Un pirate affirme avoir exfiltré plus de deux millions d’enregistrements depuis des services liés à l’Office Français de l’Immigration et de l’Intégration, via le portail de l’Administration Numérique des Étrangers en France. Les données évoquées incluraient des informations d’identité, des coordonnées personnelles et des éléments administratifs sensibles, dont des numéros de dossiers et de titres de séjour.
Des échantillons circulant en ligne, datés de 2023 et 2024, laissent penser à des données authentiques, sans permettre à ce stade de mesurer précisément l’ampleur ni la période exacte concernée. Si les faits étaient avérés, cette fuite ferait peser des risques élevés d’usurpation d’identité et de fraude ciblée sur une population déjà vulnérable.
Les autorités n’ont, pour l’heure, pas communiqué officiellement. Une enquête serait en cours. La prudence est recommandée aux usagers concernés face à toute sollicitation suspecte.
Une cyberattaque a paralysé, dans la nuit du 31 décembre au 1er janvier 2026, les services en ligne du groupe La Poste, notamment le site laposte.fr et l’espace client de La Banque Postale. Le suivi des colis ou la consultation des comptes en ligne sont restés indisponibles pendant quelques heures, avant un rétablissement des services dans le courant de la journée du 1er janvier. Aucune compromission de données n’est évoquée. La thèse d’une attaque DDoS semble donc la plus plausible.
Cet incident est survenu moins d’une semaine après une première attaque d’envergure contre le groupe, entre les 22 et 26 décembre 2025. Revendiquée par le collectif hacktiviste prorusse NoName057(16), elle avait notamment perturbé la livraison de colis autour de Noël. L’enquête des autorités françaises sur cette première attaque est toujours en cours.
Les faits remontent au 29 septembre dernier, quand l’entreprise Asahi constate les dysfonctionnements de son système d’information. La panne, causée par un rançongiciel, provoque une interruption immédiate et généralisée de l’activité. La réception des commandes, l’expédition des produits et la production sont bloquées dans la plupart des usines au Japon. Retour au papier et au crayon : les employés sont obligés de traiter manuellement les commandes concernant certains produits, comme en témoigne un article du quotidien nippon Mainichi Shimbun.
Asahi Group Holding est né en 1889 à Sumida, un quartier de Tokyo. Bien que son activité ait démarré par une petite brasserie, il se classe aujourd’hui parmi les plus grands groupes brassicoles au monde en termes de ventes en volume. Il possède un large éventail de marques internationales, comme Asahi Super Dry, Peroni Nastro Azzurro, Grolsch, Pilsner Urquell, Tyskie pour les bières. L’entreprise possède également des filiales dans le secteur des spiritueux (Nikka Whisky), des softs (Asahi Soft Drinks) et des produits alimentaires (Asahi Group Foods). Le groupe a déclaré plus de 9 milliards de dollars de chiffre d’affaires pour le premier semestre 2025 et possède environ 30 usines à travers le Japon.
Attaquer Asahi, ce n’est pas attaquer n’importe quelle entreprise. En tant que seul producteur nippon de bière, le groupe est un symbole national et un pilier de l’industrie agroalimentaire. L’interruption brutale de l’activité a créé un risque de pénurie dans les supermarchés, les bars et les restaurants. Retour sur une cyberattaque aux allures d’avertissement pour le Japon industriel..
De l’eau dans le gaz pour Asahi
L’attaque a débuté par une intrusion ciblée dans les systèmes de l’entreprise. Les attaquants ont d’abord exploité une vulnérabilité (celle-ci n’a pas été communiquée par l’entreprise) pour obtenir un accès initial, avant de se déplacer latéralement à travers le réseau. Leur objectif principal ? Atteindre et chiffrer les serveurs critiques qui gèrent la chaîne d’approvisionnement et la logistique au Japon. Cette phase d’infiltration a culminé par l’exécution du rançongiciel, paralysant instantanément les systèmes de passation des commandes, de gestion des stocks et de distribution de sa marque phare, l’Asahi Super Dry.
L’impact opérationnel se révèle immédiat et dévastateur. La paralysie des systèmes informatiques a rendu la distribution impossible, forçant l’entreprise à suspendre temporairement les livraisons et à mettre à l’arrêt plusieurs brasseries japonaises. Dans l’urgence, Asahi a été contraint de revenir à des méthodes manuelles (prise de commandes par fax et téléphone) pour tenter de maintenir un minimum d’activité. Des données personnelles ont potentiellement pu être volées, et Asahi a dû organiser une enquête interne pour tenter de le déterminer. Économiquement, l’entreprise a subi des pertes importantes en raison de la production interrompue et des ventes manquées (même s’il n’y a pas encore d’informations communiquées sur l’impact de l’incident sur le chiffre d’affaires). L’attaque a également entraîné des coûts de remédiation considérables pour restaurer les systèmes, sans compter les risques liés à l’exfiltration de données sensibles
Au-delà des pertes financières directes, l’attaque a eu un effet retentissant sur l’image de marque d’Asahi et sur la perception de la sécurité au Japon. La rareté soudaine de l’Asahi Super Dry, considérée comme une boisson nationale, a créé un choc médiatique et a servi de signal d’alarme sur la vulnérabilité des infrastructures industrielles japonaises face au rançongiciel. Cet événement, survenu peu après d’autres incidents majeurs, a intensifié la pression sur le gouvernement et les grandes entreprises pour moderniser et renforcer leurs défenses cyber. Asahi place désormais la confiance – pilier de la culture japonaise – et la résilience cyber au cœur de sa stratégie.
Qui veut faire trinquer Asahi ?
Qilin, un groupe cybercriminel d’origine présumée russe, a rapidement revendiqué l’attaque. Identifié pour la première fois en 2022, il opère sur un modèle Ransomware-as-a-Service (RaaS), ce qui signifie qu’il loue sa technologie à des « affiliés » qui mènent les attaques réelles. Pour cela, il prend une commission de 15 à 20 % sur la rançon.
La double extorsion demeure la tactique principale des affiliés de Qilin. Ils ne se contentent pas de chiffrer les systèmes de la victime pour bloquer l’accès ; ils volent également d’énormes quantités de données sensibles et menacent de les publier sur le dark web si la rançon n’est pas payée. Pour que les opérations soient menées à bien, les rançongiciels loués sont souvent écrits en langage Rust ou Go, ce qui les rend plus difficiles à analyser et à détecter par les logiciels antivirus traditionnels. Ils sont conçus pour être rapides et modulaires, permettant aux affiliés de personnaliser l’attaque (choix de l’algorithme de chiffrement, vitesse d’exécution) pour maximiser l’impact. Enfin, ces logiciels malveillants utilisent des techniques avancées pour persister dans le réseau et éviter la détection (compression de code, suppression des journaux d’événements, etc.). L’arsenal de Qilin conjugue une ingénierie logicielle avancée à des stratégies de pression psychologique et financière bien rodées, positionnant ce groupe parmi les menaces persistantes les plus sophistiquées du marché du rançongiciel.
