Cybercriminalité : 75 % des affaires demeurent sans suite
Origines et historique
Le constat est aigu : en Russie, environ 75 % des dossiers de cybercriminalité n'aboutissent pas à une condamnation¹. Ce chiffre n'est pas seulement statistique, il révèle une fracture entre la détection technique des incidents et la capacité des services judiciaires à transformer ces preuves en poursuites effectives. Plusieurs facteurs, ancrés dans l'histoire récente et dans l'organisation des acteurs criminels, expliquent cette impunité.
Évolution de la menace
La nature des attaques a profondément évolué depuis les années 2000. La décennie 2000-2010 a été marquée par l'émergence des botnets et du phishing de masse, des menaces faciles à lancer depuis des zones où la coopération transfrontalière restait sporadique. De 2010 à 2020, les ransomwares ont pris le devant de la scène ; la tactique dite de "double extorsion" a ajouté une dimension de chantage aux pertes d'availability en s'appuyant sur la fuite de données. Depuis 2020, on observe une professionnalisation accrue des acteurs : modularité des malwares, recours systématique aux services cloud et utilisation de chiffrement avancé, qui élargissent la surface d'investigation et complexifient l'attribution. Europol note cette modularisation et l'utilisation croissante d'infrastructures légitimes détournées².
Contexte institutional et coopération
Les enquêtes sont freinées par des délais procéduraux et des écarts législatifs entre États. Les demandes d'entraide judiciaire internationale (MLA) peuvent durer des mois et rendre caducs des éléments de preuve volatils. Le manque de ressources spécialisées - experts en digital forensics, reverse engineering et traçage de crypto-actifs - accroît la dépendance aux acteurs privés, sans toujours garantir un enchaînement probatoire solide. Quand la coopération plante, l'enquête s'arrête souvent faute d'accès aux logs cloud, aux enregistrements de registrars ou aux informations bancaires à l'étranger.
Fonctionnement technique des attaques et limites de l'enquête
Pour comprendre pourquoi tant d'affaires n'aboutissent pas, il faut entrer dans le concret des opérations d'attaque et d'investigation.
Vecteurs et techniques courantes
Les campagnes commencent fréquemment par du phishing ou des compromissions de comptes e-mail (BEC) via ingénierie sociale, ensuite viennent l'élévation de privilèges et le mouvement latéral. L'accès initial se fait souvent par des services RDP mal sécurisés, l'exploitation de vulnérabilités connues ou des credentials réutilisés. Une fois à l'intérieur, les attaquants utilisent des outils tels que PsExec, Cobalt Strike ou des loaders propriétaires pour exécuter des charges utiles, chiffrer des données et exfiltrer des informations avant de demander une rançon.
Les malwares modulaires et polymorphes rendent l'analyse statique peu fiable et exigent du reverse engineering approfondi. Ces investigations sont longues et coûteuses, et elles doivent être réalisées rapidement pour conserver la valeur probante des artefacts.
Techniques d'évasion et anonymisation
Masquer l'origine des attaques est devenu systématique : VPN payants, proxys, réseaux TOR et infrastructures cloud éphémères sont utilisés pour cacher des points d'accès. Sur le plan financier, des mixeurs, des services d'échange non réglementés et des conversions rapides en fiat créent des ruptures dans la chaîne de traçage. Techniquement, ces moyens n'empêchent pas toute investigation, mais ils exigent des compétences et des moyens que toutes les polices judiciaires ne possèdent pas.
Preuves numériques et contraintes opérationnelles
Les preuves varient en stabilité. Les données en mémoire, les sessions réseau actives et certains artefacts systèmes sont volatiles. En cas d'incident, la fenêtre de collecte est courte. Les bonnes pratiques opérationnelles sont connues : imager les disques, dumper la RAM, préserver les logs SIEM et isoler des machines sans les détruire. Dans la pratique, les retards liés aux MLA, aux demandes de saisie ou aux obligations contractuelles avec des fournisseurs étrangers sont le facteur le plus fréquent d'échec judiciaire.
