Qu'est-ce qu'une attaque DDoS ?

Qu’est-ce qu’une attaque DDoS ?

Lucas Morel
19 mars 2026

La cybersécurité pourrait tout aussi bien avoir son propre langage. Il y a tellement d’acronymes, de termes et de dictons que les professionnels de la cybersécurité et les acteurs de la menace utilisent, qu’à moins d’avoir des connaissances approfondies, une expérience dans le domaine de la sécurité ou un vif intérêt, on ne le sait peut-être pas. Comprendre la signification de ces acronymes et termes est la première étape pour développer une compréhension approfondie de la cybersécurité et, par conséquent, mieux vous protéger, ainsi que vos clients et vos employés.

Dans cette série de blogs, nous visons à expliquer et à simplifier certains des termes les plus couramment utilisés. Auparavant, nous avons abordé l’hébergement à toute épreuve, les CVE, les API, les attaques par force brute, les exploits Zero Day, le doxing, la collecte de données, les IoC et le credential stuffing. Dans cette édition, nous nous penchons sur Ransomware as a Service.

Ransomware en tant que service 101

Les ransomwares sont devenus l’une des cybermenaces les plus perturbatrices affectant les organisations du monde entier. Ce qui était autrefois une attaque techniquement complexe menée par un petit nombre de pirates informatiques sophistiqués est devenu un écosystème criminel évolutif. Aujourd’hui, les ransomwares peuvent être achetés, déployés et monétisés via un modèle connu sous le nom de Ransomware-as-a-Service (RaaS). Les cybercriminels ont pour modèle économique d’embaucher des opérateurs de ransomware pour lancer des attaques de ransomware en leur nom.

Les recherches et analyses de Illicit Trade FR montrent comment les groupes de ransomware fonctionnent comme des entreprises structurées sur les forums et les marchés du darknet : recrutant des affiliés, partageant des outils et partageant les bénéfices. Comprendre le fonctionnement de cet écosystème est essentiel pour les organisations qui cherchent à s’en défendre.

RaaS est un modèle économique dans lequel les développeurs de ransomwares créent des logiciels malveillants et une infrastructure, puis les louent à des sociétés affiliées qui mènent des attaques. À leur tour, les développeurs reçoivent un pourcentage des revenus de la rançon des affiliés. En règle générale, l’affilié conserve 70 à 80 %, tandis que le développeur prélève des « frais de licence » de 20 à 30 %. Ce modèle abaisse les barrières à l’entrée et ce modèle de cybercriminalité est désormais le moteur de la recrudescence mondiale des attaques d’extorsion. Les personnes ayant des compétences techniques limitées peuvent participer à des campagnes de ransomware simplement en achetant l’accès à une boîte à outils RaaS.

Les groupes de ransomware fonctionnent souvent de la même manière que les entreprises légitimes, avec des processus de recrutement, des outils de gestion interne et des tableaux de bord opérationnels utilisés pour suivre les victimes et les paiements de rançon. Les analystes de Illicit Trade FR trouvent souvent des « kits de démarrage » en vente sur les forums darknet. Ces kits comprennent tout ce dont un criminel a besoin : le malware, un manuel d’utilisation expliquant comment infecter une cible et même une assistance technique 24h/24 et 7j/7 de la part des développeurs. Il s’agit d’une industrie professionnalisée où la réputation et le « service client » comptent aux yeux des criminels.

Figure 1 : publication sur le marché criminel XSS propose à l’achat un logiciel de triple extorsion ; Source : Vision Illicit Trade FR

Ransomware en tant que service dans la nature

RansomHub

Le groupe RansomHub est apparu pour la première fois en février 2024, avec une annonce sur le forum russe RAMP. Le groupe exploite un modèle de ransomware-as-a-service (RaaS), ciblant plusieurs plates-formes, notamment Windows, Linux et ESXi. Un utilisateur nommé « koley » a fait l’annonce et a invité d’autres personnes à rejoindre leur programme d’affiliation. RansomHub est rapidement devenu l’un des groupes de ransomwares les plus actifs, faisant 593 victimes à la fin de l’année. Le programme d’affiliation de RansomHub a été prolifique par rapport aux groupes établis, tels que LockBit, en termes de nombre de victimes. RansomHub a notamment été responsable d’une violation importante du système américain de paiement des soins de santé en 2024.

Ruche

Observé pour la première fois en 2021, Hive fonctionnait comme une plateforme RaaS avec des affiliés ciblant des organisations du monde entier. Le groupe a notamment ciblé les établissements de santé et a eu recours à des tactiques de double extorsion : cryptage des systèmes tout en menaçant de divulguer les données volées. En 2023, une opération internationale d’application de la loi s’est emparée de l’infrastructure de Hive après que le groupe ait déjà touché plus de 1 500 organisations dans le monde.