L’analyse des cibles de Qilin révèle une stratégie d’attaque sélective, orientée sur l’appât du gain. À l’instar de nombreux acteurs de la menace opérant dans l’écosystème du rançongiciel, le groupe impose une règle non négociable à ses affiliés : l’interdiction formelle de cibler la Russie et les pays de la Communauté des États indépendants (CEI), un indicateur fort de son origine et de sa base opérationnelle présumées. Sur le plan commercial, Qilin se concentre exclusivement sur les grandes organisations capables de payer des rançons substantielles, cherchant à maximiser l’impact sociétal de ses actions pour accélérer le paiement. Ses attaques se déploient préférentiellement dans des secteurs critiques et à forte valeur ajoutée : santé, industrie et fabrication, services professionnels et techniques, logistique et chaîne d’approvisionnement, etc. Ces choix techniques et stratégiques, orchestrés sous un modèle de Ransomware-as-a-Service, confirment que Qilin a industrialisé la menace : le groupe offre à ses affiliés une plateforme hautement rentable pour exploiter les vulnérabilités les plus critiques de l’économie mondiale.
Le secteur des boissons et de l’alimentaire boit la tasse
Les attaques contre le secteur des boissons se sont intensifiées durant ces cinq dernières années. Cette recrudescence s’explique par la nature critique de cette industrie. Les grandes entreprises de boissons gèrent une chaîne d’approvisionnement complexe et reposent sur des systèmes de Technologie Opérationnelle (OT), essentiels à la production, au conditionnement et à la distribution. L’arrêt de ces systèmes, souvent moins sécurisés et plus lents à mettre à jour que les réseaux bureautiques traditionnels, garantit une paralysie opérationnelle immédiate. Pour les attaquants, cette paralysie est la clé pour forcer le paiement de rançons très élevées, les entreprises cherchant à éviter le risque de pénurie et l’impact catastrophique sur leur image de marque. Un autre exemple notable est celui de la société australienne Lion, l’un des plus grands brasseurs d’Australie, ayant subi une attaque majeure en 2020. Plus récemment, des entreprises de logistique et de distribution alimentaire sous-traitantes ont également été ciblées, perturbant indirectement les livraisons de grandes marques, prouvant la vulnérabilité liée à la chaîne d’approvisionnement. En juin 2025, par exemple, UNFI (l’un des plus gros distributeurs de produits alimentaires en gros d’Amérique du Nord) a été victime d’une intrusion informatique ayant perturbé ses systèmes, ce qui a entravé l’approvisionnement des supermarchés. Le coût de cette attaque aurait été estimé à 350 millions de dollars.
Selon les autorités judiciaires, ce programme malveillant aurait pu permettre une intrusion dans les systèmes informatiques du navire, avec l’objectif d’en prendre le contrôle. L’alerte a été donnée par les autorités italiennes, qui avaient signalé une possible compromission du système.
Une enquête pour atteinte à un système de traitement automatisé de données en bande organisée a été ouverte par le parquet de Paris et confiée à la DGSI, dans un contexte où une ingérence étrangère est envisagée. Le ferry a été temporairement immobilisé afin de garantir la sécurité des passagers et de procéder aux analyses techniques nécessaires, avant d’être autorisé à reprendre la mer. Des investigations se poursuivent également à l’étranger, notamment en Lettonie, avec l’appui d’Eurojust.
Le ministère de l’Intérieur a confirmé avoir été visé par une cyberattaque dans la nuit du 11 au 12 décembre 2025. Un accès non autorisé à certains applicatifs internes a été détecté, sans qu’une compromission majeure ne soit officiellement établie à ce stade. Les autorités ont renforcé les dispositifs de sécurité et appelé les agents à la vigilance, tandis qu’une enquête judiciaire est en cours avec l’appui de l’ANSSI et des services spécialisés.
L’attaque a été revendiquée sur un forum cybercriminel par un individu lié au groupe ShinyHunters, qui évoque une action de représailles contre la France. Les hackers affirment détenir des données concernant plusieurs millions de personnes, mais aucun élément public ne permet pour l’instant de confirmer ces déclarations. Face à un ultimatum et à des menaces de divulgation, l’exécutif reste prudent, laissant planer l’incertitude sur l’ampleur réelle de la fuite.
C’est un festival ! Les annonces de fuites de données se multiplient depuis début 2025, au point que l’on se demande si la France ne va pas finir par passer n° 1 mondial dans le domaine. Selon Cybernews, le pays est en effet déjà N° 1 européen et n° 2 mondial. « L’Hexagone concentre, à lui seul, 1,8 million de comptes compromis entre janvier et juin 2025 et le deuxième au monde derrière les États-Unis », déplore le média en ligne… Sans compter que, depuis l’été, la série noire n’a fait que s’amplifier.
Un classement qui progresse régulièrement, la France oscillant entre la 9e et la 3e place depuis 2020, selon les instituts et entreprises qui établissent ces baromètres. Surfshark, éditeur de solutions de cybersécurité, ne classait la France qu’à la 7e place au 1er trimestre 2025. Si le périmètre de ces différentes études peut varier, le chiffre n’en est pas moins préoccupant. « Le signal est d’autant plus fort que le volume mondial de comptes piratés s’effondre dans le même temps : 15,8 millions au 1er semestre 2025, soit vingt fois moins qu’au 1er semestre 2024, selon le Personal Data Leak Checker de Cybernews », soulignent nos confrères.
Certaines fuites massives font l’objet de controverse, comme celle qui aurait frappé l’ANTS, l’agence nationale des titres sécurisés, en clair, la base de données qui héberge notamment nos cartes nationales d’identité. Le 19 septembre dernier, Clément Domingo, dit SaxX, chercheur en cybersécurité, « confirme qu’une base de données concernant 12,7 millions de Français sur leur état civil a été piratée». Celui qui se présente comme « un gentil hacker » affirmait avoir été en contact avec les cybercriminels et avoir « pu consulter hier en entier ladite base de données et la transmettre à qui de droit ».
La CNIL pointée du doigt
« La CNIL n’endosse pas assez son rôle ! », déplorait-il en outre. De fait, il appartient à la Commission nationale de l’informatique et des libertés de veiller à la bonne sécurisation des données, un domaine dans lequel elle « ne condamne presque jamais […] Le RGPD est devenu une blague pour les responsables de traitement. Au lieu d’envoyer le signal qu’il fallait protéger les données, on a envoyé celui qu’on pouvait s’en foutre », estimait Guillaume Champeau, fondateur du média Numerama. Plus gênant, il souligne par ailleurs que la CNIL avait classé sans suite une plainte pointant des vulnérabilités de l’ANTS, une affaire qui était remontée jusqu’au Conseil d’État.
Malgré cette avalanche de critiques, l’ANSSI a fermement démenti, par la voix de son directeur général. Selon Vincent Strubel, la base dont parle SaxX serait « une base de données en vente sur le dark Web depuis mars 2025 au moins […] sans lien identifié avec les bases de l’ANTS». Le White Hat maintient néanmoins ses allégations.
D’autres piratages, en revanche, ne font aucun doute. Parmi ceux qui inquiètent le plus pour ses conséquences concrètes figure sans nul doute celui de la base de données de la Fédération française de Tir (FFTir). Les 250 000 tireurs sportifs – dont beaucoup détiennent légalement des armes à leur domicile – et 750 000 anciens licenciés, ont vu leurs données personnelles fuiter sur le Dark Web. Découvert le 20 octobre dernier, le piratage aurait eu lieu le week-end précédent et comprend le numéro de licence, l’état civil, l’adresse postale, le mail et le numéro de téléphone de l’adhérent. La Fédération a aussitôt prévenu la brigade de lutte contre la cybercriminalité (BL2C), qui est depuis chargée de l’enquête.
