Barracuda full logo

Les démantèlements d'activités cybercriminelles les plus intéressants en 2025

Thèmes:
3 déc. 2025
|

Comment les initiés de confiance sont devenus l'une des plus grandes menaces de cybersécurité de l'année

Ce qu’il faut retenir

  • Les opérations de démantèlement d'opérations cybercriminelles les plus notables de l'année dévoilent une tendance majeure préoccupante en matière de cybersécurité : les menaces internes prennent le pas sur les menaces externes.
  • Des employés de confiance disposant d'un accès privilégié, dont plusieurs exemples très médiatisés en 2025, ont profité de leur position pour vendre des informations sensibles à des cybercriminels.
  • Grâce à un travail acharné, les forces de l'ordre ont réussi à arrêter un certain nombre de cybercriminels d'envergure, mais les menaces internes restent particulièrement difficiles à détecter et à prévenir.
  • Les organisations se doivent de reconnaître qu'aucun employé n'est au-dessus de tout soupçon et de renforcer les protocoles de sécurité interne afin de réduire les risques au sein de leurs structures.

Chaque année, une nouvelle « plus importante fuite de données de toute l'histoire » semble faire la une des journaux ; mais de manière encourageante, un nombre croissant de pirates parmi les plus prolifiques de la planète sont appréhendés. L'année 2024 avait été marquée par une violation de données record – plus de 2,9 milliards de fichiers sensibles – au niveau mondial, mais aussi par l'arrestation rapide du responsable, un pirate connu sous le nom d'USDoD. Néanmoins, une nouvelle tendance montre que les fuites de données dues à des menaces externes pourraient être le cadet de vos soucis.

En effet, les arrestations de cyberattaquants les plus intéressantes de 2025 révèlent une tendance inquiétante. Les principaux individus ciblés par les forces de l'ordre cette année ne sont ni des personnes extérieures malveillantes, ni des acteurs agissant pour le compte d'États-nations. Il s'agit plutôt de personnes internes, d'experts de confiance qui, tournant le dos à l'éthique, utilisent leurs connaissances approfondies pour gagner de l'argent en enfreignant la loi.

L'homme de l'intérieur : un cadre du secteur de la défense a vendu des secrets cyber

L'entreprise de défense américaine L3Harris réalise un chiffre d'affaires de 21 milliards de dollars et emploie près de 50 000 personnes dans le monde. Sa gamme de produits est vaste, des drones sous-marins autonomes aux systèmes satellitaires optiques. Sa division de cybersécurité, Trenchant, est spécialisée dans le développement d'outils de pénétration pour les États-Unis et les gouvernements alliés. L'entreprise tire les leçons d'une douloureuse expérience : même les employés les plus dignes de confiance peuvent constituer une menace interne.

Peter Williams, l'ancien directeur général de Trenchant, a récemment plaidé coupable de vente de documents sensibles à des acteurs agissant pour le compte d'États-nations, dont la Russie. Issus de huit exploits zero-day auparavant inconnus, ces documents pouvaient être utilisés pour compromettre et espionner des systèmes tels que les smartphones et les navigateurs web.

D'après Techcrunch, Williams a pu profiter de son autorisation de « super utilisateur » pour accéder à ces documents, qui se trouvaient normalement sur des systèmes sécurisés et protégés par « air gap », puis les transférer sur un disque dur personnel. Après que l'organisation a été alertée de la fuite de code, Williams, chargé de l'enquête interne, a utilisé ses autorisations pour piéger un autre employé.

Cet épisode montre qu'en matière de cybersécurité, aucun membre du personnel ne peut être considéré comme au-dessus de tout soupçon.

Un cyber-négociateur devient un acteur malveillant

L'essor des ransomwares a engendré un nouveau rôle unique dans le domaine de la cybersécurité. Les cyber-négociateurs discutent directement avec les attaquants par ransomware à la suite d'un chiffrement de données réussi. Leur tâche consiste à tenter de réduire le montant total de la rançon et, si nécessaire, à obtenir une assistance technique pour garantir le déchiffrement et la récupération des fichiers.

Les groupes de menace sont fortement encouragés à travailler en étroite collaboration avec les négociateurs. Si elles acquièrent une réputation d'être faciles à faire des affaires avec, alors il est plus probable que leurs cibles paieront une rançon. Mais que se passe-t-il lorsqu'un négociateur de ransomware décide de travailler pour l'autre partie ?

