Secu
Menaces étatiques et cybercriminalité : des liaisons dangereuses
Par Laurent Delattre, publié le 20 février 2025
Ce n’est plus un secret. La cybercriminalité, jadis considérée comme un fléau purement financier, s’est imposée comme un levier stratégique dans l’arsenal des États. Les liens entre les deux entités se resserrent. Dans un nouveau rapport, le Google Threat Intelligence Group rappelle que les deux univers sont désormais liés. Besoin de caresser l’administration Trump et le DOGE dans le sens du poil ou simple éveil des consciences, le rapport du GTIG sonne comme une diatribe contre des experts cyber-gouvernementaux bien trop focalisés sur le cyber-espionnage et insuffisamment attentifs aux autres activités malveillantes qui néanmoins sont une menace pour l’Etat.
En 2024, Mandiant – entité de Google Cloud Security – a constaté que le nombre d’intrusions menées par des acteurs à motivation financière était près de quatre fois supérieur à celui des opérations « purement » étatiques. Le problème, c’est que tous les acteurs malveillants à motivation financière ne sont pas forcément de simples escrocs : la frontière entre cybercriminalité et opérations étatiques s’efface, chaque domaine nourrissant l’autre et amplifiant les risques pour la sécurité nationale.
Un écosystème aux usages multiples
Les « quatre grands » – Russie, Chine, Iran et Corée du Nord – exploitent aujourd’hui la cybercriminalité à des fins lucratives et stratégiques. Selon le rapport de Google, la Russie a, par exemple, mobilisé sa communauté cybercriminelle (à commencer par les groupes APT44/Sandworm et RomCom/CIGAR) pour pallier les contraintes imposées par son conflit en Ukraine, empruntant des outils et des talents à des groupes criminels pour mener espionnage et perturbation. Parallèlement, la Chine, avec des groupes comme APT41, brouille les pistes en mêlant ransomware et collecte de renseignements, renforçant ainsi ses opérations d’espionnage étatiques. Quant à l’Iran, sous la pression d’un déclin économique, certains acteurs apparemment liés au régime n’hésitent pas à recourir à des opérations de piratage et au déploiement de ransomwares pour rentabiliser leurs actions. La Corée du Nord, quant à elle, recentre de plus en plus clairement ses activités sur des opérations financières, notamment par le biais de vols de crypto-monnaies, afin de financer directement son régime (ses activités militaires et nucléaires) et contourner les sanctions internationales. Les chercheurs en cybersécurité estiment que la Corée du Nord a volé environ 3 milliards de dollars en cryptomonnaies entre 2017 et 2023.
Ben Read, Senior Manager, Google Threat Intelligence Group, résume parfaitement cette tendance. Il explique que « le vaste écosystème cybercriminel a servi d’accélérateur au piratage parrainé par les États, en fournissant des logiciels malveillants, des vulnérabilités et, dans certains cas, des opérations à spectre complet aux États. Ces capacités peuvent être moins coûteuses et plus faciles à nier que celles développées directement par un État. Ces menaces ont été considérées comme distinctes pendant trop longtemps, mais la réalité est que la lutte contre la cybercriminalité contribuera à la défense contre les attaques soutenues par les États. »
Des impacts qui vont bien au-delà du simple vol de données
L’ampleur des intrusions n’est pas qu’un problème économique. Les cyberattaques sur des infrastructures critiques – qu’il s’agisse d’hôpitaux, de réseaux électriques ou d’installations industrielles – révèlent une facette plus sombre : celle d’une menace pesant directement sur la vie des citoyens.
Lorsqu’un hôpital est privé de ses systèmes critiques, ce n’est pas seulement une question de données, mais bien de vies humaines. Le rapport souligne que l’impact d’un ransomware sur un établissement de santé, qu’il soit le fait d’un groupe à motivation financière ou d’un acteur étatique, se traduit par une détérioration immédiate des soins aux patients. Une étude de l’Université du Minnesota-Twin Cities a montré que, lorsque les hôpitaux subissent une attaque par ransomware, la mortalité grimpe de 35 à 41 % chez les patients hospitalisés.
Sandra Joyce, vice-présidente de Google Threat Intelligence, insiste sur ce point expliquant que « la cybercriminalité est incontestablement devenue une menace essentielle pour la sécurité nationale des pays du monde entier. La place de marché au centre de l’écosystème de la cybercriminalité a rendu chaque acteur facilement remplaçable et l’ensemble du problème résilient aux perturbations. Malheureusement, nombre de nos actions se sont traduites par des désagréments temporaires pour ces criminels, mais nous ne pouvons pas traiter ce problème comme une nuisance et nous devrons redoubler d’efforts pour obtenir des résultats significatifs. »
Un appel à l’action internationale
Face à cette convergence des menaces, il apparaît indispensable d’adopter une approche globale et coordonnée. Le rapport du GTIG appelle ainsi le gouvernement américain à :
– Élever la cybercriminalité au rang de priorité de sécurité nationale, afin que les ressources allouées à la lutte contre ces menaces soient à la hauteur des enjeux.
– Renforcer les défenses cybersécuritaires des infrastructures critiques, en encourageant l’adoption des meilleures pratiques et en investissant dans l’innovation technologique.
– Déstabiliser l’écosystème de la cybercriminalité en ciblant les fournisseurs d’outils malveillants et les intermédiaires financiers, pour réduire l’accès des États et des groupes criminels à ces ressources.
– Favoriser la coopération internationale en établissant des cadres communs pour le partage d’informations et les opérations conjointes, essentielles pour démanteler ces réseaux transnationaux.
Pour les experts de Google, la réalité est sans appel : la cybercriminalité n’est plus une simple affaire de fraude financière. Elle est devenue un instrument de puissance et d’influence, où chaque intrusion, chaque fuite de données, peut avoir des répercussions sur la stabilité d’un État.
La symbiose entre cybercriminalité et opérations étatiques représente aujourd’hui un défi majeur pour la sécurité nationale des USA comme de tout autre État. À l’ère des attaques hybrides, où la distinction entre crime organisé et stratégie étatique se fait de plus en plus floue, il est impératif de repenser nos réponses collectives.
On s’étonnera néanmoins du ton employé dans le rapport et de l’impression qu’il donne que les agences américaines découvrent seulement les liens croissants entre cybercriminalité et activités étatiques. Ce n’est probablement pas le cas. Google semble néanmoins chercher à éveiller les consciences américaines et a dénoncé une trop grande focalisation des agences de sécurité américaine sur les seuls risques de cyber-espionnage et cyber-terrorisme.
En France, même si elle n’a pas « dénoncé » aussi frontalement de tels liens, l’ANSSI a souvent évoqué ce flou qui grandit à la frontière entre cybercriminalité et parrainage étatique. Ses récents rapports mettaient déjà en lumière comment certains groupes cybercriminels bénéficient, de façon directe ou indirecte, du soutien d’États ou d’opérations étatiques.
Enfin, on notera aussi que ce rapport n’évoque absolument pas les gouvernements occidentaux et leurs pratiques de cyber-espionnage, cyber-influence, cyber-défense “offensive”…
À LIRE AUSSI :
À LIRE AUSSI :