Arnaques, fuites et armes volées
Les conséquences ne se sont guère fait attendre : le parquet de Paris a déploré le 26 novembre que « ces données [avaient] été utilisées pour commettre des vols par effraction ou par usage de fausse qualité au cours desquels les armes ont été notamment dérobées». À Nice, le 13 novembre dernier, deux faux policiers ont subtilisé armes et munitions à un amateur de tir sportif. Des tentatives similaires avaient échoué quelques jours auparavant à Paris et à Orléans. La FFTir a rappelé à ses adhérents que les forces de l’ordre devaient prévenir les particuliers par courrier avant de se présenter à leur domicile pour vérifier les conditions de stockage de leurs armes autorisées.
Le 21 novembre à Limoges, deux individus cagoulés ont dérobé deux pistolets et 500 cartouches au domicile d’un tireur sportif, ancien garde du corps. Le 25 novembre à Décines-Charpieu, dans la banlieue lyonnaise, un tireur a constaté la disparition de son coffre non scellé au mur, qui contenait cinq armes de poing et des munitions.
Pourtant, les enquêtes doivent encore déterminer si ces cambriolages sont en lien direct avec la fuite de données. Si les voleurs peuvent avoir accès aux coordonnées des tireurs sportifs, ils avancent en effet à l’aveugle, n’ayant aucun moyen de savoir si des armes se trouvent effectivement à leur domicile. Ces informations sont détenues dans le « râtelier numérique », une autre base de données qui n’a pas (encore ?) été affectée. Les tireurs et chasseurs doivent en effet inscrire les armes qu’ils détiennent dans ce Système d’information sur les armes (SIA), géré par le ministère de l’Intérieur.
France Travail, l’habitué des fuites
Aussi gênant sans doute, des policiers, militaires, gendarmes ou douaniers figurent parmi les victimes de cette fuite de données. Si leur profession à risque ne figure pas dans les fichiers dérobés, l’ingénierie sociale et le recoupement de données publiques rendent leur identification possible, augmentant le danger pour eux et pour leurs proches.
Toutes les fuites de données n’ont pas de conséquences aussi graves dans la vie réelle, à l’exemple de celle qui a frappé la Fédération française de Tennis de table en septembre dernier. Si l’exposition des données personnelles des 254 000 licenciés peut leur porter préjudice en les exposant à des tentatives de phishing ou d’usurpation d’identité, les conséquences en termes de banditisme classique sont limitées, la raquette de ping-pong suscitant moins d’appétits sur le marché noir que les armes.
Selon SaxX, ce seraient d’ailleurs toutes les fédérations françaises de sport et associations sportives qui ont été piratées. C’est en tout cas confirmé pour celles de handball (5/12), de football (27/11 et 21/02), de danse (25/11), de tir à l’arc (20/01), d’escalade (24/01), etc.
D’autres acteurs sont abonnés aux fuites à répétition, à l’instar de France Travail. L’agence a dû admettre pas moins de sept fuites de données rien que sur 2025 : le 22 juillet, le 12 août, le 25 septembre, les 29 et 6 octobre, le 17 novembre et le 1er décembre. Cette dernière a touché « 1,6 million de jeunes suivis par le réseau des Missions locales », selon l’agence. Un piratage qui a fait fuiter un jeu de données particulièrement complet comprenant, outre les « classiques » nom, prénom, date de naissance, adresses mail et postale, numéro de téléphone, le numéro de Sécurité sociale et l’identifiant France Travail des victimes. Petit score pour France Travail qui, en mars 2024, avait été victime d’une fuite touchant potentiellement les mêmes données pour 43 millions de personnes.
10 violations de données par Français
On ne compte évidemment plus les mairies touchées : Saint-Aubin d’Aubigné, Quimper, Chatou, Brest, Alfortville en novembre, sans parler de la fuite de Synbird, un service de prise de rendez-vous en ligne pour l’État civil, qui a impacté 1 300 communes. Les entreprises ne sont pas non plus à la fête : Cuisinella, Schmidt, Leroy Merlin, rien qu’entre le 1er et le 5 décembre. On se souvient aussi que Bouygues Telecom et Orange figurent parmi les victimes. Médecin Direct, service de téléconsultation, en a aussi été victime le 3 décembre, avec la perte de données médicales très sensibles. En novembre, le service Pajemploi de l’Urssaf, servant à déclarer et rémunérer les assistants maternels et gardes d’enfants à domicile, a vu partir dans la nature les données de « jusqu’à 1,2 million de salariés de particuliers employeurs », a avoué l’organisme.
Les causes de l’épidémie n’ont hélas ! rien d’original. En premier lieu, la méconnaissance des enjeux et le sous-investissement chronique dans la cybersécurité de la part des entreprises et collectivités. Un seul exemple concernant ces dernières : le site gouvernemental cybermalveillance.gouv.fr relevait en novembre 2024 : « Quant au budget consacré à la cybersécurité, 77 % des élus et agents indiquent dépenser moins de 2 000 € ». Le facteur humain (méconnaissance des enjeux et bonnes pratiques, négligence, réutilisation des mots de passe, etc.) figure toujours en bonne position des raisons de cette hécatombe.
L’effet boule de neige joue à plein dans un pays où un « Français moyen a été victime d’une violation de données environ 10 fois », selon Maud Lepetit, responsable France de Surfshark et où « 3 % des internautes français auraient été touchés au premier semestre [2025], quand les États-Unis comptent environ 8 internautes affectés pour 1 000 », d’après Cybernews. Les données récupérées par les cybercriminels servent à monter des arnaques qui servent à leur tour à récupérer plus de données.
À ce rythme, en effet, la France va finir N° 1 mondial de la fuite de données. « Champion, mon frère. »
La police espagnole a annoncé, le 9 décembre 2025, l’arrestation d’un jeune homme de 19 ans, soupçonné d’avoir dérobé 64 millions de données personnelles. Appréhendé la semaine précédente à Igualada, l’adolescent serait à l’origine du piratage de neuf entreprises. Les données volées comprennent des numéros d’identité nationale, des adresses postales et électroniques, des numéros de téléphone et des IBAN. Il les aurait revendues sur des forums cybercriminels.
L’enquête a démarré en juin 2025, à la suite de l’une des intrusions. Les enquêteurs ont retracé six comptes en ligne et cinq pseudonymes utilisés par le jeune homme pour la revente des bases de données volées. Lors de la perquisition de son domicile, ils ont saisi du matériel informatique et plusieurs portefeuilles de crypto-actifs.
Le Financial Crimes Enforcement Network (FinCEN) du département du Trésor des États-Unis a publié, début décembre 2025, un rapport sur les sommes versées aux gangs de rançongiciel par leurs victimes. L’étude s’appuie sur 4 194 paiements déclarés entre le 1er janvier 2022 et le 31 décembre 2024 dans le cadre de la loi sur le secret bancaire, pour un total de 2,1 milliards de dollars (1,8 milliard d’euros).
Selon le FinCEN, les opérations policières menées contre les gangs ALPHV/BlackCat et LockBit ont contribué à une baisse sensible des rançons entre 2023 et 2024, alors que le nombre d’incidents est resté relativement stable. Sur la période analysée, les gangs les plus actifs sont :
ALPHV/BlackCat : 395 millions de dollars (339 millions d’euros) encaissés, répartis sur 353 attaques ;
LockBit : 252 millions de dollars (216 millions d’euros), pour 353 attaques ;
BlackBasta : 138 millions de dollars (118 millions d’euros), pour 171 attaques ;
Akira : 121 millions de dollars (104 millions d’euros), pour 376 attaques ;
Hive : 96 millions de dollars (82 millions d’euros), pour 77 attaques.
