Les données et visualisations présentées sur cette page web sont basées sur des informations collectées entre janvier 2024 et janvier 2025. Ces graphiques sont statiques et ne reflètent pas les mises à jour en temps réel ni les développements récents. Toute tendance, analyse ou conclusion doit être interprétée en tenant compte de cette période.
Préface
- Telegram reste la plateforme de messagerie dominante dans le milieu cybercriminel, malgré les événements récents et les préoccupations liées à la sécurité.
- Le renforcement de la coopération entre Telegram et les forces de l'ordre a suscité des discussions sur les plateformes alternatives, Signal affichant la croissance la plus significative.
- D'autres applications de messagerie comme Discord, TOX, Matrix et Session jouent des rôles de niche, souvent liés à des activités ou des communautés cybercriminelles spécifiques.
- De nombreux acteurs malveillants utilisent plusieurs applications de messagerie pour garantir l'accessibilité et la redondance de leurs communications.
- L'analyse du lac de données de Flare montre une corrélation entre le choix de l'application de messagerie et les types d'utilisateurs cybercriminels ; par exemple, Discord est souvent utilisé par des acteurs malveillants de bas niveau ou jeunes, tandis que TOX est privilégié par les cybercriminels axés sur la sécurité opérationnelle et les Rançongicielss.
- La collecte des contacts partagés par les acteurs malveillants sur les communautés cybercriminelles a permis à Flare d'identifier automatiquement d'autres pseudonymes qu'ils pourraient utiliser sur différents forums en corrélant les contacts.
Communiquer dans le milieu cybercriminel clandestin : une nécessité cruciale pour les acteurs malveillants
Pour les acteurs malveillants, mener des activités illégales au sein de l'écosystème cybercriminel tout en préservant leur anonymat et leur sécurité opérationnelle représente un défi de taille. Quel que soit leur niveau d'expertise technique ou la nature de leurs actions, l'une de leurs principales préoccupations est de sécuriser leurs communications afin d'éviter d'être démasqués et de devenir la cible de groupes rivaux ou des forces de l'ordre.
Parallèlement, la facilité de contact est tout aussi importante, car les cybercriminels doivent disposer de canaux efficaces et fiables pour coordonner leurs opérations, recruter de nouveaux membres et mener des transactions illicites. De ce fait, l'équilibre entre sécurité et accessibilité varie selon le type d'activité et le niveau de sensibilisation à la sécurité opérationnelle (OPSEC) de l'acteur malveillant. Certains privilégient la facilité de communication pour une coordination rapide, tandis que d'autres insistent sur des mesures de sécurité plus strictes afin de minimiser leur exposition.
Face à ces problèmes, les cybercriminels ont souvent recours à l'échange d'informations sensibles en dehors des forums, en utilisant des plateformes de messagerie telles que Telegram, Discord, Signal, Tox, Jabber, Matrix ou Session pour échapper à la surveillance des administrateurs de forums ou atténuer les conséquences de potentielles fuites de bases de données. [1].
Depuis plusieurs années, Telegram n'est pas seulement un outil de communication prisé des cybercriminels, mais il est aussi devenu un véritable écosystème pour ces derniers, s'imposant comme une alternative sérieuse aux forums cybercriminels traditionnels. Gratuit, Telegram est apprécié pour son interface conviviale, son API, ses possibilités de déploiement de bots, sa capacité à accueillir jusqu'à 200 000 membres par groupe et le partage de fichiers jusqu'à 4 Go. Cependant, des inquiétudes persistent quant à sa sécurité. La plateforme n'impose pas le chiffrement automatique de toutes les communications et son mécanisme de chiffrement reste opaque, faute d'audit indépendant par des experts. [2]Les rumeurs concernant la présence de ses principaux développeurs en Russie ont également suscité l'inquiétude parmi les membres les plus soucieux de la sécurité au sein de la communauté cybercriminelle.
Finalement, l'arrestation du PDG et fondateur de Telegram, Pavel Durov, en France le 25 août 2024 [3], suivie de l'annonce par la plateforme d'une coopération accrue avec les forces de l'ordre le 23 septembre 2024 [4] – ainsi que la mise en œuvre concrète de cette politique par la divulgation des adresses IP et des numéros de téléphone des cybercriminels en janvier 2025 [5] – a suscité des inquiétudes au sein de l’écosystème cybercriminel (voir figure 1). Certains acteurs malveillants ont commencé à envisager de cesser d’utiliser cette plateforme ou, à tout le moins, d’améliorer leur sécurité opérationnelle (voir figure 2).
Cependant, les vieilles habitudes ont la vie dure. La transition d'un outil pratique, bien intégré aux flux de travail existants et largement utilisé au sein de l'écosystème cybercriminel n'est pas simple. Telegram est loin d'être le premier service de messagerie à connaître des turbulences dans ce domaine, mais l'histoire montre que les perturbations n'ont pas entraîné un abandon immédiat ou total d'une plateforme établie.