Un acte d'inculpation par un grand jury, récemment rendu public, révèle qu'un responsable de la réponse aux incidents et un cyber-négociateur ont été accusés d'utiliser une souche de malware appelée ALPHV/BlackCat pour cibler des victimes et leur extorquer de l'argent. Les deux collaborateurs ont notamment réussi à extorquer un paiement de 1,3 million de dollars à un fabricant d'équipements médicaux.

Bien qu'il n'existe aucune preuve que le négociateur ait utilisé les ressources de son entreprise pour mener des attaques, l'implication est troublante. Dans ce cas précis, le responsable de la réponse aux incidents a commis des attaques par ransomware afin de se désendetter. Quelles mesures sont prises pour empêcher les professionnels de la cybersécurité de céder à l'appât du gain et de basculer du côté obscur ?

Un réseau de fraude de 300 millions d'euros démantelé grâce à la coopération internationale

Autre succès contre la cybercriminalité : une opération internationale conjointe a récemment permis de démanteler un réseau multinational de fraude à la carte de crédit actif entre 2016 et 2021. Le groupe créait de fausses souscriptions à des cartes de crédit, chacune inférieure à 50 € par mois. Il a fini par toucher 19 millions de clients dans presque tous les pays du monde.

La nouvelle la moins encourageante est qu’au moins cinq des 18 suspects arrêtés étaient des employés et des dirigeants de grands fournisseurs de services de paiement. Ces individus exploitaient leur connaissance des systèmes auxquels ils avaient accès pour dissimuler des transactions frauduleuses, blanchir de l’argent et distribuer leurs gains via une série de sociétés écrans.

Il est intéressant de noter le recours à des sociétés de « crime-as-a-service » dans le cadre de ces activités illégales. Bien que nombre de ces organisations soient conçues pour fournir des ransomwares ou des attaques par déni de service, celles utilisées pour cette escroquerie ont créé des réseaux financiers difficiles à suivre dans le cadre d'une opération clé en main. Les consommateurs individuels étaient quasiment dans l'impossibilité de découvrir exactement où leur argent était acheminé grâce à la mise en place de réseaux de sociétés écrans.

2025 a-t-elle été l'année de la menace interne ?

Vous avez peut-être remarqué un fil conducteur dans les trois exemples présentés. Dans le cadre des démantèlements d'activités cybercriminelles les plus marquants de cette année, des professionnels expérimentés de la sécurité de l'information et des experts du secteur des paiements ont collaboré avec des acteurs malveillants pour gagner des millions. 

  • Des vétérans de l'industrie du renseignement se sont entendus avec des courtiers russes en exploits
  • Des cyber-négociateurs ont conspiré avec des opérateurs de ransomware-as-a-service 
  • Des responsables du secteur des paiements ont eu recours à des blanchisseurs d'argent professionnels

Pourquoi tant de professionnels de la sécurité changent-ils soudain de camp ? La réponse dépasse le cadre de cet article (mais j'ai ma petite idée). Néanmoins, ces exemples montrent que même l'initié le plus fiable ne peut pas être au-dessus de tout soupçon. Aujourd'hui plus que jamais, les entreprises doivent mettre en œuvre des solutions de contrôle d'accès et de surveillance capables de détecter les activités suspectes qui caractérisent les menaces internes.

Avec Barracuda, vous pouvez contribuer à surveiller votre réseau afin de détecter le type de comportement qui indique qu'un utilisateur interne agit de façon malveillante. Qu'il s'agisse d'un compte compromis ou de l'action volontaire d'un employé soudoyé, Barracuda Managed XDR peut aider à signaler des transferts et des suppressions de fichiers inhabituels qui pourraient indiquer le vol d'une propriété intellectuelle critique ou une tentative de dissimulation d'une transaction frauduleuse. Programmez une discussion avec nos experts et découvrez comment éviter la prochaine fuite de données interne.

Stoppez les menaces avec une cybersécurité gérée 24/7
Billets associés :
Le rapport ITRC 2025 Consumer Impact : une nouvelle ère en matière de criminalité liée à l'identité
Le rapport ITRC 2025 Consumer Impact : une nouvelle ère en matière de criminalité liée à l'identité
 L’attaque par ransomware du Nevada : des enseignements en matière de cyber-résilience à l’échelle d’un État
L’attaque par ransomware du Nevada : des enseignements en matière de cyber-résilience à l’échelle d’un État
 Malware Brief : Android dans la ligne de mire de FvncBot, SeedSnatcher et ClayRat
Malware Brief : Android dans la ligne de mire de FvncBot, SeedSnatcher et ClayRat
 Le bras long de la loi commence enfin à contrecarrer le smishing
Le bras long de la loi commence enfin à contrecarrer le smishing
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.