Vue lecture

↗️

Comment un ransomware a semé la pagaille dans les aéroports européens

✇Silicon
Par :Clément Bohic

Une évacuation samedi à Dublin après une alerte à la bombe, des fermetures lundi à Oslo et Copenhague pour survol de drones… Ces derniers jours auront été mouvementés pour les aéroports de par l’Europe.

À cela s’est ajoutée une cyberattaque. Pas directement contre eux, mais contre le fournisseur d’un logiciel d’enregistrement des passagers et des bagages. Les premiers symptômes ont été constatés vendredi dans la soirée. La situation n’est pas encore pleinement revenue à la normale.

Un logiciel américain répandu dans les aéroports européens

Le logiciel en question s’appelle MUSE (Multi-User Systems Environment). Il est fourni par Collins Aerospace, filiale de RTX (ex-Raytheon Technologies), un géant de l’aérospatiale et de la défense*.

Déployé dans « plus de 100 aéroports » et utilisé par « plus de 300 compagnies aériennes », MUSE est, dans le jargon, un CUPPS (common-use passenger processing system). Il permet de mutualiser comptoirs d’enregistrement et portes d’embarquement. Plusieurs modules le composent : SelfServ pour l’enregistrement en self-service, SelfPass pour l’identification biométrique, SmartBag pour le suivi des bagages, AirVue pour la gestion des panneaux d’information, etc.). Le déploiement sur site reste possible, mais Collins Aerospace met généreusement en avant la « nouvelle génération » de MUSE, hébergée chez AWS.

Avec les déploiements cloud, l’interconnexion se fait grâce au service WAN AviNet, qui repose sur le réseau d’ARINC. Cette entreprise est le fournisseur historique – depuis près d’un siècle – des infrastructures de communication des aéroports. Elle fut détenue par les principales compagnies aériennes et divers constructeurs aéronautiques américains. Son activité communications (elle éditait par ailleurs des normes dans le domaine de l’avionique) fut vendue à Carlyle Group en 2007. Avant de tomber, en 2013, dans le giron de Rockwell Collins, qui allait lui-même fusionner en 2018 avec United Technologies pour donner naissance à Collins Aerospace.

Un ransomware au bout du compte

Ce réseau semble avoir été infiltré. Les attaquants sont possiblement remontés jusqu’à des contrôleurs de domaines dans l’environnement Windows de Collins Aerospace. Au bout de la chaîne, un ransomware a pu être diffusé, selon l’ENISA.

Lundi, Collins Aerospace a affirmé que le processus de reconstruction des systèmes impactés touchait à sa fin. Dans la même journée, on a appris qu’après une tentative de restauration à partir d’une sauvegarde, la menace avait persisté.

À Londres-Heathrow, plus d’un millier de terminaux auraient été corrompus, une restauration à distance n’étant pas envisageable pour la plupart. Sur place, Collins Aerospace a recommandé aux compagnies aériennes de ne pas éteindre de systèmes ni de se déconnecter des logiciels. La majorité des vols du dimanche et du lundi ont été maintenus, mais des compagnies enregistrent encore manuellement passagers et bagages.

Work continues to resolve and recover from the outage of a Collins Aerospace airline system that impacted check-in. We apologise to those who have faced delays, but by working together with airlines, the vast majority of flights have continued to operate.

We encourage… pic.twitter.com/S40IbNveqK

– Heathrow Airport (@HeathrowAirport) September 21, 2025

Du côté de Berlin-Brandebourg, on a annoncé, pour dimanche, des retards « typiques d’une journée classique ». Lundi, l’aéroport s’est fécilité de perturbations restées « dans les limites acceptables » vu les circonstances et l’afflux lié au marathon de Berlin. Dans la soirée, il a évoqué une situation « stabilisée », mais la possibilité de temps d’attente allongés.

