La justice géorgienne a arrêté, fin décembre 2025, Grigol Liluashvili, directeur des services secrets de la Géorgie entre 2020 et avril 2025, pour des faits de corruption. Il aurait notamment reçu des pots de vin pour protéger des centres d’arnaque en ligne, qui escroquaient des victimes dans le monde entier.
La plupart de ces infrastructures étaient liés à un groupe finançant des médias d’opposition, qui n’ont pas révélé ces activités cybercriminelles malgré leur connaissance des faits. D’autres opéraient sous la supervision directe d’un cousin de l’ancien directeur du renseignement, Sandro Liluashvili. Grigol Liluashvili aurait touché 1,4 million de dollars (1,2 million d’euros), acheminés par l’intermédiaire de ce dernier.
Début 2025, des journalistes d’investigation géorgiens ont découvert un important centre d’arnaque en ligne à Tbilissi, situé à quelques mètres du siège des services de sécurité de l’État. Fort de 85 employés, il aurait escroqué plus de 6 100 victimes depuis mai 2022, pour un butin supérieur à 35,3 millions de dollars (30 millions d’euros).
Projet de loi américain pour alourdir les peines contre les fraudes et usurpations d’identité commises à l’aide d’outils d’intelligence artificielle....
Orange Cyberdefense a publié, le 4 décembre 2025, l’édition 2026 de son enquête annuelle Security Navigator, qui pointe notamment une augmentation inquiétante de la cyberextorsion. Sur 139 000 incidents analysés dans le monde, les auteurs ont identifié 6 000 cas, en hausse de 44,5 % en un an. Cette recrudescence de la cyberextorsion atteint 54 % en France, 91 % en Allemagne, 82 % en Asie.
Le phénomène touche particulièrement les PME, qui représentent les deux tiers des victimes – faute de préparation ou parce qu’elles se croient moins exposées en raison de leur taille. Par secteur d’activité, la hausse des attaques est particulièrement marquée dans la finance et les assurances (+71 %), la santé (+69 %) et les transports (+67 %).
Les chercheurs d’Orange Cyberdefense s’inquiètent également de « la convergence d’intérêts des groupes paraétatiques, des hacktivistes et des organisations mafieuses numériques » pour mener des attaques contre des organisations occidentales. Ils saluent également l’efficacité croissante de la coopération judiciaire internationale et des partenariats public-privé dans le démantèlement des réseaux cybercriminels.
Aux États-Unis, le FBI a publié, le 25 novembre 2025, une mise en garde contre les fraudes visant à prendre le contrôle de comptes financiers. L’agence rapporte avoir reçu plus de 5 100 plaintes depuis janvier 2025, pour des pertes totales dépassant 262 millions de dollars (226 millions d’euros). Les cybercriminels ont eu recours à différentes techniques d’ingénierie sociale et de hameçonnage pour atteindre leurs objectifs.
« Une fois que les imposteurs ont accès aux comptes et en ont pris le contrôle, ils transfèrent immédiatement les fonds vers d’autres comptes détenus par des criminels, souvent liés à des portefeuilles de cryptomonnaies. Les sommes volées sont alors rapidement dépensées, et deviennent difficiles à retracer ou à récupérer », a déclaré le FBI.
Selon l’avis, l’usage de l’IA a permis aux cybercriminels d’accélérer le déploiement de leurs campagnes malveillantes et d’en accroître la crédibilité. À l’approche des fêtes de fin d’année, le FBI exhorte les citoyens américains à se méfier des attaques par ingénierie sociale utilisant des SMS, des appels téléphoniques et des e-mails.
La justice fédérale américaine a condamné, le 20 novembre 2025, les deux cofondateurs du mixeur de cryptomonnaie Samourai Wallet à des peines de prison. Keonne Rodriguez, 37 ans, et William Lonergan Hill, 67 ans, avaient plaidé coupable, en juillet 2025, d’avoir sciemment traité des transactions issues d’activités illégales pour un total de plus de 237 millions de dollars (206 millions d’euros).
Samourai Wallet a ainsi permis à des criminels de blanchir des fonds provenant notamment « du trafic de drogue, des marchés du darknet, de cyberintrusions, de fraudes en ligne, de services d’assassinat à la demande et même d’un site pédopornographique ». Keonne Rodriguez et William Lonergan Hill ont été condamnés respectivement à quatre et cinq ans de prison, assortis de trois ans de liberté surveillée et d’une amende de 250 000 dollars (217 000 euros).