Le Financial Crimes Enforcement Network (FinCEN) du département du Trésor des États-Unis a publié, début décembre 2025, un rapport sur les sommes versées aux gangs de rançongiciel par leurs victimes. L’étude s’appuie sur l’analyse de 4 194 paiements déclarés entre le 1er janvier 2022 et le 31 décembre 2024 dans le cadre de la loi sur le secret bancaire, pour un total de 2,1 milliards de dollars (1,8 milliard d’euros).
Selon le FinCEN, les opérations policières menées contre les gangs ALPHV/BlackCat et LockBit ont contribué à une baisse sensible des rançons entre 2023 et 2024, alors que le nombre d’incidents est resté relativement stable. Sur la période analysée, les gangs les plus actifs sont :
ALPHV/BlackCat : 395 millions de dollars (339 millions d’euros) encaissés, répartis sur 353 attaques ;
LockBit : 252 millions de dollars (216 millions d’euros), pour 353 attaques ;
BlackBasta : 138 millions de dollars (118 millions d’euros), pour 171 attaques ;
Akira : 121 millions de dollars (104 millions d’euros), pour 376 attaques ;
Hive : 96 millions de dollars (82 millions d’euros), pour 77 attaques.
Qilin revendique le piratage de la Scientologie et d’entreprises, exposant données internes, sécurité d’événements et enjeux d’extorsion sur fond de renseignement....
Les révélations de Snowden en 2013 ont mis sur le devant de la scène les pratiques de surveillance de masse et contribué à la généralisation du chiffrement de bout en bout. Un mode de surveillance plus ciblé s’est alors développé, créant une nouvelle strate dans un marché déjà opaque et paradoxalement structuré. Des entreprises privées de toutes tailles fournissent aux États une technologie de pointe qui se déploie en plusieurs segments complémentaires. Du renseignement de masse (SIGINT) à l’infiltration chirurgicale, l’épisode introductif de notre série vous propose une plongée au cœur de cette économie grise indispensable à l’identification des cibles d’intérêt.
La cybersurveillance : décryptage d’un marché nébuleux et structuré
Coup de tonnerre pour le gouvernement italien fin janvier 2025 : des journalistes reçoivent une alerte d’Apple sur leur smartphone, leur signalant qu’ils ont été espionnés grâce un logiciel parrainé par l’État. Des preuves accablantes révèlent que le logiciel Graphite, développé par l’entreprise israélienne Paragon, a été utilisé par l’État italien et plusieurs de ses agences – l’ACN (Agence nationale de cybersécurité), l’AISI (service intérieur, équivalent de la DGSI) et l’AISE (renseignement extérieur, équivalent de la DGSE) – pour surveiller des citoyens.
Si des journalistes figurent parmi les cibles identifiées concernées, de récentes informations révèlent que des professionnels du secteur de la banque et de la finance ont aussi été surveillés. Ce scandale, qui n’en finit plus d’éclater, a même donné lieu à un rapport du Sénat sur l’usage de ce logiciel. L’affaire illustre la montée en puissance d’une pratique de plus en plus répandue : la surveillance ciblée, dont les dérives inquiètent jusqu’aux plus hautes instances européennes. Au-delà du scandale, l’affaire italienne rappelle une réalité : la surveillance est devenue un marché à part entière. Derrière chaque logiciel espion, il y a une chaîne d’entreprises, de contrats et d’intérêts croisés qui dépassent largement les frontières nationales.
En 2013, l’affaire Snowden a révélé l’ampleur vertigineuse de la surveillance de masse mise en œuvre par des agences de renseignement étatiques. Ces programmes reposent majoritairement sur la collecte de métadonnées (qui communique avec qui, quand, et où), l’interception de communications non chiffrées, et les écoutes généralisées. Pourtant, l’écho de ces révélations a paradoxalement accéléré la riposte technique : la généralisation massive du chiffrement. Aujourd’hui, que ce soit via le HTTPS (pour la navigation web) ou, de manière cruciale, le chiffrement de bout en bout imposé par des applications comme WhatsApp, Signal ou Telegram, la majeure partie des échanges est devenue inintelligible sur le réseau. Le maillon faible n’est plus la ligne de communication, mais le terminal lui-même.
Le recours unique à l’ancienne stratégie consistant à « écouter tout le monde, tout le temps » est devenu obsolète pour accéder au contenu. Il a été nécessaire pour les autorités et les agences de renseignement de recourir à une forme de surveillance plus ciblée. Cette situation a favorisé la structuration d’un marché de la cybersurveillance, constitué de plusieurs segments (logiciels d’intrusion, SIGINT, failles 0-day, etc.) parfois complémentaires, comme le suggère Crofton Black, journaliste d’investigation à LightHouse Reports et auteur de nombreuses enquêtes sur la surveillance, dont celle sur l’entreprise FirstWap : “Dans les médias, les outils coûteux sont souvent les seuls à être pris au sérieux, en raison de leur puissance potentielle. En réalité, leur utilisation est peut-être beaucoup plus rare que nous ne le pensons, la grande majorité des opérations de surveillance étant menées par d’autres moyens.” Ce scandale n’est pas un accident isolé : il illustre une tendance de fond née il y a plus de dix ans.
Notre série, “Les routes de la surveillance : enquête sur le marché mondial des logiciels espions”,vous invite à une exploration de ce marché florissant et opaque, mais néanmoins structuré.
De l’écoute globale à la cartographie des cibles
Malgré les révélations d’Edward Snowden et la généralisation du chiffrement de bout en bout, la surveillance de masse n’a pas dit son dernier mot. Souvent appelée SIGINT (Signal Intelligence), elle se concentre sur l’acquisition d’informations à grande échelle, notamment les informations de contexte qui entourent chaque communication (appelées “metadata”) : qui parle à qui, quand, et d’où. Ces outils ne sont pas efficaces pour lire du contenu chiffré, mais ils sont le point de départ essentiel pour la cartographie et l’identification des cibles d’intérêt.
Et pour cela, rien de tel qu’un arsenal d’outils d’interception sophistiqués et souvent intégrés aux infrastructures de communication. Les outils les plus couramment utilisés sont des systèmes d’interception passant par les satellites ou les câbles sous-marins, là où transitent les communications. La collecte de données de télécommunications via DPI (Deep Packet Inspection) est aussi pratiquée : il s’agit d’une technologie qui permet d’ouvrir et de lire le contenu de toutes les données qui transitent sur Internet, et pas seulement les adresses de destination. Enfin, il est aussi possible de recourir à des plateformes d’analyse de métadonnées. Ce système qui collecte, organise et étudie les informations « à propos » des communications, sans lire le contenu réel, afin de dresser des profils et identifier des schémas d’interaction.
Qui sont les architectes de cette collecte massive ? Le segment du SIGINT reste, par essence et par investissement historique, le domaine réservé d’une poignée de superpuissances, ces agences de renseignement (comme la NSA pour les États-Unis, la DGSE pour la France ou le GCHQ pour le Royaume-Uni), qui détiennent le contrôle des infrastructures d’écoute à l’échelle planétaire. Même si des outils sont développés en interne, quelques grandes entreprises spécialisées (General Dynamics Mission Systems, Inc., BAE Systems plc, Parsons Corporation, ou encore Airbus Defence & Space) proposent des solutions toujours plus innovantes aux Etats pour réaliser cette surveillance de masse.