Der Betrieb am #BER läuft weitgehend stabil, dank des großen Einsatzes unserer Teams und Partner. Heute erhöhtes Passagieraufkommen – längere Wartezeiten möglich.
👉 Online-Check-in nutzen
👉 Self-Service-Automaten verwenden
👉 Fast-Bag-Drop für Gepäck

?? https://t.co/3R5yJvnTF1

– BER – Berlin Brandenburg Airport (@berlinairport) September 22, 2025

D’après les données d’Eurocontrol, 70 % des vols au départ de Berlin ont eu plus de 15 minutes de retard lundi.
Le taux fut de 85 % à Bruxelles, où, de plus, 63 vols furent annulés (40 au départ, 23 à l’arrivée).

Limited disruption expected on 22 and 23 September, causing some flight delays and cancellations. Check the status of your flight before coming to the airport. More information on our website: https://t.co/CGtagAiP9J pic.twitter.com/P0Z9Dec8Rd

– Brussels Airport (@BrusselsAirport) September 22, 2025

Dimanche à la mi-journée, 13 vols avaient été annulés à l’aéroport de Dublin. Qui appelait les voyageurs à « prévoir du temps supplémentaires » en cas de bagages à enregistrer.

Passenger Update – Monday @ 07.15

The Dublin Airport team is continuing to support airlines today (Monday) as they manage ongoing disruption from a technical issue that is affecting check-in and boarding systems at several airports in Europe.

1/4 🧵 pic.twitter.com/NHWQpRo2LG

– Dublin Airport (@DublinAirport) September 22, 2025

* Collins Aerospace a 4 sites en France, à Antony (Hauts-de-Seine ; systèmes antifeu pour hélicoptères), Blagnac (Garonne ; avionique pour hélicoptères civils), Figeac (Lot ; hélices) et Saint-Ouen-l’Aumône (Val-d’Oise ; actionneurs de vol et treuils pour hélicoptères et avions de transport militaires).

Illustration générée par IA

The post Comment un ransomware a semé la pagaille dans les aéroports européens appeared first on Silicon.fr.

  •  
  • ↗️
↗️

Comment un ransomware a semé la pagaille dans les aéroports européens

✇Silicon
Par :Clément Bohic

Une évacuation samedi à Dublin après une alerte à la bombe, des fermetures lundi à Oslo et Copenhague pour survol de drones… Ces derniers jours auront été mouvementés pour les aéroports de par l’Europe.

À cela s’est ajoutée une cyberattaque. Pas directement contre eux, mais contre le fournisseur d’un logiciel d’enregistrement des passagers et des bagages. Les premiers symptômes ont été constatés vendredi dans la soirée. La situation n’est pas encore pleinement revenue à la normale.

Un logiciel américain répandu dans les aéroports européens

Le logiciel en question s’appelle MUSE (Multi-User Systems Environment). Il est fourni par Collins Aerospace, filiale de RTX (ex-Raytheon Technologies), un géant de l’aérospatiale et de la défense*.

Déployé dans « plus de 100 aéroports » et utilisé par « plus de 300 compagnies aériennes », MUSE est, dans le jargon, un CUPPS (common-use passenger processing system). Il permet de mutualiser comptoirs d’enregistrement et portes d’embarquement. Plusieurs modules le composent : SelfServ pour l’enregistrement en self-service, SelfPass pour l’identification biométrique, SmartBag pour le suivi des bagages, AirVue pour la gestion des panneaux d’information, etc.). Le déploiement sur site reste possible, mais Collins Aerospace met généreusement en avant la « nouvelle génération » de MUSE, hébergée chez AWS.

Avec les déploiements cloud, l’interconnexion se fait grâce au service WAN AviNet, qui repose sur le réseau d’ARINC. Cette entreprise est le fournisseur historique – depuis près d’un siècle – des infrastructures de communication des aéroports. Elle fut détenue par les principales compagnies aériennes et divers constructeurs aéronautiques américains. Son activité communications (elle éditait par ailleurs des normes dans le domaine de l’avionique) fut vendue à Carlyle Group en 2007. Avant de tomber, en 2013, dans le giron de Rockwell Collins, qui allait lui-même fusionner en 2018 avec United Technologies pour donner naissance à Collins Aerospace.