En mai 2023, une légère secousse a secoué le forum cybercriminel russophone XSS lorsqu'un individu malveillant a annoncé « nightly » la vente d'une vulnérabilité d'exécution de code à distance et d'une faille de sécurité affectant la messagerie qTOX 1.17.6 pour 20 bitcoins (environ 550 000 dollars au moment de l'offre). Il a partagé une vidéo de démonstration (voir figure 3) où il affirmait pouvoir récupérer l'adresse IP d'un utilisateur dès l'acceptation d'un nouveau contact [6]. La vulnérabilité aurait été vendue en moins de 24 heures, suscitant une vive inquiétude parmi les utilisateurs de qTOX sur XSS, principalement des acteurs malveillants impliqués dans des attaques de rançongiciels. Cette vente présumée a profondément inquiété la communauté cybercriminelle russophone et a même poussé l'administrateur de XSS à abandonner qTOX comme outil de communication officiel.
Ces deux affaires ont suscité de vifs débats sur l'outil de communication approprié dans l'écosystème cybercriminel (voir figure 4). Cependant, plusieurs mois plus tard, la situation semble inchangée : qTOX reste une messagerie de niche, populaire auprès d'une minorité d'acteurs malveillants, et a récemment fait l'objet d'une mise à jour. [7], tandis que Telegram semble continuer à dominer en tant que plateforme de prédilection des cybercriminels, notamment ceux impliqués dans des opérations de vol d'informations, de carding, de fraude au remboursement et de hacktivisme.
Compte tenu des évolutions majeures survenues dans Telegram en 2024, nous avons cherché à examiner l'état actuel des communications cybercriminelles. En analysant le lac de données de Flare, nous visons à répondre aux questions suivantes :
- Les acteurs malveillants ont-ils migré en masse vers des plateformes alternatives depuis août 2024 ?
- La nature de l'activité d'un cybercriminel influence-t-elle son choix de plateforme de messagerie ?
Dans les sections suivantes, nous explorerons ces questions en profondeur, en nous appuyant sur des données probantes.
I. Analyse de la popularité des messagers de la résistance : interprétation des données brutes
Pour répondre aux questions précédentes, nous avons utilisé le jeu de données robuste de Flare. Flare dispose d'un vaste lac de données provenant de diverses sources (marché, forums, chaînes Telegram, etc.) axées sur les activités cybercriminelles telles que les fuites de données, les accès initiaux, les logiciels malveillants, le vol d'informations, le carding, la fraude, les rançongiciels et, de manière marginale, le trafic de stupéfiants. Nous avons utilisé un sous-ensemble de données couvrant une année (2024). Cette précision est importante car le lac de données source peut fortement influencer les résultats, et nous souhaitions être aussi transparents que possible avec nos lecteurs en expliquant notre biais.
Commençons par adopter une approche par entonnoir : examiner d’abord les données brutes, puis les affiner et les analyser. En 2024, Flare a observé que plus de 80 millions d’identifiants et de liens vers six applications de messagerie différentes étaient partagés par des individus actifs sur des forums de cybercriminalité et des chaînes Telegram (voir figures 5 et 6). Bien que ce chiffre puisse paraître impressionnant, il ne reflète pas fidèlement la réalité de l’écosystème cybercriminel ni la popularité d’une application de messagerie. Il est, par exemple, tout à fait naturel que les liens Telegram soient prédominants sur Telegram, puisqu’ils constituent des liens entre différentes chaînes et différents groupes sur cette plateforme. De plus, ces données contiennent de nombreux doublons (c’est-à-dire des liens ou des identifiants partagés plusieurs fois par les mêmes acteurs malveillants ou par des acteurs différents).
Figure 5 : Il s’agit d’une estimation précise, mais prudente, du nombre de liens/identifiants publiés pour diverses applications de messagerie sur les forums de cybercriminalité en 2024 ; le nombre réel pourrait donc être légèrement supérieur. Source : Flare.io
Figure 6 : Pavel Durov a été arrêté le 25 août 2024. Telegram a annoncé le 23 septembre 2024 qu’il renforcerait sa coopération avec les forces de l’ordre. Aucun impact significatif n’a été observé.
Source : Flare.io
Par exemple, en 2024, dix acteurs malveillants recensés par Flare étaient responsables de la grande majorité des liens Discord publiés (voir figure 7). En supprimant ces dix principaux acteurs de l'ensemble de données, le nombre de liens d'invitation Discord partagés dans notre base de données a chuté de 2.8 millions à seulement 91 000 au cours de l'année écoulée. De plus, de nombreux doublons étaient présents parmi ces liens. Fait intéressant, la grande majorité des liens Discord étaient publiés sur Telegram, ce qui témoigne d'un intérêt marqué pour cette application de messagerie auprès de ses utilisateurs.
II. Le règne de Telegram se poursuit : plus qu’une messagerie, le réseau social de la cybercriminalité
Pour mieux évaluer la popularité des applications de messagerie, affinons les données en nous concentrant uniquement sur les liens uniques et les identifiants de messagerie partagés sur les forums de cybercriminalité. Comme le montre la figure 8 ci-dessous, le nombre de liens uniques et de noms d'utilisateur Telegram publiés sur ces forums en 2024 est incomparablement plus élevé que pour n'importe quelle autre application de messagerie. Loin derrière, les deuxième et troisième applications les plus populaires, Discord et Session, ne semblent pas avoir clairement profité des difficultés rencontrées par Telegram ni des inquiétudes suscitées par sa collaboration accrue avec les forces de l'ordre. En janvier 2025, Telegram reste largement en tête et son utilisation au sein de la communauté cybercriminelle n'a pas diminué de manière significative.