Ils ont également dû restituer aux autorités les 6,3 millions de dollars (5,5 millions d’euros) de commissions issues de ces transactions illégales.
Le Département du Trésor des États-Unis a annoncé, le 12 novembre 2025, la création d’une « force d’intervention » pour lutter contre les réseaux de cyber-escroqueries en Asie du Sud-Est. Baptisée « Scam Center Strike Force », cette nouvelle entité rassemblera des agents et des juristes issus du Département de la Justice, des services secrets, du Département d’État et du FBI.
Elle aura pour mission « de démanteler les centres de fraude les plus notoires d’Asie du Sud-Est et d’en poursuivre les dirigeants, en se concentrant sur la Birmanie, le Cambodge et le Laos », lit-on dans le communiqué du Département du Trésor. Les agences associées pourront recourir à des sanctions, des saisies et des poursuites pénales contre les escrocs, mais aussi offrir « une forme de dédommagement » aux victimes.
Aux États-Unis, le gouvernement estime à près de 10 milliards de dollars (8,6 milliards d’euros) le préjudice total lié aux escroqueries sentimentales, aux investissements fictifs et aux plateformes crypto frauduleuses venues d’Asie du Sud-Est. Par ailleurs, comme le note John Hurley, haut responsable au Département du Trésor, « les réseaux criminels opérant depuis la Birmanie (…) se livrent à la traite d’êtres humains et contribuent à entretenir une guerre civile brutale ».
Europol a annoncé, le 5 novembre 2025, qu’une coalition policière internationale avait démantelé un vaste réseau de fraude à la carte bancaire. L’opération a donné lieu à plus de 60 perquisitions et 18 arrestations, principalement en Allemagne, mais aussi aux États-Unis, au Canada, à Singapour, au Luxembourg, à Chypre, en Espagne, en Italie et aux Pays-Bas.
Entre 2016 et 2021, les membres du réseau ont créé près de 19 millions de faux abonnements sur des sites web, en utilisant les données de cartes bancaires volées à plus de 4,3 millions de personnes dans le monde. Ces sites Internet, non référencés sur les moteurs de recherche, prélevaient sur les comptes des victimes de petits paiements récurrents, en utilisant des libellés de facturationflous.
Le réseau aurait exploité l’infrastructure de quatre prestataires de paiement allemands agréés pour blanchir ces transactions illicites, pour un montant total de plusieurs centaines de millions d’euros. Selon les enquêteurs, les criminels auraient bénéficié, pour accéder à ces entreprises, de l’aide rémunérée de six anciens employés – cadres, responsables de la conformité et gestionnaires de risques.
Des centaines d’applications Android exploitent le NFC pour voler des données bancaires, selon Zimperium, marquant une hausse inquiétante de la fraude sans contact.
Europol a annoncé, le 17 octobre 2025, que les polices lettones, autrichiennes et estoniennes avaient récemment démantelé un vaste réseau criminel de location de numéros de téléphone. Baptisée « Simcartel », l’opération a conduit à l’arrestation de sept suspects, dont cinq en Lettonie, épicentre du groupe criminel. Les forces de l’ordre ont appréhendé le chef présumé du groupe, démantelé cinq serveurs, et saisi 1 200 boîtiers SIM ainsi que 40 000 cartes SIM actives.
Selon Europol, ce réseau louait des numéros de téléphone à des criminels pour créer des faux comptes sur les réseaux sociaux et les applications de messagerie. Ces comptes frauduleux ont permis aux malfaiteurs de commettre divers crimes, notamment du hameçonnage, des fraudes, des extorsions, du trafic de migrants, ainsi que la diffusion de contenu pédopornographique.
Selon les enquêteurs, ce service cybercriminel aurait permis plus de 3 000 fraudes, principalement en Autriche et en Lettonie, pour un préjudice total estimé à plus de 5 millions d’euros.
La junte birmane saisit 30 terminaux Starlink dans un centre de cyberfraude, exposant l’usage du réseau satellitaire dans les arnaques transnationales....
Le ministère américain de la Justice (DoJ) a annoncé, le 14 octobre 2025, avoir saisi 130 000 bitcoins (12,9 milliards d’euros) dans le cadre d’une opération contre un réseau transnational d’arnaques financières en ligne. Il s’agit de la plus importante saisie financière de l’histoire des États-Unis.