Un ransomware au bout du compte

Ce réseau semble avoir été infiltré. Les attaquants sont possiblement remontés jusqu’à des contrôleurs de domaines dans l’environnement Windows de Collins Aerospace. Au bout de la chaîne, un ransomware a pu être diffusé, selon l’ENISA.

Lundi, Collins Aerospace a affirmé que le processus de reconstruction des systèmes impactés touchait à sa fin. Dans la même journée, on a appris qu’après une tentative de restauration à partir d’une sauvegarde, la menace avait persisté.

À Londres-Heathrow, plus d’un millier de terminaux auraient été corrompus, une restauration à distance n’étant pas envisageable pour la plupart. Sur place, Collins Aerospace a recommandé aux compagnies aériennes de ne pas éteindre de systèmes ni de se déconnecter des logiciels. La majorité des vols du dimanche et du lundi ont été maintenus, mais des compagnies enregistrent encore manuellement passagers et bagages.

Work continues to resolve and recover from the outage of a Collins Aerospace airline system that impacted check-in. We apologise to those who have faced delays, but by working together with airlines, the vast majority of flights have continued to operate.

We encourage… pic.twitter.com/S40IbNveqK

– Heathrow Airport (@HeathrowAirport) September 21, 2025

Du côté de Berlin-Brandebourg, on a annoncé, pour dimanche, des retards « typiques d’une journée classique ». Lundi, l’aéroport s’est fécilité de perturbations restées « dans les limites acceptables » vu les circonstances et l’afflux lié au marathon de Berlin. Dans la soirée, il a évoqué une situation « stabilisée », mais la possibilité de temps d’attente allongés.

Der Betrieb am #BER läuft weitgehend stabil, dank des großen Einsatzes unserer Teams und Partner. Heute erhöhtes Passagieraufkommen – längere Wartezeiten möglich.
👉 Online-Check-in nutzen
👉 Self-Service-Automaten verwenden
👉 Fast-Bag-Drop für Gepäck

?? https://t.co/3R5yJvnTF1

– BER – Berlin Brandenburg Airport (@berlinairport) September 22, 2025

D’après les données d’Eurocontrol, 70 % des vols au départ de Berlin ont eu plus de 15 minutes de retard lundi.
Le taux fut de 85 % à Bruxelles, où, de plus, 63 vols furent annulés (40 au départ, 23 à l’arrivée).

Limited disruption expected on 22 and 23 September, causing some flight delays and cancellations. Check the status of your flight before coming to the airport. More information on our website: https://t.co/CGtagAiP9J pic.twitter.com/P0Z9Dec8Rd

– Brussels Airport (@BrusselsAirport) September 22, 2025

Dimanche à la mi-journée, 13 vols avaient été annulés à l’aéroport de Dublin. Qui appelait les voyageurs à « prévoir du temps supplémentaires » en cas de bagages à enregistrer.

Passenger Update – Monday @ 07.15

The Dublin Airport team is continuing to support airlines today (Monday) as they manage ongoing disruption from a technical issue that is affecting check-in and boarding systems at several airports in Europe.

1/4 🧵 pic.twitter.com/NHWQpRo2LG

– Dublin Airport (@DublinAirport) September 22, 2025

* Collins Aerospace a 4 sites en France, à Antony (Hauts-de-Seine ; systèmes antifeu pour hélicoptères), Blagnac (Garonne ; avionique pour hélicoptères civils), Figeac (Lot ; hélices) et Saint-Ouen-l’Aumône (Val-d’Oise ; actionneurs de vol et treuils pour hélicoptères et avions de transport militaires).

Illustration générée par IA

The post Comment un ransomware a semé la pagaille dans les aéroports européens appeared first on Silicon.fr.

  •  
  • ↗️
↗️

Après la cyberattaque des aéroports en Europe, on en sait plus sur les motivations des hackers

✇Numerama.com
Par :Amine Baba Aissa

Depuis le 20 septembre, plusieurs aéroports européens font face à des vols retardés ou annulés. En cause, une cyberattaque ayant visé Collins Aerospace, l’un des principaux fournisseurs mondiaux de systèmes critiques pour l’aviation civile. Alors qu’une enquête est en cours, les premiers éléments commencent à préciser la nature de l’attaque.

