Chaque année, l’Agence de l’Union européenne pour la coopération policière (Europol) collecte des données de renseignement sur les menaces en matière de cybersécurité auprès de diverses sources, permettant ainsi à son Centre européen de lutte contre la cybercriminalité (EC3) d’analyser et de rendre compte de l’état de la cybersécurité et des activités des cybercriminels. Le rapport d’évaluation des menaces liées à la criminalité organisée sur Internet (IOCTA) analyse les tendances en matière d’activités cybercriminelles.
Dans le rapport 2025 de l'IOCTA, «Voler, revendre et recommencer : comment les cybercriminels échangent et exploitent vos donnéesEuropol a révélé que les cybercriminels considèrent les données comme un outil et une ressource essentiels au sein de leur écosystème criminel. Bien que les professionnels de la sécurité sachent depuis longtemps que les données ont une valeur financière, le rapport souligne le rôle important que joue leur marchandisation dans l'ensemble de l'écosystème cybercriminel.
De manière générale, le rapport met en lumière les principaux constats suivants :
- Les données volées alimentent la cybercriminalitéLes cybercriminels considèrent les données comme un moyen d'exploitation supplémentaire et une marchandise commercialisable, ciblant souvent les identifiants, les informations personnelles et les accès aux entreprises.
- L'ingénierie sociale est dominantePour voler des identifiants de connexion et des données personnelles, les cybercriminels utilisent de plus en plus les techniques d'hameçonnage, d'hameçonnage vocal et les logiciels malveillants de type vol d'informations.
- L'IA générative aggrave les menacesLes grands modèles de langage (LLM) permettent désormais de personnaliser les messages d'hameçonnage, de créer des deepfakes et d'usurper l'identité de personnes de confiance à grande échelle.
- Courtiers d'accès initial (IAB) Ces courtiers en données : Ces cybercriminels exploitent des plateformes de vente performantes d'identifiants volés, qui font partie intégrante de l'écosystème du Rançongiciels-as-a-service.
Poursuivez votre lecture pour découvrir les principaux enseignements que les professionnels de la sécurité peuvent tirer de ce rapport.
Les acteurs malveillants exploitent l'IA générative à des fins d'ingénierie sociale lors d'attaques par logiciels malveillants voleurs d'informations.
Un thème récurrent du rapport 2025 est l'utilisation par les cybercriminels de l'IA générative dans leurs techniques d'ingénierie sociale afin d'améliorer le déploiement de logiciels malveillants voleurs d'informations. Les acteurs malveillants exfiltrent de plus en plus de données lors d'attaques par rançongiciel, puis intègrent ces informations dans des modèles de langage à grande échelle (LLM) pour concevoir des leurres d'hameçonnage convaincants et des escroqueries aux faux ordres de virement (BEC) utilisant des deepfakes.
Pour voler les données, les cybercriminels utilisent logiciel malveillant voleur d'informations Conçus spécifiquement pour extraire des informations sensibles à partir d'appareils compromis, les voleurs d'informations dérobent et collectent généralement des informations telles que :
- Jetons d'application et cookies de session permettant un accès non autorisé en tant qu'utilisateur authentifié.
- Système d'exploitation, navigateur et données de configuration permettant d'imiter l'empreinte numérique de l'appareil compromis.
Voici quelques exemples de logiciels malveillants voleurs d'informations :
- LummaLe plus important logiciel de vol d'informations utilisé à grande échelle par les cybercriminels pour collecter des identifiants, des données financières et des informations personnelles.
- Redline: Un logiciel malveillant dominant au sein de l'écosystème cybercriminel qui propose un outil de récupération de fichiers personnalisable.
- META : A malware voleur présenté comme une version améliorée de RedLine.
Emporter: Grâce à une solution de gestion de l'exposition aux menaces, les équipes de sécurité peuvent surveiller les journaux des voleurs de données et les fuites de données du dark web afin de découvrir les identifiants compromis des employés avant que les acteurs malveillants ne les utilisent dans des attaques d'hameçonnage ou attaques de prise de contrôle de compte.
Les marchés criminels restent profondément ancrés dans l'économie de la cybercriminalité, notamment par le biais des courtiers d'accès initial (IAB).
Les plateformes criminelles conservent un rôle important dans le modèle économique du cybercrime à la demande. Selon le rapport de 2025, les principaux produits mentionnés sont les suivants :
- Journaux de voleurs d'informations non analysés et données divulguées ou volées.
- Données de cartes de crédit non analysées ou vérifiées.
- Offre d'accès initiale, comme des identifiants pour des services et comptes à distance ou un accès par porte dérobée établi.
- Identifiants de connexion pour différents services web, comme les comptes de messagerie ou de réseaux sociaux.
- Services criminels, comme la vente d'abonnements à des voleurs d'informations.
- Outils anti-détection, comme les réseaux privés virtuels (VPN).