Menée conjointement avec les autorités britanniques, cette opération a frappé Prince Holding Group : cette entreprise criminelle opérant depuis le Cambodge est dirigée par Chen Zhi, actuellement en fuite. Sur la seule année 2024, l’organisation aurait soutiré au moins 10 milliards de dollars (8,6 milliards d’euros) à des milliers de victimes dans le monde, principalement aux États-Unis.
Prince Holding Group dispose de bases opérationnelles dans une trentaine de pays, dont une à New York. Ces centres exploitent souvent des travailleurs étrangers privés de leurs passeports, dans des conditions inhumaines.
La Banque centrale européenne (BCE) a annoncé, le 2 octobre 2025, la signature d’un contrat de quatre ans avec la start-up portugaise Feedzai, portant sur la sécurisation du futur euro numérique. Spécialiste de la détection de fraude par IA, la jeune pousse vient d’annoncer une nouvelle levée de fonds de 75 millions d’euros, portant sa valorisation à 2 milliards d’euros.
En collaboration avec son sous-traitant PwC, Feedzai devra développer et fournir des algorithmes de détection des transactions suspectes en temps réel. Le contrat avec la BCE pourrait atteindre 237,3 millions d’euros au maximum.
Le cadre législatif de l’euro numérique est encore en discussion au niveau européen. Son lancement est envisagé pour juin 2026, avec un déploiement prévu d’ici 2029.
Le tribunal judiciaire de Lyon a condamné, le 26 septembre 2025, Timothée Lhomond à six ans de prison ferme et 30 000 euros d’amende pour avoir piloté le piratage d’Adecco en 2022. Les quinze autres prévenus jugés en juin 2025 ont reçu des peines allant de six mois à trois ans de prison. Un stagiaire d’Adecco, qui avait fourni l’accès à une base de données à l’origine de la cyberattaque, a été condamné à deux ans de prison, dont un avec sursis.
Grâce à cette fuite, Timothée Lhomond a pu déclencher des milliers de virements d’environ 50 euros, pour un total dépassant 1,5 million d’euros. Dans l’énoncé du verdict, la présidente du tribunal a souligné la « multitude d’escroqueries sophistiquées » orchestrées par l’accusé, ainsi que ses tentatives de subornation de témoins depuis sa cellule.
Une partie des particuliers escroqués a déjà reçu des indemnisations comprises entre 50 et 500 euros. Fin novembre 2025, une nouvelle audience statuera sur les demandes des institutions victimes.
Alors que le cybermois à pour objectif de sensibiliser aux cybermenaces et aux bons réflexes pour s’en protéger, il est utile de se demander à qui s’adresser quand une cyberattaque survient. Lorsqu’une organisation est confrontée à une cyberattaque, elle peut s’adresser à plusieurs structures publiques selon la nature de l’incident et le niveau d’urgence : 17Cyber.gouv.fr / Cybermalveillance.gouv.fr pour les victimes non régulées (TPE, PME, collectivités, particuliers), les CSIRT régionaux, l’ANSSI pour les opérateurs régulés, la Gendarmerie nationale et la Police nationale pour l’aspect judiciaire.
17Cyber, la porte d’entrée grand public et professionnelle
Depuis décembre 2024, le réflexe prioritaire pour les victimes de cyberattaques s’appelle 17Cyber.gouv.fr. Accessible en continu, ce portail est le fruit d’une collaboration entre la Police nationale, la Gendarmerie nationale et le site Cybermalveillance.gouv.fr. Il fournit un questionnaire de diagnostic, propose des mesures de confinement adaptées et, au besoin, oriente vers un prestataire référencé.
« Le 17Cyber s’adresse aux particuliers et aux organisations (collectivités et entreprises) non régulées. Sa mission première est d’assister les victimes d’actes de cybermalveillance. Sa deuxième mission est la prévention : production de contenus dédiés, campagnes de sensibilisation… Enfin, son troisième but est d’observer la menace, ce qui alimente les deux premiers », déclare Jérôme Notin, Directeur général de Cybermalveillance.gouv.fr, à l’occasion du forum INCYBER des territoires qui a eu lieu en mai dernier au Creusot.
Historiquement (avant le 17 décembre 2024), le 17Cyber se contentait d’accueillir les victimes, de qualifier la menace via un questionnaire, de leur prodiguer des conseils adaptés et, dans certains cas, de les mettre en relation avec un des 1 200 prestataires de proximité référencés (dont 200 sont labellisés). « Plus de 86 % des entreprises, 24 heures sur 24 et 7 jours sur 7, trouvaient un prestataire en capacité de les accompagner en moins d’une heure », précise Jérôme Notin.