  •  
  • ↗️
↗️

Vous vous souvenez de NotPetya ?

✇Korben
Par :Korben

Comment ça NotPetya ???

Mais siiiii, cette saloperie de malware qui a paralysé la planète en 2017 et qui s’est révélée être en fait un programme destructeur déguisé en ransomware. Eh bien, tenez-vous bien : selon les équipes d’ESET , un petit nouveau vient d’arriver sur la scène, et il s’appelle HybridPetya. Et ce petit gars a appris des nouveaux tours que son grand-père NotPetya ne maîtrisait pas à l’époque.

Martin Smolár, le chercheur d’ESET qui a découvert cette petite merveille, explique que HybridPetya combine le pire des deux mondes : les capacités destructrices de NotPetya ET la récupération possible des données de Petya. Mais surtout, et c’est là que ça devient technique, ce truc est capable de contourner Secure Boot sur les systèmes UEFI.

Pour ceux qui auraient oublié l’enfer de 2017, je vous fais un petit rappel historique. Petya, c’était le ransomware “gentil” qui chiffrait vos données mais vous permettait théoriquement de les récupérer si vous payiez la rançon. NotPetya, son cousin maléfique, c’était le faux ransomware qui détruisait tout sur son passage. Cette saloperie a causé plus de 10 milliards de dollars de dégâts dans le monde, principalement en Ukraine où elle a été initialement déployée via une mise à jour piégée du logiciel de comptabilité M.E.Doc.

Maintenant, là où HybridPetya innove, c’est qu’il récupère le meilleur (ou le pire, selon le point de vue) des deux. Il peut détruire comme NotPetya, mais aussi permettre la récupération des données comme Petya. Une sorte de ransomware à géométrie variable, quoi.

Sauf que ce n’est pas le plus inquiétant…

Le truc vraiment flippant avec HybridPetya, c’est sa capacité à s’installer directement dans le firmware UEFI de votre machine. Pour les non-initiés, UEFI c’est le système qui s’occupe du démarrage de votre ordinateur, avant même que Windows ne se réveille. En gros, si un malware réussit à s’installer là-dedans, il survit à tout : formatage du disque dur, réinstallation complète du système, et même changement de disque dur. C’est un niveau persistance maximale.

Alors, comment il fait ça, ce HybridPetya ? Eh bien, il utilise deux méthodes d’attaque. La première, c’est l’installation directe de charges utiles malveillantes sur la partition système EFI. Une fois là-dedans, il chiffre la Master File Table (MFT) de votre système NTFS, ce qui rend tous vos fichiers complètement inaccessibles. Et surtout, il sait exploiter la vulnérabilité CVE-2024-7344 pour contourner Secure Boot.

Cette faille, découverte également par les équipes d’ESET, se trouve dans l’application Howyar Reloader UEFI. En gros, cette application, qui est normalement signée par Microsoft et donc considérée comme fiable, contient une vulnérabilité qui permet de charger du code non-signé pendant le processus de démarrage. C’est comme si vous donniez les clés de votre maison à quelqu’un en lui disant “tu peux faire rentrer qui tu veux, je te fais confiance”.

Après pas de panique les amis, car il faut préciser que pour l’instant, HybridPetya n’a été repéré que sur VirusTotal, la plateforme d’analyse de malwares. Aucune autre infection dans la nature n’a été détectée par les télémétries d’ESET. Il s’agit donc probablement d’un proof-of-concept développé par un chercheur en sécurité ou un groupe de hackers pour démontrer que c’était possible. Mais le fait que ça existe, ça veut surtout dire que d’autres peuvent s’en inspirer.

Toutefois, HybridPetya rejoint désormais un club très fermé car il est maintenant le quatrième malware connu capable de contourner UEFI Secure Boot, après BlackLotus (qui exploite CVE-2022-21894 ), Bootkitty (qui cible Linux), et le PoC Hyper-V Backdoor. Comme le souligne Martin Smolár : “Cela montre que les contournements de Secure Boot ne sont pas seulement possibles… ils deviennent plus courants et attractifs pour les chercheurs comme pour les attaquants”.