Cette collecte massive de métadonnées est la boussole stratégique : elle extrait du bruit ambiant le contexte nécessaire à la qualification des cibles et devient l’unique argument validant l’investissement colossal et l’opération chirurgicale de l’infiltration ciblée.
Quand la surveillance devient chirurgicale
Pegasus, Predator, Galileo… Les logiciels d’infiltration sont régulièrement sur le devant de la scène médiatique depuis quelques années et le nom de certains d’entre eux est connu du grand public. Si ces noms ont fait la une, le marché des outils d’intrusion commerciale ne date pas d’hier. Il a véritablement émergé au début des années 2000, lorsque des entreprises, souvent issues du secteur de la défense ou du renseignement, ont commencé à vendre des solutions d’interception légale (“lawful interception”) pour aider les États à faire face aux premiers défis d’Internet. Ce segment est le cœur de l’économie grise moderne, rendu indispensable par le chiffrement.
L’attaque par le logiciel réside dans la capacité à transformer le terminal de la cible – ordinateur, smartphone… son outil le plus personnel – en un espion permanent, chirurgicalement infecté par l’injection d’une charge utile discrète. L’objectif principal est de contourner le chiffrement pour accéder au contenu, de façon imperceptible pour la cible. Il vise à obtenir un accès complet au système d’exploitation (fichiers, messages chiffrés, micro, caméra) avant que l’utilisateur n’envoie ou ne reçoive des données, garantissant ainsi l’efficacité maximale du renseignement. Ainsi, le smartphone, censé protéger l’utilisateur, est retourné contre lui : il se mue en un poste d’écoute permanent et indétectable, interceptant froidement les données brutes à l’instant même où elles sont traitées par le système.
Ce pouvoir d’infiltration, qui vaut son pesant d’or stratégique, n’est pas distribué : il est jalousement détenu par un petit nombre d’entreprises privées de haute technologie qui ont transformé l’intrusion ciblée en un oligopole aussi discret que lucratif. Palantir, NSO Group, Intellexa… Ces entreprises controversées et discrètes reposent toutes sur le même modèle économique : la vente de licences très coûteuses pour un nombre limité de cibles. Cette structure de prix et d’exclusivité garantit des marges considérables aux fournisseurs et permet aux États, principaux clients de ces technologies, d’acquérir une capacité d’infiltration que leurs propres agences auraient du mal à développer seules.
Désormais, cette boîte noire technologique ne représente plus une option, mais une nécessité : ce marché opaque et hautement stratégique s’est imposé comme un pilier financier incontournable des budgets de renseignement et de sécurité des nations.
Les 0-days, ces failles qui valent de l’or
Au cœur de cette économie se trouve une ressource singulière, invisible et volatile : la faille 0-day, une faille qui n’a pas encore été découverte par l’éditeur de logiciel. Elle constitue la matière première stratégique et la plus lucrative du marché de l’intrusion, tout en constituant un segment de marché.
Elles sont essentielles au fonctionnement de la plupart des logiciels espions. À cause de la prédominance de l’usage de certains logiciels et systèmes d’exploitation, une faille peut permettre d’atteindre des milliers, voire des millions de personnes à travers le monde. C’est ainsi qu’un business très lucratif s’est développé autour de la recherche et la vente de ces vulnérabilités.
Ironie du sort, ce sont grâce à des “failles” que la lumière est faite sur l’opacité de ce marché.
En 2015, l’éditeur italien de logiciels espions Hacking Team (aujourd’hui connu sous le nom de Memento Labs) a été victime d’une fuite de données concernant une partie des boîtes mails de l’entreprise. Cela a permis d’en savoir plus sur le fonctionnement de l’achat et de la revente de 0-days, activités caractérisées par une certaine opacité et un manque de régulation. La valeur d’un 0-day est directement liée à sa rareté, à la popularité du système ciblé (iOS et Android étant les plus coûteux et recherchés), et à la sophistication de l’attaque qu’il permet (par exemple, une attaque zero-click – c’est-à-dire qui ne nécessite aucune interaction avec la cible – est plus précieuse qu’une attaque nécessitant l’interaction de l’utilisateur).
Pour transformer une simple erreur de code en une arme de renseignement sophistiquée, le marché du 0-day s’est organisé en une chaîne d’approvisionnement obscure, articulée autour de trois maillons indispensables à la discrétion et à la monétisation de la vulnérabilité. Tout commence en amont, avec des chercheurs indépendants ou des équipes de R&D qui découvrent les failles logicielles. Au centre, des courtiers en exploits (exploit brokers) agissent comme un masque d’opacité, achetant les 0-days pour les revendre au plus offrant. Le dernier maillon est constitué des éditeurs de logiciels espions (NSO, Paragon, etc.) qui industrialisent l’exploit en l’intégrant dans leurs produits. Le cycle se boucle par le financement : que ce soit via ces éditeurs ou en achat direct, ce marché obscur et lucratif, qui monétise l’insécurité, est intégralement financé par des États.
Sur ce marché, les transactions ont lieu grâce à des cryptomonnaies ou des cartes bancaires volées, afin de préserver l’identité des acheteurs. Le marché des 0-day est donc parallèle et caché, dont le modèle se distingue de celui du “bug bounty” (où la faille est vendue pour être corrigée). Ici, le but est de garantir la non-divulgation pour préserver la discrétion du logiciel espion.
Ce marché est intrinsèquement parallèle et caché, ce qui impose une grande prudence dans les transactions. Celles-ci ont lieu via des cryptomonnaies ou des cartes bancaires volées, afin de préserver l’identité des acheteurs. L’impératif catégorique de ce marché est la permanence du secret technique : seule la non-divulgation de la faille garantit la discrétion absolue et l’implacable puissance offensive du logiciel espion.
OSINT : l’ombre et la lumière du renseignement ouvert
Si l’intrusion ciblée est l’arme de poing, le renseignement de sources ouvertes (OSINT) est le cartographe des opérations : cette pratique fournit le contexte narratif essentiel qui permet d’orienter l’effort de surveillance, validant les hypothèses et transformant une simple métadonnée en une cible prioritaire. Une méthode qui se concentre sur la collecte et l’analyse de toutes les informations légalement accessibles ou publiques. Elle n’est pas réservée au monde de la cybersurveillance, puisqu’elle est largement utilisée dans le domaine du journalisme ou de l’intelligence économique.
Il s’agit d’un véritable processus d’investigation qui repose sur une méthodologie rigoureuse, combinant outils spécialisés, techniques d’analyse et esprit critique. Il est utilisé pour enrichir le profil d’une cible, vérifier l’authenticité des informations et, surtout, pour identifier les vecteurs d’attaque potentiels (adresses email, appareils utilisés, relations) avant de valider l’engagement d’une ressource coûteuse et intrusive comme un 0-day.
À l’inverse des autres segments de marché de la cybersurveillance, l’OSINT s’expose au grand jour : il s’agit d’un marché visible, largement fragmenté et foisonnant, où la concurrence nourrit une myriade de plateformes et de logiciels spécialisés dans l’agrégation de données publiques (issues des réseaux sociaux, des forums, des bases de données en ligne et du dark web), dans l’analyse de trace numérique, de reconnaissance faciale et d’analyse comportementale. Cette boîte à outil est produite par un écosystème de PME et de startups qui monétisent l’accès aux données, leur nettoyage et leur corrélation.