Depuis le 17 décembre 2024, grâce au ministère de l’Intérieur, la victime se voit proposer, dans les cas qui le nécessitent, d’échanger avec un policier ou un gendarme sur l’aide à la judiciarisation. « Il est fondamental que les victimes puissent déposer plainte pour, potentiellement, identifier les auteurs et faire cesser l’infraction. Cela permet aussi à la puissance publique d’avoir connaissance de l’impact de ces faits de cybermalveillance », note Jérôme Notin.
Les CSIRT territoriaux, des relais de proximité
Issus de la volonté de l’ANSSI en 2021 de développer un maillage territorial et financés par le plan France Relance, 15 CSIRT territoriaux (Computer Security Incident Response Team) couvrent désormais l’ensemble des territoires métropolitain et d’outre-mer. Ils traitent les demandes d’assistance des acteurs de taille intermédiaire (PME, ETI, collectivités territoriales et associations) et les mettent en relation avec des partenaires de proximité : prestataires de réponse à incident et partenaires étatiques. L’émergence de ces CSIRT territoriaux doit permettre de fournir localement un service de réponse à incident de premier niveau gratuit, complémentaire de celui proposé par les prestataires, la plateforme Cybermalveillance.gouv.fr et les services du CERT-FR (Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques) qui dépendent de l’ANSSI.
« Au sein de la région Bourgogne Franche-Comté, notre rôle principal est l’aide à la remédiation et la gestion d’incident. Quand une victime nous appelle, nous déroulons avec elle une fiche réflexe en fonction de la typologie de l’incident (messagerie compromise, déni de service, etc.). Par la suite, la région a souhaité que nous étendions nos actions à travers de l’alerting. Cela consiste à repérer des vulnérabilités sur des sites de collectivités ou d’entreprises et à les prévenir. Nous menons aussi beaucoup d’actions de sensibilisation et animons la filière cyber régionale », explique Sébastien Morey, Responsable du CSIRT Bourgogne Franche-Comté.
Organismes régulés : l’ANSSI comme interlocuteur
Quant aux opérateurs d’importance vitale (OIV) et opérateurs de services essentiels (OSE), ils dépendent de l’ANSSI en cas de cyber incident. « Mais l’entrée en vigueur de NIS2 élargit considérablement le périmètre des entreprises régulées, avec les entités essentielles (EE) et importantes (EI). Nous passons d’environ 500 entreprises à près de 15 000. Nous allons donc travailler très étroitement avec Cybermalveillance.gouv.fr et le 17Cyber », précise Véronique Brunet, Déléguée de l’ANSSI pour la région Bourgogne Franche-Comté.
« Au quotidien, je travaille énormément avec la gendarmerie et le CSIRT Bourgogne Franche-Comté. Nous échangeons beaucoup d’informations sur les incidents. Nous veillons aussi à ce que chacun d’entre nous puisse aider les victimes à porter plainte et à faire leur déclaration au CSIRT ou au CERT-FR. Parfois, même si l’entité n’est pas un OIV ou un OSE, nous estimons que ses missions sont stratégiques pour la défense de la nation et faisons une déclaration au CERT-FR. Cela permet de lui apporter une aide complémentaire à celle des autres organismes », note Véronique Brunet.
Quant aux établissements de santé, organismes et services exerçant des activités de prévention, de diagnostic ou de soins, ainsi que les établissements et services médico-sociaux, ils disposent d’un relais dédié : le CERT Santé. Joignable par téléphone et via le portail de signalement du ministère, le centre assure une astreinte permanente et publie des fiches réflexes opérationnelles. Un établissement de santé doit déclarer tout incident susceptible d’affecter la disponibilité, l’intégrité ou la confidentialité d’un système d’information critique, même si le service est assuré par un sous-traitant.
Notification CNIL : un impératif réglementaire
Enfin, dès qu’une violation implique des données à caractère personnel, la CNIL doit être notifiée dans les 72 heures après détection, même si toutes les informations ne sont pas encore consolidées. La télé-procédure « Notifier une violation » gère la déclaration initiale puis, au besoin, les compléments. En présence d’un risque élevé pour les personnes concernées (données de santé, identifiants bancaires, mineurs), l’entreprise doit également les informer individuellement sans délai excessif. Les retards non justifiés exposent à des amendes administratives pouvant atteindre 2 % du chiffre d’affaires mondial.
Connexion