BlackLotus, pour rappel, c’était déjà du lourd. Découvert en 2023 , ce malware était vendu 5 000 dollars sur le dark web et était capable de tourner sur des systèmes Windows 11 entièrement à jour avec Secure Boot activé. Il pouvait désactiver BitLocker, HVCI, et Windows Defender, et installer des pilotes malveillants au niveau kernel. Du grand art, dans le mauvais sens du terme.

Maintenant concrètement, comment on se protège contre ce genre de menaces ? Parce que bon, c’est bien beau de faire peur aux gens, mais il faut aussi donner les solutions.

Et bien première chose, maintenez vos systèmes à jour. Microsoft a corrigé la vulnérabilité CVE-2024-7344 dans le Patch Tuesday de janvier 2025 donc si vous avez appliqué cette mise à jour ou une version ultérieure, vous êtes protégés contre HybridPetya. C’est la base, mais c’est crucial.

Deuxième chose, activez et configurez correctement UEFI Secure Boot. Même si des contournements existent, Secure Boot reste une barrière importante. Assurez-vous qu’il soit activé et que vos listes de révocation soient à jour. Microsoft révoque régulièrement les certificats compromis, et ces révocations sont normalement appliquées automatiquement sur Windows.

Troisième conseil, surveillez votre partition système EFI. Selon les recommandations de CISA , les équipes de sécurité devraient être capables d’auditer, gérer et mettre à jour les composants UEFI, et surveiller les logs d’activité UEFI pour détecter toute modification suspecte. Utilisez des solutions de sécurité capables de détecter les modifications au niveau UEFI… Certains antivirus modernes incluent des fonctionnalités de protection du firmware. Ce n’est pas infaillible, mais ça ajoute une couche de protection. En gros, il faut traiter ce firmware comme n’importe quel autre logiciel avec une surveillance et des mises à jour régulières.

Quatrième point, et c’est important, limitez les privilèges administrateur. Pour déployer HybridPetya, il faut des droits d’administrateur local sur Windows ou root sur Linux pour accéder à la partition système EFI. Moins il y a d’utilisateurs avec ces privilèges, mieux c’est.

Et puis, il y a les bonnes pratiques classiques qui restent valables telles que les sauvegardes régulières (et déconnectées !), la formation des utilisateurs, de la surveillance réseau, et une restriction des droits d’accès. Parce qu’au final, même le malware le plus sophistiqué a besoin d’un vecteur d’infection initial.

Quoiqu’il en soit, ces bootkits UEFI représentent une escalade significative dans la sophistication des malwares car ils opèrent à un niveau si bas qu’ils sont extrêmement difficiles à détecter et à supprimer pour les solutions de sécurité traditionnelles.

C’est intéressant également de noter que HybridPetya ne semble pas avoir les capacités de propagation réseau agressives du NotPetya original. Rappelez-vous, NotPetya utilisait l’exploit EternalBlue (développé initialement par la NSA) pour se propager de machine en machine sur les réseaux et c’est cette capacité de ver informatique qui avait permis à NotPetya de causer autant de dégâts en si peu de temps.

De son côté HybridPetya semble plus axé sur la persistance que sur la propagation massive. C’est probablement un choix tactique car plutôt que de faire du bruit et d’alerter tout le monde, mieux vaut s’installer discrètement et durablement sur les systèmes ciblés.

Depuis quelques années, les groupes APT (Advanced Persistent Threat) privilégient de plus en plus la furtivité et la persistance plutôt que l’impact immédiat visible, car un malware qui survit silencieusement pendant des mois ou des années peut collecter bien plus d’informations sensibles qu’un ransomware qui chiffre tout en quelques heures.

Bref, gardez vos systèmes à jour, surveillez vos logs, et surtout, ne sous-estimez jamais l’ingéniosité des types qui passent leurs journées à trouver des moyens créatifs de péter vos systèmes….

