Rançongiciels: succès et défis dans la lutte contre la cybercriminalité

Lors d’une attaque par rançongiciel, les cybercriminels s’introduisent dans le réseau informatique d’une entreprise, généralement par le biais de courriels d’hameçonnage, de pièces jointes infectées ou de failles de sécurité dans les logiciels, puis, à l’aide de programmes malveillants, ils cryptent l’intégralité des données stockées sur les serveurs, y empêchant tout accès. L’ensemble du système informatique de l’entreprise est alors bloqué, ce qui peut causer de longues interruptions de l’exploitation, avec, à la clé, des pertes financières, des atteintes à la réputation et des frais élevés de rétablissement de l’infrastructure. Ces attaques sont particulièrement graves quand elles touchent des hôpitaux ou d’autres installations critiques car elles peuvent aussi mettre en danger des vies humaines.

En échange du décryptage des données, les cybercriminels exigent le paiement d’une rançon en cryptomonnaie, comme le bitcoin. Le montant réclamé peut aller de quelques milliers à plusieurs millions de francs, selon les auteurs des faits et les entreprises concernées. Dans certains cas, la demande de rançon est assortie de la menace de publier ou de vendre les données volées en cas de refus de payer: on parle alors d’une attaque à double extorsion.

Importance cruciale de la coopération internationale

Hautement qualifiés sur le plan technique et agissant à l’échelle internationale, les groupes criminels qui commettent des attaques par rançongiciel se répartissent généralement les tâches et les attributions. Afin de dissimuler leur identité et leur localisation, ils utilisent des services VPN, des réseaux cachés, une communication cryptée et des cryptomonnaies. Ils ciblent des entreprises et des institutions dont les systèmes informatiques présentent des failles de sécurité, et ce quelles que soient leur domiciliation, leur activité et leur dimension. Un même groupe peut ainsi être responsable d’un grand nombre d’attaques à travers le monde, en ayant recours à des serveurs, des services de communication et des bourses de cryptomonnaies répartis dans différents pays.

Pour pouvoir identifier les auteurs des attaques et rassembler des preuves, il faut obtenir des données et des informations issues de différents pays et ordres juridiques. Comme les autorités suisses ne peuvent pas mener d’enquêtes à l’étranger, elles doivent emprunter la voie de l’entraide judiciaire internationale. Or, celle-ci s’avère souvent trop longue, car des sources de données cruciales telles que les fichiers journaux sont automatiquement écrasées ou supprimées après un certain temps. Il est donc indispensable d’engager une coopération internationale étroite et efficace, tant sur le plan policier que judiciaire, par exemple en constituant des groupes d’action internationaux et des équipes communes d’enquête. C’est là le seul moyen de recueillir rapidement des informations et des éléments de preuve, mais aussi de procéder à des arrestations et à des perquisitions simultanées et coordonnées dans différents pays.

Les procédures pénales relatives aux rançongiciels sont particulièrement difficiles à conduire car il faut obtenir, dépouiller et répertorier régulièrement d’importants volumes de données. De plus, pour identifier le mode opératoire du logiciel malveillant mis en œuvre, il faut réaliser une analyse technique selon un procédé de «rétro-ingénierie». S’ajoutent à cela des mesures de surveillance complexes ainsi que des analyses des transactions en cryptomonnaies. De ce fait, les autorités de poursuite pénale ont non seulement besoin d’une coopération internationale efficace mais aussi de suffisamment de personnel spécialisé en interne pour pouvoir réprimer de telles attaques. Une étroite collaboration interdisciplinaire entre le Ministère public, les enquêteurs et les experts en criminalistique informatique est également indispensable.

Des procédures collectives nationales menées par le canton de Zurich

Dans le canton de Zurich, c’est le Ministère public II qui est chargé des poursuites dans les cas d’attaques au rançongiciel. Depuis 2019, il conduit avec succès, en étroite collaboration avec la police cantonale de Zurich, diverses procédures collectives à l’encontre d’organisations criminelles internationales en y regroupant tous les cas survenus en Suisse qui mettent en cause les mêmes auteurs.

L’une des enquêtes réalisées dans ce cadre visait un groupe soupçonné d’avoir attaqué plus de 1800 entreprises dans 71 pays au moyen des programmes malveillants LockerGoga, Megacortex et Nefilim, le préjudice total se montant à plusieurs centaines de millions de francs. Grâce à une action coordonnée à l’échelle internationale[1], douze membres présumés de cette organisation ont pu être arrêtés en octobre 2021, dont un Ukrainien résidant en Suisse. Fin juillet 2025, le Ministère public II du canton de Zurich a clos la procédure pénale à l’encontre de ce dernier par sa mise en accusation au tribunal de district de Zurich. Il lui est reproché d’avoir joué un rôle déterminant dans le développement du maliciel en question et d’avoir participé, depuis la Suisse, à des attaques par rançongiciel contre une douzaine d’entreprises implantées sur le territoire helvétique et à l’étranger.

Même si les autorités de poursuite pénale enregistrent régulièrement des succès notables dans la lutte contre les cybercriminels, la menace que représentent les rançongiciels reste entière. Par conséquent, il est conseillé aux entreprises et aux institutions d’investir dans la sécurité informatique et de sensibiliser leur personnel à la nécessité d’être vigilant, notamment pour déceler des fichiers ou liens suspects transmis via des courriels. Si, malgré ces précautions, elles sont victimes d’une attaque, une règle s’impose: ne pas verser de rançon, mais porter plainte immédiatement auprès de la police.

1. La France, les Pays-Bas, la Norvège, l’Ukraine et les États-Unis y ont participé aux côtés de la Suisse. []