Voici un schéma d'enquête pragmatique et opérationnel que j'utilise souvent :
- Détection initiale - tri des indicateurs par l'équipe SOC, collecte d'hypothèses de compromission.
- Contention et acquisition - isolation, imagerie disque, capture mémoire, sauvegarde des logs.
- Analyse TTP - cartographie via des frameworks comme MITRE ATT&CK pour identifier C2 et escalation.
- Actions externes - demandes aux registrars, aux fournisseurs cloud et aux prestataires de paiement via procédures MLA ou contacts rapides.
- Constitution du dossier - chaînage des preuves, horodatages, métadonnées et documentation des mesures prises pour préserver la chaîne probatoire.
Un seul délai excessif ou un refus de coopération peut rendre tout le dossier inexplorable en justice.
Études de cas et impacts observés
1) Impunité en Russie
L'estimation selon laquelle 75 % des affaires de cybercriminalité en Russie restent sans suite illustre une réalité factuelle liée à l'anonymisation technique, à la fragmentation des groupes et aux lourdeurs administratives¹. La conséquence directe est une perte de confiance des victimes qui, souvent, abandonnent les poursuites faute de perspective réaliste de résultat.
2) Tendances globales et réponses opérationnelles
Au niveau mondial, la hausse des signalements ne s'accompagne pas toujours d'un taux de résolution proportionnel. Le rapport IOCTA 2023 d'Europol documente la modularisation des menaces et le recours aux services cloud, ce qui complique l'attribution et la perturbation durable des infrastructures malveillantes². Les opérations coordonnées internationales montrent que l'action ciblée sur l'infrastructure des attaquants porte ses fruits, mais ces succès restent souvent tactiques plutôt que judiciaires.
3) Coût pour les victimes
Les pertes financières rapportées par le FBI dans son Internet Crime Report 2022 sont importantes et montrent l'impact économique des fraudes et ransomwares³. Au-delà du coût direct, il y a des coûts indirects : interruption d'activité, réputation, dépenses en forensic et en sécurité renforcée après l'attaque.
Perspectives et recommandations opérationnelles
Réduire l'écart entre détection et condamnation implique des actions techniques, juridiques et diplomatiques coordonnées.
Renforcer les capacités forensics
Créer et financer des unités spécialisées en criminalistique numérique et en reverse engineering, en veillant à la formation continue des enquêteurs. Standardiser l'archivage des logs et des artefacts et déployer des playbooks de réponse pour garantir une collecte rapide et probante.
Accélérer la coopération internationale
Négocier des accords bilatéraux pour accélérer la préservation des preuves et créer des canaux dédiés pour les incidents sensibles. Les MLA restent nécessaires, mais des voies de coopération opérationnelle peuvent réduire les délais critiques.
Outils et régulation financière
Investir dans des outils d'analyse blockchain et renforcer les obligations de conformité pour les plateformes d'échange afin de limiter les points aveugles lors des conversions en fiat. Encourager le partage d'indicateurs en STIX/TAXII entre acteurs privés et autorités pour accélérer la corrélation d'incidents.
Mesures immédiates pour les entreprises
- Standardiser la préservation des preuves - imagerie disque et dump mémoire systématiques.
- Centraliser les logs et conserver les SIEM sur des périodes adaptées aux délais juridictionnels.
- Établir des contacts juridiques et opérationnels pour faciliter les MLA et demandes de préservation chez les fournisseurs étrangers.
Les attaquants progressent rapidement et exploitent à leur tour des outils avancés, y compris l'IA pour l'ingénierie sociale. Les tensions géopolitiques créent des zones de non-coopération qui retardent ou empêchent les poursuites. Pour diminuer l'impunité, il faut agir sur trois fronts : technique, judiciaire et diplomatique.
