Ransomware : Les franchises comme écrans de fumée en 2025
Origines et historique
Le paysage des ransomwares a changé profondément ces dernières années. Ce n'est plus seulement une poignée de groupes qui écrivent et exécutent des attaques de A à Z; le modèle qui domine aujourd'hui ressemble davantage à une économie de franchises, avec développeurs d'outils, affiliés spécialisés et marchés noirs où s'échangent services et accès. LockBit s'est imposé comme un acteur central de cette mutation depuis 2020, et ses révélations en 2025 ont relancé les questions sur la traçabilité et la responsabilité¹.
La fuite du groupe Conti a joué un rôle décisif en dispersant des talents et des outils. Des développeurs et opérateurs auparavant centralisés se sont retrouvés à travailler pour d'autres projets ou à monter leurs propres collectifs. Les analyses post-fuite montrent que des modules conçus pour Conti ont été réutilisés dans des campagnes ultérieures, ce qui a accru la modularité des attaques².
Cette recomposition transforme souvent les franchises en véritables écrans de fumée: outils et composants circulent entre groupes, des librairies communes réapparaissent dans des familles d'attaques différentes, et la mobilité des acteurs rend l'attribution délicate¹. Europol met en garde contre une professionnalisation des chaînes d'approvisionnement criminelles, avec une spécialisation croissante des rôles - des courtiers d'accès initial aux négociateurs de rançon³.
Fonctionnement technique
Architecture des franchises et points communs
Sur le plan économique, le modèle reprend des mécanismes connus: un développeur propose un kit - code, services de paiement, support - et des affiliés l'utilisent contre une part de la rançon, typiquement 20% à 30%¹. En pratique, la plateforme du développeur peut fournir des modules, des canaux de paiement et un support opérationnel; les affiliés ciblent ensuite les victimes. Cette séparation entre concepteurs et opérateurs augmente la modularité des attaques et complique l'analyse forensique, car des composants identiques peuvent apparaître dans des campagnes revendiquées par des groupes différents.
Vecteurs d'infection et chaîne d'attaque
Les opérations suivent souvent un schéma répétitif: accès initial, maintien, latéralité, exfiltration, puis chiffrement et extorsion. L'accès initial passe fréquemment par du phishing ciblé ou l'exploitation de connexions à distance mal protégées; des fournisseurs tiers insuffisamment sécurisés sont un vecteur d'entrée courant³.
- Accès initial : Via phishing ciblé ou exploitation de services à distance mal protégés, souvent en ciblant un fournisseur tiers compromis³.
- Persistance et latéralité : utilisation d'outils légitimes détournés, credential dumping et mouvements latéraux via RDP/SMB.
- Exfiltration : agrégation des données sensibles suivie de leur chiffrement; tunnels chiffrés et canaux de transfert sont employés pour masquer le vol.
- Déclenchement du chiffrement et extorsion : le ransomware chiffre les systèmes et les opérateurs menacent de publier les fichiers compromis sur des portails dédiés.
Techniques d'obfuscation et anti-forensic
Les acteurs obfusquent le code avec des compilateurs personnalisés, multiplient les couches de chiffrement des communications et s'appuient sur des hébergeurs "bulletproof" pour réduire les risques d'intervention. Ils détournent aussi des outils administratifs légitimes afin de limiter les signaux d'alerte. L'utilisation de crypto-monnaies facilite le blanchiment des fonds et la rémunération des affiliés.
Plateformes partagées et marketplace criminel
Les portails de négociation fonctionnent comme des marketplaces: on y trouve des outils packagés, des accès vendus à la découpe et des services de réputation. Ces espaces favorisent la spécialisation, réduisent le coût d'entrée pour de nouveaux acteurs et permettent la notation des vendeurs, ce qui renforce la commercialisation des services illicites.
Études de cas
LockBit 3.0 - révélations 2025 et conséquences pratiques
Les documents associés à LockBit 3.0 publiés en 2025 montrent une plateforme pensée pour intégrer des modules tiers, rendant la marque dissociable des opérateurs individuels. Ce design favorise la dissociation entre infrastructure et exécutants: la même installation technique peut accueillir des modules développés par des équipes distinctes. Pour les équipes de défense, cela provoque davantage de faux positifs et complique la corrélation entre IOCs et responsables opérationnels.
Dispersion post-Conti et émergence de collectifs hybrides
La fuite de Conti a été un catalyseur: fragments de code et procédures opérationnelles ont été réutilisés, accélérant l'apparition de collectifs hybrides composés d'anciens membres et de nouveaux affiliés. Cette circulation d'artefacts réduit la valeur probante des signatures statiques et oblige les enquêtes à intégrer le contexte tactique et comportemental des intrusions².
Cas opérationnel: attaque d'un opérateur logistique (hypothétique basée sur tendances observées)
Scénario type: un fournisseur tiers est compromis. Les attaquants utilisent un loader partagé par plusieurs franchises pour franchir la première barrière, puis déplacent latéralement leurs charges utiles vers des systèmes cibles. Après exfiltration des données clients, des fichiers sont publiés sur un site de fuite géré par des opérateurs distincts, fragmentant la chaîne de responsabilité et rendant les enquêtes plus longues et coûteuses.
Perspectives
Le modèle commercial des ransomwares tend à gagner en modularité et en professionnalisation. Trois conséquences opérationnelles se dégagent: l'attribution devient plus délicate, les attaques gagnent en efficacité économique et les services de support criminel deviennent des cibles prioritaires pour les autorités.
Recommandations opérationnelles synthétiques
- Inventorier et durcir les accès tiers: contrôles d'accès, revue régulière des droits et exigence d'authentification multi-facteurs pour tout accès distant.
- Surveiller les flux sortants et les comptes de service pour détecter des exfiltrations inhabituelles et anomalies de trafic.
- Segmenter le réseau et mettre en place des sauvegardes immuables, testées régulièrement, afin de réduire l'impact opérationnel d'un chiffrement.
- Investir dans la chasse proactive: traquer les signatures d'outils partagés, corréler les comportements et automatiser les réponses aux incidents.
Le partage d'information entre entreprises et la coopération public-privé restent des leviers indispensables pour suivre et perturber les infrastructures criminalisées. Les sanctions ciblant les canaux financiers et les actions contre des hébergeurs complices montrent des effets tangibles, à condition d'être coordonnées au plan international³.
Les dirigeants doivent prévoir des investissements ciblés en cyberdéfense, tant sur le plan technologique que sur les compétences et les clauses contractuelles vis-à-vis des fournisseurs. Face à une menace adaptable et hautement réutilisable, la combinaison de durcissement technique, d'intelligence proactive et de coopération institutionnelle est la stratégie la plus solide pour rendre la chaîne d'attaque trop coûteuse et peu fiable pour les acteurs criminels.
