Cette nouvelle version du rapport sur l’état de la cybercriminalité en Europe, le rapport IOCTA 2024 d’Europol, met en évidence la menace grandissante que représente la cybercriminalité.

Le rapport insiste sur plusieurs points clés. La cybercriminalité évolue sans cesse, les criminels adaptant leurs méthodes aux nouvelles technologies. L’intelligence artificielle joue notamment un rôle croissant, en rendant certaines attaques plus sophistiquées et plus difficiles à contrer.

Quel est le message essentiel de l’IOCTA 2024 ?

Le rapport IOCTA 2024 d’Europol met en lumière l’évolution constante et la sophistication croissante de la cybercriminalité dans l’Union européenne.

Le document souligne :

• les principales menaces ;
• les acteurs criminels impliqués ;
• les cibles privilégiées ;
• les facteurs facilitant la cybercriminalité ;
• les évolutions technologiques susceptibles d’aggraver ces menaces.

Le message central du rapport peut être résumé en plusieurs points.

La cybercriminalité est en constante évolution

Le rapport souligne que les cybercriminels adaptent continuellement leurs méthodes et techniques afin d’exploiter les nouvelles technologies et les faiblesses des systèmes.

L’adoption croissante de l’intelligence artificielle par les cybercriminels est particulièrement préoccupante, car elle ouvre de nouvelles possibilités pour mener des attaques plus sophistiquées et plus difficiles à détecter.

Les menaces sont diversifiées et interconnectées

Les principales menaces identifiées dans le rapport — telles que les attaques par rançongiciel, l’exploitation sexuelle des enfants en ligne, ainsi que la fraude en ligne et la fraude aux paiements — sont interconnectées.

Elles sont alimentées par des facteurs communs, notamment :

• le commerce illicite de données personnelles ;
• l’utilisation de cryptomonnaies ;
• le recours au dark web ;
• l’usage de plateformes de communication chiffrées ;
• la professionnalisation des services criminels en ligne.

Les cibles sont de plus en plus vulnérables

Le rapport indique que les cybercriminels ciblent de plus en plus les petites et moyennes entreprises — PME — en raison de défenses informatiques souvent plus faibles.

Les particuliers restent également des cibles privilégiées, notamment pour :

• les escroqueries à l’investissement ;
• la fraude par compromission de courriel professionnel — Business Email Compromise, ou BEC ;
• les escroqueries sentimentales ;
• les fraudes aux paiements ;
• les tentatives d’hameçonnage.

Les technologies facilitent la cybercriminalité

Le rapport met en évidence le rôle central des technologies dans la prolifération de la cybercriminalité.

Le dark web, les cryptomonnaies et les plateformes de communication chiffrées de bout en bout — end-to-end encryption, ou E2EE — offrent aux cybercriminels des outils leur permettant :

• d’opérer de manière plus anonyme ;
• d’échanger des informations et des services illicites ;
• de dissimuler certaines transactions ;
• de blanchir les produits de leurs crimes ;
• de coordonner leurs activités criminelles.

Quelles sont les principales menaces identifiées par Europol ?

Le rapport IOCTA 2024 d’Europol identifie plusieurs menaces majeures dans le domaine de la cybercriminalité.

Attaques par rançongiciel

Les groupes de rançongiciels ciblent de plus en plus les petites et moyennes entreprises en raison de défenses informatiques souvent moins robustes.

Les affiliés et les développeurs de haut niveau restent des acteurs importants dans l’écosystème criminel.

Les opérations policières récentes et la fuite de codes sources de rançongiciels, par exemple Conti, LockBit et HelloKitty, ont conduit à une fragmentation des groupes actifs et des variantes disponibles.

LockBit était le fournisseur de RaaS — ransomware-as-a-service — le plus prolifique sur le marché en 2023.

Cl0p est un groupe avancé ayant accès à des exploits zero-day, tandis qu’Akira est un acteur plus récent de la scène des rançongiciels, susceptible de représenter une menace croissante.

Exploitation sexuelle des enfants en ligne

Le volume croissant de contenus illégaux en ligne pose des défis importants aux services de police qui luttent contre l’exploitation sexuelle des enfants.