Les courtiers d'accès initial (CAI) qui vendent l'accès à des systèmes compromis demeurent une préoccupation majeure. Le rapport cite les recherches de Flare sur… Les cinq principaux marchés du dark web à surveiller discussion sur la manière dont le marché russe continue de se spécialiser dans la vente :
- Identités volées
- Accéder aux identifiants
- Coquilles Web
- Renseignements financiers
Dans une tentative d'échapper à la détection, de nombreux cybercriminels tirent parti des services de chiffrement de bout en bout (E2EE), comme Telegram, pour créer un manque de visibilité sur leurs activités, entravant ainsi les enquêtes criminelles.
Emporter: Flare Research prouve que Telegram reste un lieu de prédilection pour les acteurs malveillants. communiquer et se réunir en matière de cybercriminalité. Les équipes de sécurité peuvent ainsi agir efficacement. moniteur chaînes Telegram illicites avec leur solution de gestion de l'exposition aux menaces.
Les attaques basées sur l'usurpation d'identité peuvent être le point de départ d'attaques de plus grande envergure.
Les données constituent un produit de grande valeur financière, car les cybercriminels les achètent pour mener des attaques. Le rapport de l'IOCTA explique que les plateformes criminelles répertorient et proposent différents types de données spécifiquement destinées aux attaques par bourrage d'identifiants. Grâce à ces informations, les cybercriminels peuvent ensuite utiliser des outils automatisés pour tester les identifiants de connexion volés sur divers sites web et applications.
En résumé, l'accès à un compte ou un système compromis s'inscrit dans le cycle plus vaste qui alimente la cybercriminalité. Une fois cet accès initial obtenu, les cybercriminels se déplacent à travers le réseau pour poursuivre leurs activités illégales, notamment par :
- Distribution de logiciels malveillants.
- Vol d'informations sensibles.
- Se faire passer pour une victime ou utiliser un compte légitime pour diffuser du contenu malveillant provenant d'une source fiable.
Dans le cadre de ces activités, les cybercriminels collectent souvent des identifiants supplémentaires qu'ils revendent à d'autres acteurs malveillants, perpétuant ainsi le cycle.
Emporter: Les équipes de sécurité rompent ce cycle en identifiant automatiquement les identifiants exposés et en priorisant les mesures correctives. L'intégration de leur solution de gestion de l'exposition aux menaces à leur flux de travail, via des alertes webhook ou des intégrations SIEM/SOAR, permet de corréler les informations en temps réel de la solution avec les alertes des outils de sécurité connectés afin de réduire le délai moyen de détection et de réponse (MTTD/MTTR) en cas d'usurpation d'identité.
La culture de la cybercriminalité peut être difficile à suivre
Pour les cybercriminels, les forums et les services de chiffrement de bout en bout (E2EE) offrent la socialisation nécessaire à la poursuite de leurs relations et activités. Le rapport de l'IOCTA explique que la participation aux marchés et forums criminels repose sur la confiance et la réputation de l'utilisateur au sein de la communauté clandestine. Généralement, cette réputation nécessite d'être un membre actif du forum, et notamment :
- Une présence stable et durable sur les forums et les plateformes de vente.
- Nombre de messages.
- Transactions réussies.
- Avis positifs et recommandations d'autres membres.
Le rapport cité Les recherches de Flare Il convient de noter que, dans certains cas, les nouveaux utilisateurs peuvent devoir verser un acompte avant de pouvoir consulter les annonces. Ces dynamiques de marché créent un environnement où les criminels cherchent à vérifier la légitimité d'autres utilisateurs avant d'effectuer des transactions. Or, l'anonymat nécessaire à la poursuite d'activités criminelles exige de se forger une réputation par des interactions régulières. Ces normes sociales rendent la surveillance de l'écosystème cybercriminel difficile et chronophage pour la plupart des équipes de sécurité.
Emporter: Les équipes de sécurité peuvent exploiter les analyses des chercheurs en cybercriminalité qui étudient les pratiques publicitaires, les ventes de kits et les outils opérationnels des acteurs malveillants. De plus, leur solution TEM peut fournir ces renseignements sur les menaces sous une forme exploitable, tant pour les analystes stratégiques que pour les équipes d'intervention tactique, permettant ainsi aux organisations de se défendre préventivement contre les campagnes des acteurs malveillants.
Conclusion
L'IOCTA 2025 confirme une fois de plus que les équipes de sécurité peuvent réussir en identifiant, contextualisant et hiérarchisant de manière proactive les risques numériques liés à l'usurpation d'identité, aux accès compromis et aux activités sur le dark web. Une approche de surveillance automatisée et continue est parfaitement adaptée aux équipes de sécurité modernes pour se défendre contre la cybercriminalité axée sur les données.
Surveillez et luttez contre la cybercriminalité avec Flare
La fusée Gestion de l'exposition aux menaces (TEM) Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