Comme le montre la figure interactive 8, Signal semble être la seule messagerie à avoir gagné en popularité suite à l'arrestation de Pavel Durov et aux changements de politique de Telegram. L'augmentation du nombre de liens d'invitation Signal partagés entre septembre et décembre 2024 suggère fortement une corrélation entre ces événements et leur chronologie. Néanmoins, la popularité de Signal reste marginale.
Figure 8 : Pavel Durov a été arrêté le 25 août 2024. Telegram a annoncé le 23 septembre 2024 qu'il allait renforcer sa coopération avec les forces de l'ordre.
Aucun impact significatif de ces événements n'est observable, à l'exception de Signal. Source : Flare.io
III. Corrélation entre le type d'activité de l'acteur malveillant et le choix de l'application de messagerie
Pour répondre à notre deuxième question concernant l'influence des activités cybercriminelles des acteurs malveillants sur leur choix d'une application de messagerie spécifique, Flare a observé sur quels forums la majorité des liens et identifiants d'applications de messagerie étaient publiés et quelle était la nature de l'activité criminelle des acteurs malveillants qui les publiaient.
- Les liens d'invitation Discord se trouvaient principalement sur des forums comme Nulled et Cracked, tous deux récemment saisis par les forces de l'ordre. [8] – ainsi que VeryLeaks et DemonForums. Ces publications étaient principalement le fait de jeunes individus souvent issus de communautés de joueurs et parfois impliqués dans des activités de cybercriminalité mineures.
- Les identifiants basés sur les protocoles Matrix et Element ont été principalement observés sur des forums spécialisés dans le trafic de drogue tels que RuTOR, RCclub et BigBro, et de manière plus marginale sur le forum russophone Probiv, axé sur la fraude. Dans le lac de données de Flare, Matrix et Element étaient majoritairement utilisés par des acteurs malveillants achetant et vendant de la drogue ou impliqués dans des escroqueries.
- Les identifiants TOX et Jabber étaient principalement partagés sur les forums XSS, CrdPro, BreachForums et Exploit, par des cybercriminels souvent impliqués dans la vente d'accès d'entreprise, de Rançongiciels ou de bases de données d'entreprise (voir un exemple dans la figure 9).
Il est important de noter qu'un nombre considérable d'acteurs malveillants utilisent simultanément plusieurs applications de messagerie (voir figure 10). Cela est particulièrement vrai pour ceux qui proposent des services à d'autres cybercriminels. Maintenir une accessibilité aisée est essentiel à toute activité commerciale ; par conséquent, les acteurs malveillants vendant des services tels que l'échange de cryptomonnaies et le blanchiment d'argent, l'hébergement, l'obfuscation de logiciels malveillants ou le développement proposent souvent plusieurs canaux de communication. La figure interactive 11 ci-dessous illustre cette réalité et vous permet d'explorer différentes combinaisons de liens et d'identifiants d'applications de messagerie trouvées dans un seul message de forum en 2024. Telegram, associé à d'autres applications de messagerie, reste la combinaison la plus populaire, soulignant une fois de plus la robustesse de cet outil de communication.
Figure 11 : Source : Flare.io
Réflexions finales et perspectives de recherche future
La collecte de ces données nous a également permis d'identifier des liens entre différents identifiants de messagerie et de les corréler. Comme le montrent les figures 12 et 13, il est possible de déterminer quel acteur malveillant utilise quelle application de messagerie. La prochaine étape consistera à inclure les noms d'utilisateur, ce qui facilitera l'étude des acteurs malveillants et automatisera la découverte de leurs pseudonymes et canaux de communication ; mais ceci est une autre histoire. ;)
Figure 13 : Exemple d'un groupe d'identifiants de messagerie appartenant au même acteur de menace mais trouvés sur différents messages sur des forums et des chaînes Telegram.
Approfondissez vos connaissances sur la cybercriminalité avec Flare Academy
Vous souhaitez en savoir plus sur la recherche en cybercriminalité ? Découvrez les formations de Flare Academy, animées par des chercheurs en cybersécurité. Consultez ici les prochaines sessions.
Nous offrons aussi la Communauté Discord de Flare Academy, où vous pouvez échanger avec vos pairs et accéder aux ressources de formation de la Flare Academy.
J'ai hâte de vous y voir!
Références
[4] Sergiu Gatlan, « Telegram partage désormais l'adresse IP et le numéro de téléphone des utilisateurs sur demande légale. » BleepingComputer, 23 septembre 2024. https://www.bleepingcomputer.com/news/security/telegram-now-shares-users-ip-and-phone-number-on-legal-requests/.
[6] XSS.is (ex DaMaGeLaB). « Tox 1.17.6 / RCE », 25 mai 2023. https://xss.is/threads/88898/.