Les plateformes de communication chiffrées de bout en bout sont de plus en plus utilisées par les délinquants pour échanger des contenus illicites et communiquer entre eux.

L’extorsion sexuelle en ligne de mineurs constitue une menace croissante. Elle est perpétrée par des criminels motivés à la fois par un intérêt sexuel envers les enfants et par un gain financier.

L’utilisation de l’intelligence artificielle, qui permet aux délinquants sexuels de générer ou de modifier des contenus illicites, devrait se multiplier dans un avenir proche.

Fraude en ligne et fraude aux paiements

L’hameçonnage demeure le vecteur d’attaque le plus répandu en matière de fraude. Il reste également l’une des principales méthodes utilisées dans les campagnes visant les citoyens, les entreprises privées et les institutions publiques de l’Union européenne.

La disponibilité du phishing-as-a-service continue de croître.

L’écrémage numérique — digital skimming — constitue une menace persistante. Il entraîne le vol, la vente et l’utilisation abusive de données de cartes bancaires.

Quels sont les facilitateurs de la cybercriminalité selon le rapport IOCTA 2024 ?

Le rapport met en lumière deux principaux facilitateurs de la cybercriminalité :

• le dark web ;
• les cryptomonnaies.

Le dark web

Le dark web, accessible principalement via le réseau Tor, continue d’être une plateforme clé pour les cybercriminels.

Il permet le partage de connaissances, d’outils et de services de manière plus discrète que sur le web ouvert. Les forums du dark web restent le principal canal de publicité pour les marchés illégaux, même si certains d’entre eux disposent également de sites miroirs sur le web ouvert.

Le dark web demeure toutefois un environnement instable. La fragmentation des marchés se poursuit, accompagnée d’une augmentation des exit scams, c’est-à-dire des situations dans lesquelles les administrateurs ferment soudainement un marché et volent les fonds déposés.

La durée de vie des sites criminels tend donc à se raccourcir, tandis que des sites miroirs apparaissent rapidement pour contrer les fermetures.

Parmi les forums et marchés du dark web les plus actifs en 2023, le rapport cite notamment :

• Exploit ;
• XSS ;
• BreachForums ;
• CryptBB ;
• Dread ;
• RAMP ;
• Russian Market ;
• WWH-Club.

Le rapport observe également une augmentation de la commercialisation d’outils et de services d’intelligence artificielle sur le dark web, y compris des modèles de langage dépourvus de filtrage des requêtes.

Les cryptomonnaies

L’utilisation des cryptomonnaies dans plusieurs domaines criminels est devenue plus visible en 2023.

Le Bitcoin reste la cryptomonnaie la plus utilisée par les criminels, mais l’utilisation d’altcoins, c’est-à-dire de cryptomonnaies alternatives, semble augmenter.

Le blanchiment d’argent lié aux cryptomonnaies pose des défis importants aux enquêteurs, notamment en raison de l’implication de services non conformes établis dans des juridictions offshore.

Les nouvelles règles de l’Union européenne relatives aux informations accompagnant les transferts de fonds, ainsi que les lignes directrices de l’Autorité bancaire européenne — ABE —, devraient toutefois avoir un effet positif sur la quantité d’informations disponibles pour les enquêtes liées aux cryptomonnaies.

Les techniques d’obscurcissement utilisées pour blanchir les cryptomonnaies varient en complexité. Le rapport mentionne notamment :

• l’utilisation de groupes sur des applications de messagerie chiffrées de bout en bout ;
• le recours à des solutions bancaires clandestines ;
• l’utilisation de cartes de débit en cryptomonnaie ;
• le recours à des services d’échange.

Quelles sont les principales actions d’Europol ?

Les sources utilisées se concentrent principalement sur l’évaluation des menaces liées à la cybercriminalité et ne décrivent pas de manière exhaustive les actions spécifiques entreprises par Europol.

Elles mentionnent toutefois le soutien d’Europol à plusieurs opérations et initiatives majeures de lutte contre la cybercriminalité.

