Le gouvernement russe a changé de position à l’égard des groupes cybercriminels, passant d’une tolérance passive à une gestion active, selon une étude report de la société de cybersécurité Recorded Future. Auparavant connues pour permettre aux cybercriminels d’opérer sans contrôle tant qu’ils ne ciblaient pas les intérêts russes, les autorités exercent désormais un contrôle croissant sur ces réseaux.
Selon le rapport, le changement a commencé vers 2023 alors que la pression des forces de l’ordre internationales s’intensifiait. Les services de renseignement et d’application de la loi russes recrutent ou cooptent désormais des cybercriminels lorsqu’ils s’alignent sur les intérêts de l’État, tolèrent des activités qui servent des objectifs géopolitiques et interviennent pour perturber ou réprimer des groupes qui deviennent embarrassants ou politiquement gênants.
L’un des marqueurs de ce changement a été les arrestations et les saisies très médiatisées qui semblent chorégraphiées pour renforcer le contrôle de l’État. Par exemple, après le démantèlement international de services tels que Cryptex et UAPS dans le cadre de l’opération Endgame, le gouvernement russe a annoncé des enquêtes sur ces plateformes, arrêté près de 100 personnes et saisi environ 16 millions de dollars d’actifs.
Selon les analystes, ces actions visent moins à démanteler les groupes nuisibles qu’à gérer l’écosystème, à cibler les retraits et à activer les infrastructures, tout en préservant les acteurs de la menace qui fournissent des renseignements ou des capacités de perturbation.
Le rapport souligne que le modèle est sélectif plutôt que complet. Les groupes cybercriminels dont les opérations s’alignent sur les objectifs de l’État russe continuent d’opérer dans une relative impunité, tandis que ceux qui sont considérés comme un handicap sont pris pour cible. Des conversations divulguées par des groupes tels que Conti et TrickBot confirmeraient les liens entre les opérateurs de haut rang et les services de renseignement russes.
Pendant ce temps, la cybercriminalité clandestine elle-même s’adapte, privilégiant de plus en plus les opérations décentralisées et le recrutement fermé pour échapper aux perturbations.
Pour les organisations et les gouvernements en dehors de la Russie, ce changement a des implications importantes. L’effacement de la frontière entre les activités parrainées par l’État et les entreprises criminelles signifie que les attaques peuvent devenir plus persistantes, mieux financées et plus difficiles à attribuer. Le rapport suggère que de nombreuses organisations, en particulier en Europe, devraient se préparer à un paysage menaçant où les groupes criminels sont indirectement soutenus ou tolérés par des acteurs étatiques.
Dans le même temps, les experts avertissent que le nouveau modèle n’équivaut pas à une répression généralisée de la cybercriminalité par la Russie. Il s’agit plutôt d’un modèle de gouvernance, où certains éléments de l’écosystème cybercriminel sont réglementés ou tolérés en fonction de l’intérêt de l’État.
Alors que la relation entre les criminels et les acteurs étatiques continue d’évoluer, les cyberdéfenseurs devront peut-être revoir les hypothèses sur l’attribution des menaces et les modèles de risque. Il est de plus en plus pertinent pour les stratégies de défense et de renseignement de comprendre si un auteur de menace agit uniquement à des fins lucratives ou s’il est géré comme un outil de politique étatique.