  •  
  • ↗️
↗️

Cyberattaque contre l’entreprise Xplain: conséquences pour fedpol et mesures prises

✇Martouf

Cyberattaque contre l’entreprise Xplain: conséquences pour fedpol et mesures prises

Début juin 2023, il a été rendu public que l’entreprise suisse Xplain, un fournisseur de logiciels destinés aux autorités de sécurité et aux organisations d’intervention d’urgence, avait été victime d’une attaque par ransomware du groupe de cybercriminels Play. En accord avec la Confédération et les autorités de poursuite pénale, l’entreprise Xplain n’a pas répondu aux demandes de rançon des cybercriminels. À la mi-juin 2023, ceux-ci ont alors publié sur le darknet le lot de données dérobées. fedpol est concerné par cette fuite de données, tout comme d’autres unités administratives fédérales et cantonales.
L’entreprise Xplain a annoncé le cyberincident à l'Office fédéral de la cybersécurité (OFCS) et déposé une plainte auprès de la police cantonale bernoise.
Xplain a informé fedpol du vol de données le 23 mai 2023. Après avoir pris connaissance de l’incident, fedpol a déposé une plainte pénale contre inconnu auprès du Ministère public de la Confédération et a informé le Préposé fédéral à la protection des données et à la transparence (PFPDT) de la fuite de données.
Dans quelle mesure fedpol est-il concerné?

Le volume des données volées et publiées sur le darknet concernant fedpol connu à ce jour (septembre 2023) équivaut à moins de 10 % du volume total. Grâce à ses propres analyses, fedpol a constaté déjà à un stade précoce que des données opérationnelles étaient notamment concernées. Il a donc pris sans délai des mesures préventives afin de protéger les personnes, les données, les infrastructures, les objets et les procédures concernés.

D’après les connaissances actuelles, les données détournées comprennent des données personnelles (par ex. nom, prénom, date de naissance) et, dans certains cas, des données sensibles de personnes physiques (par ex. photos du visage). Les analyses ont mis au jour, parmi les données dérobées et publiées, un fichier XML remontant à 2015 qui comprend certaines données du système d’information HOOGAN. Sont enregistrées dans ce système les personnes qui ont affiché un comportement violent lors de manifestations sportives en Suisse ou à l’étranger et contre qui le canton compétent ou fedpol a prononcé une mesure en vertu de l’art. 24a de la loi fédérale du 21 mars 1997 instituant des mesures visant au maintien de la sûreté intérieure (LMSI). Le fichier XML publié sur le darknet contient un code technique avec des données concernant 766 personnes saisies dans HOOGAN en septembre 2015. Il ne contient aucune information sur des infractions ou des mesures prononcées (cf. communiqué de presse du 12 juillet 2023).


Permalien
  •  
  • ↗️
↗️

Les États-Unis saisissent 28 millions de dollars en cryptomonnaies volées : un coup de semonce pour les opérateurs de ransomwares

✇SysKB
Par :Max

Les États-Unis viennent de réussir une saisie de 28 millions de dollars en cryptomonnaies volées par un pirate lié à un ransomware. Une opération menée par le Département de la Justice qui illustre la montée en puissance des autorités dans la lutte contre la cybercriminalité. Au-delà de l’aspect spectaculaire, ce coup porté à l’écosystème cybercriminel révèle de nouvelles tendances dans la lutte contre les ransomwares.

Un pirate identifié grâce au traçage blockchain

Selon le communiqué officiel, le pirate visé avait amassé des millions de dollars en cryptomonnaies après plusieurs attaques par ransomware. Comme de nombreux cybercriminels, il avait recours à des mixers et à des plateformes d’échange de cryptomonnaies pour tenter de dissimuler l’origine des fonds.

Or, contrairement à l’idée largement répandue, les transactions blockchain, même pseudonymes, laissent une empreinte publique indélébile. Les enquêteurs américains, épaulés par des experts en forensic blockchain, ont ainsi pu reconstituer les flux financiers et remonter jusqu’aux adresses associées aux paiements de rançons. Une fois les fonds identifiés, les autorités ont procédé à leur gel et à leur saisie effective.