Ces entreprises ne vendent pas le renseignement, mais la méthodologie : elles fournissent aux agences la capacité d’extraire rapidement et légalement l’information pertinente. Leur activité est donc cruciale pour standardiser les processus d’enquête et maintenir une veille constante sur l’espace informationnel.
Surveiller sans écran : quand le terrain devient réseau
Avant même l’exploitation d’une faille logicielle, il est souvent nécessaire de localiser ou d’engager le terminal cible via son environnement physique, une tâche assurée par le segment de la géolocalisation et de l’accès initial. Celui-ci a émergé au début des années 2000 avec l’apparition des IMSI-Catchers (Stingrays), conçus pour localiser précisément les appareils cibles en simulant une fausse tour cellulaire.
Bien que l’adoption du chiffrement (3G/4G) ait limité leur capacité d’écoute directe, leur rôle est devenu plus stratégique. Ils agissent désormais comme le pont physique-numérique indispensable, fournissant l’accès réseau crucial pour l’injection chirurgicale des logiciels d’intrusion ciblés.
Ce marché de l’engagement physique-numérique est historiquement dominé par un produit devenu archétype : l’IMSI-Catcher, dont l’incarnation la plus célèbre est le Stingray de l’entreprise américaine L3Harris Technologies. Il est ce que les Kleenex sont aux mouchoirs : tellement célèbre qu’il est devenu un nom commun pour désigner toute cette catégorie d’objets. En dehors de ce leader, de nombreuses PME sont actives pour le développement de cette technologie avec trois pôles principaux à signaler en Allemagne, en Israël et au Royaume-Uni.
Les matériels et logiciels requis pour la mise en œuvre de ces outils, en particulier les IMSI-Catchers, sont assez accessibles pour le grand public et sont largement utilisés par les forces de l’ordre. Lors de la DEF CON à Las Vegas en 2010, le chercheur en cybersécurité Chris Paget a démontré qu’il était possible de construire un IMSI-catcher sur la base de matériel générique pour la somme de 1500$. Par ailleurs, en 2023, des escrocs avaient caché des IMSI-catchers dans le coffre d’une voiture, afin d’aspirer les numéros de téléphone d’une dizaine de milliers de parisiens. Le but de l’opération était d’envoyer des messages de phishing aux numéros captés, afin d’inviter les victimes à communiquer leurs coordonnées bancaires. Cette affaire prouve l’accessibilité de cet outil et son utilisation par des acteurs civils à des fins cybercriminelles.
Le renseignement ne se limite pas aux tours de téléphonie : pour un suivi plus discret et plus fin en milieu urbain, les analystes exploitent les émissions passives de nos terminaux. Ces systèmes d’analyse de signaux Wi-Fi et Bluetooth transforment les simples balayages de connexion de nos appareils en outils de filature persistante. Chaque appareil émettant avec une adresse MAC (Media Access Control) unique, il est possible de créer une empreinte numérique et de retracer le déplacement d’une cible d’une rue à l’autre ou d’un lieu public à un bâtiment privé. La concurrence est forte sur ce type d’outils, avec de nombreuses petites entreprises actives et discrètes dans le domaine.
Pour garantir la précision de l’engagement, la géolocalisation ne se restreint pas aux signaux terrestres : ce segment intègre en dernière instance le renseignement géospatial (GEOINT) et l’imagerie, offrant la validation visuelle de la position de la cible. Ces systèmes servent souvent à confirmer la position physique avant d’engager des moyens d’accès initial sur le terrain. Airbus Defence & Space propose des outils qui correspondent à cette catégorie, mais c’est aussi le cas de start-up comme GEO4I.
Reconstituer la preuve : la dernière étape du cycle
Une fois l’opération d’intrusion ou la saisie physique réussie, la bataille se déplace vers le laboratoire : ce segment essentiel est constitué d’outils forensiques et d’extraction qui sont capables de déverrouiller et d’analyser le terminal cible, même éteint, pour en extraire la preuve. Dans un contexte judiciaire, le but de leur utilisation est l’extraction de données pouvant servir de preuves. Ils permettent aussi de collecter des éléments pour reconstruire la chronologie des activités criminelles ou terroristes.
Le paysage des acteurs de l’analyse légale est dual : il se compose à la fois de géants de la défense capables d’intégrer des solutions forensiques complètes et d’entreprises spécialisées qui se concentrent sur la prouesse technique, comme le déverrouillage expert des appareils mobiles. Des grands groupes se sont positionnés sur le segment, comme Thales, par exemple. Ils intègrent des capacités d’analyse forensique dans leurs offres de services de renseignement pour leurs clients étatiques. Parmi les spécialistes de l’extraction de données, on retrouve des acteurs de taille plus modeste, comme l’israélien Cellebrite considéré comme leader dans ce domaine avec son produit nommé UFED. Le suédois MSAB et l’américain Oxygen Forensics peuvent également être considérés comme des acteurs majeurs. Enfin, certaines entreprises proposent des plateformes d’analyse forensique et de gestion de la preuve. C’est le cas de l’australien Nuix et du canadien Magnet Forensics.
L’usage de ces outils étant principalement lié à des enquêtes criminelles ou à la lutte contre le terrorisme, les principaux clients sont d’origine étatique : forces de l’ordre nationales et locales, services de renseignement et agences de sécurité, organismes de régulation et de lutte contre la fraude. Toutefois, ces outils peuvent aussi intéresser des clients du privé : des cabinets d’avocats ou des entreprises ayant besoin de mener des enquêtes internes après une violation de données ou un litige impliquant des preuves numériques. Ils utilisent les mêmes outils pour garantir l’intégrité et la recevabilité de leurs analyses. Certains de ces outils peuvent donc être acquis, dans une certaine mesure, par des laboratoires forensiques privés ou des entreprises de conseil en cybersécurité.
[LES ROUTES DE LA SURVEILLANCE] – Enquête sur le marché mondial des logiciels espions
Coupang, le géant coréen de la vente en ligne, a admis, le 30 novembre 2025, que la fuite de données dont il a été récemment victime a exposé 33,7 millions de comptes. Les premières évaluations ne faisaient état que de 4 500 comptes compromis. Les données volées comprennent les noms, adresses e-mail et postales, numéros de téléphone et historiques de commandes des utilisateurs. D’après Coupang, aucune information financière ou mot de passe ne serait concerné.
Selon une agence de presse sud-coréenne, les enquêteurs n’auraient pas détecté de logiciel malveillant sur les SI du groupe. Les soupçons se porteraient sur un ancien employé chinois, qui aurait quitté le pays. « Nous avons identifié l’adresse IP utilisée par le suspect et nous sommes à sa recherche », a précisé un responsable de la police chargée de l’enquête.
La Corée du Sud a subi plusieurs violations de données d’importance en 2025, notamment celle de l’opérateur SK Telecom, qui a conduit au vol des informations personnelles de 27 millions de citoyens. En août 2025, la justice coréenne a condamné l’entreprise à une amende record de 134 milliards de wons (78 millions d’euros) pour ses manquements aux règles en matière d’hygiène numérique.
