Ransomware-as-a-Service (RaaS)
Modèle d'affaires cybercriminel où des opérateurs louent leur rançongiciel, leur infrastructure et leurs sites de fuite à des affiliés contre un pourcentage des rançons.
Le Ransomware-as-a-Service (RaaS) est le modèle d’affaires cybercriminel derrière la plupart des incidents rançongiciels modernes. Une équipe d’opérateurs principaux développe et maintient le rançongiciel lui-même — code de chiffrement, portail de négociation, site de fuite de données, plomberie crypto — et le loue à des affiliés qui exécutent les intrusions. L’affilié garde la majorité de chaque rançon réussie (souvent cité à 70-80 %) ; l’opérateur prend le reste et conserve le renseignement sur chaque victime.
LockBit, ALPHV/BlackCat, Conti (dissous puis reforké), Cl0p et une longue traîne de programmes plus petits fonctionnent tous ainsi. Le rapport IOCTA d’Europol et le Threat Landscape de l’ENISA considèrent le RaaS comme la raison structurelle pour laquelle le volume rançongiciel ne baisse pas malgré des années de démantèlements médiatisés : quand un opérateur tombe, les affiliés migrent vers la plateforme suivante en quelques semaines.
Propriétés caractéristiques :
- Spécialisation du travail. Les initial access brokers vendent les points d’entrée ; les affiliés gèrent l’intrusion et le mouvement latéral ; l’équipe principale gère le malware et la marque. Chaque rôle peut être tenu par un groupe distinct.
- Barrière à l’entrée plus basse pour l’attaquant. Un affilié n’a pas besoin d’écrire une ligne de code crypto. Il lui faut être bon en phishing, attaques identitaires et mouvement latéral — compétences désormais largement diffusées.
- Sites de fuite brandés. La plupart des opérateurs RaaS opèrent un site d’extorsion public listant les victimes n’ayant pas payé, qui sert d’outil de pression et d’argumentaire pour recruter les affiliés suivants.
- Code de conduite de façade. Plusieurs programmes affichent des règles (« pas d’hôpitaux, pas d’infrastructures critiques ») que les affiliés ignorent régulièrement.
- Les affiliés héritent du meta. Quelle que soit la meilleure technique d’accès initial du moment — fatigue MFA, phishing OAuth, exploits Citrix/VPN — les affiliés l’adoptent vite.
L’implication défensive est que le RaaS fait du rançongiciel un problème d’accès humain plus qu’un problème de malware. Le code de chiffrement est fongible ; le chemin d’intrusion ne l’est pas. Fermer les chemins d’intrusion — réflexes anti-phishing solides, FIDO2 / passkeys, hygiène des octrois OAuth, gouvernance des identités — est le seul levier durable, parce qu’il fonctionne quelle que soit la marque RaaS que l’affilié loue ce trimestre.
Termes liés
- Rançongiciel (ransomware)Logiciel malveillant qui chiffre et/ou exfiltre des données, puis exige un paiement pour le déchiffrement ou la non-publication — l'entrée est presque toujours humaine.
- Hameçonnage (phishing)Attaque d'ingénierie sociale qui usurpe l'identité d'un tiers de confiance pour obtenir des identifiants, de l'argent ou un accès — par e-mail, SMS, voix, QR code ou consentement OAuth.
- Fatigue MFAAttaque d'ingénierie sociale qui sature un utilisateur de notifications push MFA jusqu'à ce qu'il valide par lassitude ou confusion.
- Attaque par la chaîne d'approvisionnementIntrusion qui compromet un fournisseur amont de confiance — logiciel, SaaS, MSP — pour atteindre toutes les organisations clientes en aval.