La cryptomonnaie, talon d’Achille du ransomware

Les ransomwares prospèrent depuis plus d’une décennie en raison d’un modèle économique simple : chiffrer les données critiques d’une victime et exiger un paiement en cryptomonnaie, généralement en Bitcoin ou en Monero.

  • Bitcoin reste le choix numéro un pour la majorité des rançons, en raison de sa liquidité et de son adoption mondiale.
  • Monero, plus confidentiel, est prisé pour son haut niveau d’anonymat, mais reste moins accessible aux victimes non averties.

Cette dépendance aux cryptomonnaies constitue aussi une faiblesse structurelle pour les cybercriminels. Les blockchains publiques permettent, avec les bons outils, de suivre les flux financiers, d’identifier des schémas de blanchiment et de localiser des portefeuilles suspects.

L’opération américaine démontre que les cybercriminels, même en multipliant les étapes d’obfuscation, ne sont pas à l’abri d’une enquête de grande ampleur.

Une montée en puissance des capacités d’investigation

La saisie de 28 millions de dollars ne s’explique pas uniquement par la chance ou une erreur du pirate. Elle résulte d’une coopération entre agences fédérales (FBI, IRS, US Secret Service) et de l’adoption d’outils de plus en plus sophistiqués pour l’analyse blockchain.

Des entreprises spécialisées comme Chainalysis, Elliptic ou TRM Labs fournissent des solutions capables de :

  • Cartographier les transactions liées à des adresses illicites.
  • Identifier les passerelles entre les portefeuilles criminels et les plateformes d’échange légitimes.
  • Attribuer des clusters d’adresses à des groupes de ransomwares connus (ex. LockBit, BlackCat, Conti).

Ces technologies donnent désormais aux autorités un avantage significatif, rendant de plus en plus difficile le blanchiment discret de fonds massifs issus de ransomwares.

Un message de dissuasion à l’écosystème cybercriminel

En communiquant largement sur cette opération, le Département de la Justice américain envoie un signal clair aux acteurs de la cybercriminalité :
aucune transaction n’est réellement à l’abri de l’investigation, et les profits générés par les ransomwares peuvent être confisqués à tout moment.

Cela a plusieurs implications :

  • Réduction de l’attrait financier : si les rançons deviennent de plus en plus difficiles à monétiser, certains acteurs pourraient se détourner de ce modèle.
  • Pression sur les intermédiaires : les plateformes d’échange, y compris celles situées hors des États-Unis, sont désormais dans le viseur si elles facilitent le blanchiment.
  • Internationalisation des enquêtes : la coopération entre pays s’intensifie pour cibler les infrastructures financières des cybercriminels.

Quelles perspectives pour la lutte contre les ransomwares ?

Cette saisie record de 28 millions de dollars ne signe évidemment pas la fin des ransomwares. Les cybercriminels innovent constamment, que ce soit en utilisant des cryptos plus anonymes, en exigeant des paiements fractionnés ou en exploitant des services de DeFi (finance décentralisée).

Cependant, la tendance est claire : les États-Unis, suivis par l’Europe, investissent massivement dans les capacités de cybertraçage financier. À moyen terme, il est probable que :

  • Les pirates soient contraints d’utiliser des canaux plus risqués, réduisant leur marge de manœuvre.
  • Les victimes soient davantage dissuadées de payer, sachant que les autorités surveillent étroitement les flux financiers.
  • Les ransomwares évoluent vers des formes hybrides, combinant vol de données, extorsion et menaces publiques, pour diversifier leurs revenus.

En somme, si les ransomwares restent une menace critique, l’opération américaine prouve qu’un rapport de force technologique est en train de basculer. Les blockchains, longtemps perçues comme un bouclier pour les criminels, pourraient devenir leur plus grande vulnérabilité.

Sources

Cet article original intitulé Les États-Unis saisissent 28 millions de dollars en cryptomonnaies volées : un coup de semonce pour les opérateurs de ransomwares a été publié la première sur SysKB.

  •  
  • ↗️