Conti

Conti était l’une des opérations de ransomware les plus prolifiques au monde. Les journaux de discussion internes divulgués en 2022 ont révélé une opération hautement organisée qui comprenait des rôles similaires à ceux des employés, des pipelines de développement et des tableaux de bord opérationnels utilisés pour suivre les victimes et les paiements. Bien que le groupe ait officiellement fermé ses portes, nombre de ses membres se sont dispersés dans d’autres opérations de ransomware, poursuivant ainsi l’écosystème sous de nouveaux noms.

Chat Noir

Également connu sous le nom d’ALPHV, BlackCat est apparu en 2021 et a rapidement attiré l’attention pour avoir été écrit dans le langage de programmation Rust. Le groupe a mis en place un site public de fuite de données qui indexait les fichiers volés, augmentant ainsi la pression sur les victimes pour qu’elles paient les demandes de rançon.

Protection et atténuation

Les ransomwares sont une opération criminelle efficace générant des profits élevés pour un minimum de travail. En raison de la technologie pseudo-anonyme, utilisant le dark web pour les opérations de ransomware et la crypto-monnaie pour les paiements, ainsi que les services de messagerie et VPN qui ne suivent pas l’emplacement physique, les groupes de ransomware poursuivront leurs activités car le risque de sanction est minime et les opérations sont rentables.

Comme toujours, Illicit Trade FR recommande de pratiquer la cyber-hygiène au travail et à la maison.

  1. La règle de sauvegarde 3-2-1 : Conservez trois copies de vos données, sur deux types de supports différents, dont une copie stockée complètement hors ligne. En utilisant plusieurs types et emplacements de stockage, cela vous permet d’éviter d’avoir un point de défaillance unique.
  2. Activer l’authentification multifacteur (MFA) : Activez MFA pour chaque compte. Il ajoute une deuxième preuve (invite d’application, code ou clé de sécurité) afin qu’un mot de passe volé à lui seul n’accorde pas l’accès.
  3. Correctifs et mises à jour : Gardez tout à jour : ordinateurs portables, téléphones, navigateurs et même routeurs/IoT. Les mises à jour corrigent les failles connues que les attaquants exploitent activement. Les criminels recherchent des « trous » dans les logiciels obsolètes.
  4. Sensibilisation et formation au phishing : La plupart des attaques RaaS commencent par un simple e-mail de phishing. Ralentissez sur les liens et les pièces jointes. Vérifiez les demandes inhabituelles sur un canal distinct et signalez les e-mails/messages suspects au service informatique.

Produit phare : API Ransomware

Les ransomwares ne constituent pas seulement un problème pour les personnes directement concernées. La connaissance des événements survenant dans votre propre écosystème de fournisseurs ou dans celui de vos clients peut vous aider à rester conscient des menaces potentielles de vecteur. L’API Illicit Trade FR Ransomware est conçue pour répondre à la question essentielle : Une organisation que je surveille a-t-elle été extorquée ou compromise lors d’un incident de cybersécurité ?

En tirant parti de l’index de données darknet le plus important et continuellement mis à jour au monde, vous pouvez obtenir un aperçu des risques potentiels en effectuant des recherches ciblées de ransomwares. L’API Ransomware permet aux utilisateurs d’interroger en toute sécurité des sites de ransomware sourcés et mis à jour en permanence, principalement mais non exclusivement hébergés dans TOR et Telegram, gérés par des gangs criminels et des acteurs menaçants pour détecter les mentions d’activités criminelles contre une organisation.

Les paramètres de recherche permettent d’effectuer des requêtes par site Web d’entreprise, nom d’entreprise, nom de contact ou autres indicateurs de proximité tels que des produits, des marques ou toute autre propriété intellectuelle. La surveillance et les alertes automatisées assurent une vigilance continue sur une liste dynamique de sources continuellement mise à jour par Illicit Trade FR.

Curieux d’en savoir plus sur l’API Ransomware ? Contactez-nous.

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

universal endpoint management uem sdecoret shutterstock
La CISA exhorte le département informatique à renforcer les systèmes de gestion des terminaux après une cyberattaque perpétrée par un groupe pro-iranien
Qu'est-ce qu'une attaque DDoS ?
Qu’est-ce qu’une attaque DDoS ?
quantum computing digital communication network security
Pékin veut ses propres normes de cryptage quantiques plutôt que d’adopter celles du NIST