Coupang risque de subir le même sort. « Étant donné que la violation concerne les coordonnées d’un grand nombre de citoyens, la Commission prévoit de mener une enquête rapide et d’imposer des sanctions strictes si elle constate un manquement à l’obligation de mettre en œuvre des mesures de sécurité prévues par la loi sur la protection des données », a déclaré Bae Kyung-hoon, ministre des Sciences et des TIC, à l’issue d’une réunion de crise.
Le New York Times a révélé, le 22 novembre 2025, que la cyberattaque contre SitusAMC, un acteur majeur du financement immobilier, pourrait avoir exposé les données de nombreuses banques américaines. L’entreprise participe à l’octroi et au recouvrement de fonds liés aux prêts immobiliers et hypothécaires, pour le compte de centaines de banques — dont JPMorgan Chase, Citi et Morgan Stanley.
SitusAMC a admis avoir été victime, le 12 novembre 2025, d’une intrusion malveillante dans ses SI, compromettant des informations internes. « Des données relatives à certains clients de nos propres clients pourraient également avoir été touchées », précise l’entreprise. « Nous restons concentrés sur l’analyse de toutes les données potentiellement affectées », a indiqué Michael Franco, directeur général de l’entreprise.
SitusAMC affirme avoir maîtrisé l’incident, qui n’aurait impliqué aucun chiffrement malveillant. Selon Kash Patel, directeur du FBI, la cyberattaque n’a par ailleurs eu « aucun impact opérationnel sur les services bancaires ».
Le général Park Yowon regarde fixement l’objectif. Le fond bleu de la photographie met en avant son treillis kaki, un treillis caractéristique de l’armée sud-coréenne. Rien ne dépasse sur cette photographie d’identité, apposée sur une carte militaire. Pourtant, le général Park Yowon n’existe pas. Il a été généré par l’intelligence artificielle, ChatGPT plus précisément; Ce par des opérateurs du groupe de cyberespionnage nord-coréen Kimsuky, dans l’espoir d’infiltrer le système d’information d’institutions militaires adverses via un mail de phishing.
Par cette campagne, Kimsuky a réussi une belle prouesse : il n’est normalement pas possible de générer de faux documents aussi sensibles avec ChatGPT. Pourtant, les métadonnées sont claires : ils ont bien été générés par cet outil. Les experts de Genians expliquent dans leur rapport publié le 16 septembre que, même si les requêtes pour créer de faux documents d’identité sont rejetés, il est possible d’y arriver en présentant les choses sous l’angle de l’esthétique ou du graphisme.
Kimsuky est connu sous de nombreux autres noms : APT43, THALLIUM, Velvet Chollima, Black Banshee, Emerald Sleet,etc. Actif depuis 2012, le groupe a mené de nombreuses campagnes, principalement contre la Corée du Sud, mais a aussi ciblé le Japon, les États-Unis et l’Europe. Son activité est assez caractéristique des actions menées par le régime nord-coréen dans le cyberespace, auquel il est très probablement associé.
Un acteur incontournable du cyberespionnage nord-coréen
Kaspersky est le premier à nommer Kimsuky dans un rapport de 2013, nom qui reste à ce jour le plus utilisé pour désigner ce groupe. Celui-ci vient d’un des pseudonymes d’enregistrement des boîtes de réception utilisées comme serveurs de commande et de contrôle, à savoir « kimsukyang ». L’intérêt de la communauté de la cybersécurité pour ce groupe a grandi entre 2019 et 2020, ce qui se traduit par la publication de nombreux rapports à ce sujet et une meilleure compréhension de cette cybermenace. Les observations se sont multipliées depuis, révélant une sophistication croissante de leurs outils et techniques, de la simple ingénierie sociale aux malwares avancés.
L’objectif principal de Kimsuky réside dans la collecte d’informations stratégiques qui s’alignent dans les intérêts de Pyongyang. Mandiant estime avec un haut degré de certitude que le groupe agit pour le régime nord-coréen et émet l’hypothèse qu’il pourrait même être affilié avec le Reconnaissance General Bureau (RGB), le principal bureau de renseignement extérieur de la Corée du Nord. Afin de recueillir des informations, il cible principalement des institutions militaires et gouvernementales, des groupes de réflexions, des universités et des organismes de presse principalement situés en Corée du Sud et aux États-Unis. Toutefois, Kimsuky s’est aussi déjà attaqué au Japon, à la Russie et à des pays européens.
Les cibles évoluent en fonction des intérêts géopolitiques de la Corée du Nord. Par exemple, entre 2020 et 2021, les campagnes de Kimsuky ont particulièrement ciblé le secteur de la santé. En pleine pandémie de Covid-19, cela est loin d’être un hasard. Le groupe est particulièrement intéressé par les entités du secteur de l’énergie, y compris les think tanks. Le but étant de surveiller ce qui est dit sur le programme nucléaire nord-coréen tout en collectant des informations stratégiques susceptibles de l’alimenter. Sur les autres cibles, les campagnes servent principalement à avoir de la visibilité sur ce qui est dit à propos du régime, mais aussi à anticiper la publication de données sensibles et de potentielles sanctions.
Face à la virulence de Kimsuky, Washington et ses alliés ont imposé des sanctions au groupe, dénonçant ses pratiques de collecte d’informations et l’accusant de soutenir la politique étrangère du régime nord-coréen. L’effet de ces mesures est aujourd’hui très limité, notamment du fait que certains opérateurs pourraient être localisés à l’extérieur de la Corée du Nord. Un rapport de Trellix souligne le fait qu’une partie d’entre eux pourraient être basés en Chine. En effet, lors d’une campagne visant des ambassades étrangères à Séoul, les analystes ont noté une baisse d’activité à certaines périodes, correspondant à des jours fériés du calendrier chinois. Cette hypothèse a été confirmée par l’OFAC dans un communiqué de 2022, où l’agence précisait la localisation de certains opérateurs nord-coréens en Chine et en Russie, permettant aux groupes de cyberespionnage de contourner les sanctions.
Une sophistication croissante
D’année en année, Kimsuky a transformé ses attaques artisanales en une mécanique d’espionnage bien huilée. Le groupe se concentre sur le spear phishing pour s’introduire dans les systèmes d’information de ses cibles. Sa force réside dans sa capacité à rendre des mails crédibles : grâce à l’ingénierie sociale, ses opérateurs se sont distingués dans l’art de créer des personnages cohérents pour inviter les victimes à cliquer sur des liens piégés ou à télécharger des pièces jointes malveillantes. Des spécialistes ont pu analyser certaines pièces jointes : dans certains cas, il s’agissait de documents Word (.dotm) contenant des macros malveillantes qui exécutent des scripts et installent des backdoors. Ces documents sont bien conçus, avec des thèmes crédibles (lettre diplomatique, propos sur les droits de l’homme,etc.), ce qui améliore la crédibilité et donc les chances de succès. Cela permet de déployer furtivement la suite logicielle (modules backdoor, vol de données, keylogger).
Selon un rapport publié par l’équipe Nocturnus de Cybereason, les campagnes de Kimsuky ont été marquées par une sophistication croissante. Alors qu’à ses débuts, le groupe se limitait à quelques malwares, il déploie désormais une suite complète de logiciels malveillants. Cela lui permet de personnaliser les attaques selon la cible, de charger des composants seulement si nécessaire, ce qui rend l’analyse plus complexe. Cette montée en puissance se traduit aussi par l’utilisation du module «CSPY Downloader», équipé de techniques d’évasion. Celui-ci s’assure que l’environnement est “propice” avant de déployer le malware. Il est empaqueté avec UPX, utilise des certificats révoqués et contient des chemins de débogage (PDB) : autant d’éléments qui montrent que Kimsuky investit dans des techniques destinées à contourner les défenses classiques.
