirates ont la capacité d’obtenir des informations personnelles avant d’envoyer un e-mail de phishing (hameçonnage) personnalisé à la cible.

Ensuite, l’étape cruciale consiste à entrer dans le système. La première méthode consiste à utiliser l’ingénierie sociale3 ou à exploiter des fuites de mots de passe. La seconde est liée aux vulnérabilités. Les systèmes informatiques peuvent contenir des erreurs de conception qu’on peut exploiter afin de s’y introduire. Une méthode avancée peut consister à atteindre le composant d’un logiciel à travers ses fournisseurs, en amont4. Une fois à l’intérieur d’un système, les pirates lancent la dernière étape en désactivant les sécurités, en restant discrets et en installant des portes dérobées pour s’évader si besoin. Ils peuvent ainsi avancer toujours plus loin dans l’attaque.

Une fois le méfait opéré, comment les organisations se répartissent-elles les gains ?

J.-Y. M. Pour des groupes bien structurés, soit le groupe récupère la rançon et reverse à ses affiliés, soit l’inverse. Ce partage est parfois défini par des contrats, plus ou moins respectés. Ces mécanismes sont toujours extrêmement difficiles à analyser, car tout se déroule généralement à distance, au sein d’écosystèmes clandestins où l’absence de cadre favorise les asymétries d’information et les risques de fraude5.

La phase de blanchiment vise à atténuer la traçabilité des transactions. Elle mobilise des intermédiaires qui fragmentent les flux et compliquent leur attribution.

Des personnes dans les bureaux d’Interpol à Singapour, on voit écrit sur un écran géant «Interpol, Cybercrime intelligence Unit»

Cellule de lutte contre la cybercriminalité dans les bureaux d’Interpol à Singapour (janvier 2026).

Comment peut-on se protéger contre ces organisations ?

J.-Y. M. La première ligne de défense reste simple : maintenir ses logiciels à jour et adopter de bonnes pratiques, comme l’utilisation d’un gestionnaire de mots de passe. En parallèle, les forces de l’ordre et la justice mènent un travail essentiel de démantèlement, notamment à travers des opérations internationales ciblant à la fois les infrastructures criminelles, leurs affiliés et les acteurs solitaires.

Au Laboratoire lorrain de recherche en informatique et ses applications, nous contribuons à cet effort en collaboration avec les forces de l’ordre, le ministère de la Justice et Europol. Nos travaux reposent sur une approche systémique : nous développons des méthodes d’analyse, de détection et d’investigation des programmes malveillants. Nous étudions également les capacités offensives, car il est indispensable de comprendre et d’anticiper les modes opératoires des attaquants pour mieux s’en défendre.

Mais, surtout, ces phénomènes relèvent aussi de dynamiques économiques, sociales et juridiques. C’est pourquoi nous menons des travaux interdisciplinaires avec des sociologues, des juristes et des criminologues, afin de mieux comprendre la structuration et le fonctionnement de ces organisations. Nous organisons dans cet esprit une école internationale de cybercriminologie6. Nos observations s’appuient également sur des échanges avec les services de police, ce qui permet de confronter les analyses académiques aux réalités du terrain.

Écran de smartphone affichant le site Lockbit, le smartphone est posé sur le clavier d'un ordinateur portable.

En 2024, la coopération entre les services de police de plusieurs pays a permis de prendre le contrôle du site de hackers LockBit, spécialisé dans les rançongiciels et qui s’attaquait à différentes organisations et sociétés.

L’intelligence artificielle pourrait-elle transformer le modèle des ransomwares ?

J.-Y. M. L’intelligence artificielle est déjà utilisée, notamment dans l’ingénierie sociale, pour automatiser et personnaliser des attaques comme le phishing. Elle contribue aussi à abaisser le niveau d’expertise technique requis, en facilitant certaines étapes de préparation des attaques. Mais la transformation la plus profonde pourrait venir de l’émergence d’agents autonomes capables, qui pourraient progressivement remplacer certains rôles aujourd’hui tenus par des affiliés humains.

Cette évolution soulève aussi un enjeu majeur de recherche. Nous travaillons sur un observatoire des usages malveillants de l’IA, afin de mieux comprendre comment ces technologies transforment les chaînes d’attaque et, plus largement, les stratégies de déstabilisation. Aujourd’hui, une cyberattaque ne vise plus uniquement à perturber un système informatique. Les systèmes compromis et les données volées peuvent être exploitées dans des opérations d’influence et de manipulation. Comprendre ces phénomènes demande donc de croiser plusieurs approches – informatiques, sociales, informationnelles et géopolitiques – afin d’analyser l’ensemble de la chaîne, depuis l’intrusion informatique jusqu’à l’exploitation cognitive dans l’espace informationnel.

Consultez aussi
Rançongiciels : la recherche passe à l’offensive [14]
Escroqueries téléphoniques : peut-on déjouer les arnaques ? [15] (blog Dialogues économiques)
Un logiciel, des milliards de possibilités [16]

Notes

1. Jean-Yves Marion, « Ransomware: Extortion Is My Business », Communications of the ACM, 2025 : https://doi.org/10.1145/3697829 [17]
2. Professeur à l’université de Lorraine et membre du Laboratoire lorrain de recherche en informatique et ses applications (Loria, unité CNRS/Université de Lorraine).
3. Dans le contexte des rançongiciels, l’ingénierie sociale consiste à manipuler psychologiquement un utilisateur pour l’amener à exécuter lui-même l’action qui déclenche l’infection.
4. Lorsqu’une attaque est menée sur la chaîne logistique logiciel, une application piratée qui tourne sur un ordinateur ou un téléphone peut embarquer avec elle un tas d’autres logiciels tiers, appelés « librairies ». Dès que l’application est mise en route sur un appareil, toutes les données sont exfiltrées. Ce sujet est d’actualité avec le Cyber Resilience Act, un règlement européen qui demande que les entreprises soient en capacité de préciser tout ce qui tourne dans leur système, du point de vue logiciel comme matériel, visant ainsi à renforcer la cybersécurité des produits comportant des éléments numériques commercialisés dans l’Union européenne.
5. Les observations montrent que les marchés de Crypter-as-a-Service sont marqués par un fort risque de fraude, conduisant à la mise en place de mécanismes de régulation informels. En particulier, les vendeurs doivent fournir un dépôt de garantie pour accéder aux transactions, permettant d’indemniser les acheteurs en cas de service non conforme.
6. Voir : https://cybercriminology-nancy.fr [18]