Soutien aux opérations internationales

Europol a soutenu les autorités nationales dans plusieurs opérations internationales majeures visant à démanteler des infrastructures criminelles.

Opération Hive Ransomware Takedown — janvier 2023

Europol a soutenu les autorités allemandes, néerlandaises et américaines, ainsi que d’autres pays, dans le démantèlement de l’infrastructure du rançongiciel Hive.

Ce rançongiciel avait touché plus de 1 500 entreprises dans plus de 80 pays.

Arrestation de membres du réseau DoppelPaymer — février 2023

Europol a soutenu les polices allemande, ukrainienne et néerlandaise, ainsi que le FBI américain, dans une opération visant des membres présumés du réseau criminel responsable d’attaques à grande échelle utilisant le rançongiciel DoppelPaymer.

Démantèlement du groupe RagnarLocker — octobre 2023

Europol a participé à l’arrestation d’un membre clé du groupe RagnarLocker, responsable de nombreuses attaques de haut niveau contre des infrastructures critiques dans le monde entier.

Opération Qakbot Botnet Shattered — août 2023

Europol a soutenu une opération internationale visant à démanteler le réseau de logiciels malveillants Qakbot, qui ciblait des infrastructures critiques et des entreprises dans plusieurs pays.

Opération Elaborate — iSpoof — novembre 2022

Europol a participé à l’opération ayant conduit au démantèlement du site web iSpoof.cc.

Ce site était utilisé par des criminels pour usurper l’identité d’institutions financières et voler des informations à leurs victimes.

Opération Cookie Monster — avril 2023

Europol a soutenu le FBI américain et la police néerlandaise dans le démantèlement de Genesis Market, un marché du dark web vendant des identifiants de comptes volés et des bots utilisés par des pirates informatiques dans le monde entier.

Action contre une plateforme d’investissement frauduleuse en ligne — mars 2023

Europol et Eurojust ont soutenu les autorités allemandes dans une action coordonnée contre une plateforme d’investissement en ligne frauduleuse.

Cette plateforme aurait ciblé au moins 33 000 victimes, pour un préjudice estimé à 89 millions d’euros.

Coordination des efforts de lutte contre la cybercriminalité

Europol joue également un rôle important dans la coordination des efforts de lutte contre la cybercriminalité aux niveaux européen et international.

European Money Mule Action — EMMA — juin, octobre et novembre 2023

Europol a soutenu une série d’opérations coordonnées impliquant 26 pays afin de lutter contre les mules financières et leurs recruteurs.

Soutien au réseau InterCOP — depuis 2023

Europol soutient le réseau InterCOP, composé de services de police internationaux qui partagent leur expertise et développent conjointement des interventions et des campagnes de prévention de la cybercriminalité.

Journées d’action conjointes EMPACT en Europe du Sud-Est — novembre 2023

Europol a soutenu les services de police de toute l’Europe dans le cadre d’une initiative coordonnée à grande échelle visant à lutter contre :

• le trafic d’armes à feu ;
• le trafic de drogue ;
• le trafic de migrants ;
• la traite des êtres humains.

Quelles sont les tendances futures ?

Le rapport identifie plusieurs tendances futures susceptibles de structurer l’évolution de la cybercriminalité.

L’adoption plus large des outils et services d’intelligence artificielle par les cybercriminels crée de nouvelles menaces.

L’intelligence artificielle est utilisée pour améliorer les méthodes criminelles, automatiser certaines tâches et produire des scripts ou contenus frauduleux plus convaincants.

Les modèles de langage malveillants devraient prendre une importance croissante dans le cadre du crime-as-a-service — CaaS.

L’utilisation abusive de la technologie deepfake dans les affaires d’extorsion sexuelle devrait augmenter.

L’adoption plus large des principes du Web3 pourrait conduire à un Internet encore plus décentralisé, offrant de nouvelles possibilités aux cybercriminels.

De nouveaux types de RaaS — ransomware-as-a-service — sont également susceptibles d’apparaître.

synthèse et traduction du texte par Pierre Berthelet

 

• Rapport iOCTA 2024 d’Europol