Par ailleurs, les opérateurs de Kimsuky recourent à diverses techniques destinées à brouiller . Ils falsifient les horodatages de création des malwares (backdating), signent des fichiers avec des certificats révoqués, utilisent des chemins de debugging — autant de mesures qui compliquent considérablement les enquêtes. De plus, ils réutilisent des serveurs, des domaines déjà observés lors decampagnes passées (notamment BabyShark), ce qui assure une continuité tout en oscillant entre anciens et nouveaux outils.
Des moyens financiers limités
Comme beaucoup de groupes d’APT nord-coréennes, l’action de Kimsuky se trouve limitée par des moyens financiers restreints, car elle dépend du régime. Afin de le financer (et, par extension, de soutenir leurs activités d’espionnag), le groupe n’hésite pas à mener des activités cybercriminelles, qui se traduisent par le vol de cryptomonnaies via des cyberattaques. Entre 2017 et 2023, on estime que les groupes nord-coréens ont dérobé plus de 3 milliards de dollars en cryptomonnaie. Les opérateurs ont d’abord ciblé les entités sud-coréennes, avant d’élargir leur ciblage géographique.
Les groupes nord-coréens ne se contentent pas de dérober des cryptomonnaies : ils exploitent aussi des serveurs compromis pour y installer des logiciels de minage, notamment Monero, et générer ainsi des revenus supplémentaires. Une fois volés, ces actifs passent par un vaste réseau de blanchiment mis en place par Pyongyang, où ils sont convertis en monnaie fiduciaire ou utilisés pour acquérir biens et services. Les flux financiers transitent fréquemment par des casinos ou des plateformes d’échange illicites, afin de brouiller les pistes. Ces manœuvres font des cryptomonnaies détournées une source de financement essentielle pour le régime, à tel point que leur pillage pourrait couvrir jusqu’à 50 % des dépenses liées au programme de missiles balistiques nord-coréen.
Ces activités financières ne sont toutefois qu’une partie du tableau du système cyber nord-coréen : l’autre repose sur la collaboration entre les différents groupes. Kimsuky n’hésite pas à collaborer avec d’autres attaquants, comme le précise un rapport de Mandiant publié en 2022.Le groupe aurait notamment partagé temporairement certains outils et ressources, ce qui a parfois compliqué l’attribution des attaques et renforcé la confusion entre Kimsuky et d’autres entités, telles que Lazarus. Cela illustre néanmoins le rôle majeur joué par le groupe au sein de l’appareil cyber du régime nord-coréen.
Le gang de rançongiciel Cl0p a ajouté, le 21 novembre 2025, les sites internes d’Oracle E-Business Suite (EBS) à sa liste de victimes, en précisant avoir exploité une faille 0-day. Référencée CVE-2025-61882, cette vulnérabilité a été identifiée en juin 2025 ; un correctif a été publié en octobre 2025.
Oracle EBS est une application B2B de planification des ressources d’entreprise, utilisée pour la gestion des commandes, des achats et de la logistique. Au-delà de la tentative d’extorsion visant Oracle, le piratage d’un outil aussi répandu fait craindre des attaques par la chaîne d’approvisionnement.
Mi-novembre 2025, Cl0p a d’ailleurs revendiqué un vol de données personnelles traitées par Logitech, à la suite d’une compromission d’EBS. La société suisse a confirmé l’intrusion, en affirmant qu’aucune information sensible n’avait été exposée et qu’elle ne paierait pas la rançon réclamée par le gang.
Google a annoncé, le 12 novembre 2025, avoir déposé une plainte devant la justice américaine contre 25 cybercriminels chinois, accusés de distribuer le kit de smishing Lighthouse. Ce dernier permet à des pirates informatiques de lancer des campagnes de SMS frauduleux prétendant qu’un colis n’a pas pu être livré. Le message contient un lien, censé permettre de choisir un nouveau jour ou point de retrait : il redirige en fait vers de faux sites où l’utilisateur est incité à saisir ses informations personnelles et financières.
Le groupe cybercriminel visé par Google fonctionne sur une logique de cybercrime-as-a-service : il loue chaque mois Lighthouse à d’autres pirates, et leur donne accès à des centaines de sites factices. D’après Google, ce kit a permis de dérober plus d’un milliard de dollars (860 millions d’euros) à des particuliers dans 121 pays.
Cette action en justice vise notamment à obtenir une injonction imposant la saisie des serveurs de Lighthouse et la suppression de toute publicité pour ses services. En parallèle de cette plainte, Google a annoncé soutenir trois propositions de loi bipartites déposées au Congrès pour renforcer la protection des internautes contre les arnaques.
L’entreprise américaine affirme avoir détecté, mi-septembre, une série d’intrusions visant une trentaine d’organisations – grandes entreprises technologiques, institutions financières, industriels et agences publiques. Les attaquants se seraient fait passer pour des analystes en cybersécurité afin d’amener le chatbot à exécuter des tâches successives, formant une campagne d’espionnage sophistiquée. Selon Anthropic, Claude aurait contribué à développer un outil capable de compromettre des systèmes et d’exfiltrer des données.
Plusieurs spécialistes appellent toutefois à la prudence. Martin Zugec (Bitdefender) estime que le rapport d’Anthropic avance des conclusions « spéculatives » sans éléments techniques vérifiables. Le secteur rappelle que l’automatisation complète d’attaques via IA reste limitée, les modèles générant encore de nombreuses erreurs. Cette affaire s’inscrit dans un contexte où d’autres éditeurs, comme OpenAI, ont déjà signalé des usages malveillants par des acteurs étatiques, au risque d’alimenter un discours alarmiste profitable aux acteurs de la cybersécurité et de l’IA. Anthropic dit avoir bloqué les comptes impliqués et averti les organisations ciblées.
La police allemande a arrêté à Dortmund, le 10 novembre 2025, un activiste d’extrême droite de 49 ans, accusé d’avoir comploté l’assassinat de hauts responsables politiques via un site du darknet. À l’aide de cette plateforme — active depuis au moins juin 2025 — il collectait des dons en cryptomonnaie pour préparer ses attentats. Le site proposait aussi des instructions pour fabriquer des explosifs ainsi que des données personnelles sur les victimes potentielles.
Selon Der Spiegel, la liste de ses cibles comprenait les ex-chanceliers Angela Merkel et Olaf Scholz, ainsi que plusieurs anciens ministres et autres personnalités publiques. En perquisitionnant le domicile du suspect, la police a saisi « du matériel raciste, antisémite et défendant des théories complotistes ». Selon des médias locaux, l’homme serait lié à des groupes d’extrême droite actifs à Dortmund, proches du mouvement « Reichsbürger ».
Cinq chefs d’un réseau d’escroquerie birman condamnés à mort en Chine, symbole d’une répression transfrontalière sans précédent contre la cybercriminalité....
Le développeur ukrainien Yuriy Rybtsov, alias « MrICQ », extradé vers les États-Unis pour son rôle présumé dans le réseau de cybercriminalité Jabber Zeus....
Connexion
