7 200 entreprises piratées en 2025, 47 % de plus qu’en 2024. Le ransomware n’est plus un coup d’éclat de hackers solitaires. C’est un business, avec ses abonnements, ses franchises et ses services clients. La police allemande vient de démasquer le cerveau de REvil, l’un des gangs les plus redoutés de la planète. Son patron présumé, un Russe de 31 ans nommé Daniil Shchukin, dirigeait un empire criminel responsable de plus de 35 millions d’euros de dégâts en Europe. Mais que se passe-t-il réellement entre le moment où un employé clique sur un email piégé et celui où son entreprise reçoit une demande de rançon en bitcoin ?
Un faux email, et tout bascule
L’attaque commence presque toujours par un email. Une fausse facture, un lien vers un document partagé, un message qui imite le service informatique de l’entreprise. Le phishing (hameçonnage en français) reste le vecteur d’infection numéro un. Un clic suffit. La pièce jointe exécute un petit programme sur l’ordinateur de la victime. Ce programme, appelé « loader », ne fait rien de spectaculaire au départ : il se connecte discrètement à un serveur contrôlé par les attaquants pour télécharger le vrai logiciel malveillant.
D’autres portes d’entrée existent : un VPN d’entreprise mal configuré, un logiciel qui n’a pas reçu ses mises à jour, un mot de passe volé lors d’une précédente fuite de données. Dans le cas de REvil, le gang avait exploité une faille chez Kaseya, un prestataire informatique, pour toucher 1 500 entreprises d’un seul coup en juillet 2021.
Le réseau tombe, fichier par fichier
Une fois installé, le programme ne frappe pas tout de suite. Les attaquants prennent le temps de cartographier le réseau de la victime. Ils repèrent les serveurs de fichiers, les sauvegardes, les bases de données. Cette phase de « mouvement latéral » (le fait de progresser d’une machine à l’autre à l’intérieur du réseau) dure parfois plusieurs semaines. Selon les analyses publiées par Fortinet, 60 % des attaques de 2025 comportaient ce type de progression silencieuse.
Quand tout est prêt, le chiffrement s’enclenche. Le ransomware utilise des algorithmes puissants (AES pour verrouiller les fichiers, RSA pour protéger les clés de déchiffrement) qui rendent les données illisibles. Concrètement, chaque document, chaque photo, chaque base de données se transforme en charabia numérique. Seule la clé détenue par les pirates peut les restaurer. L’opération prend quelques minutes sur un réseau bien préparé. Les sauvegardes, si elles sont connectées au même réseau, tombent aussi.
Payez, ou vos données fuient
La victime découvre un message sur ses écrans : payez telle somme en cryptomonnaie, ou vos fichiers restent bloqués. La rançon médiane en 2025 s’élevait à 1,3 million de dollars, d’après les chiffres compilés par Panda Security. Mais la facture réelle dépasse largement cette somme : arrêt de production, perte de clients, frais de reconstruction informatique, amendes réglementaires. Pour l’ensemble des victimes de REvil et GandCrab (le gang précédent dirigé par le même individu), les dégâts ont dépassé 2 milliards de dollars selon Brian Krebs, journaliste spécialisé en cybersécurité.
Depuis 2020, les gangs ont ajouté une couche supplémentaire : la double extorsion. Avant de chiffrer, ils copient les données sensibles de la victime. Si l’entreprise refuse de payer pour le déchiffrement, ils menacent de publier les fichiers volés sur des sites accessibles à tous. En 2025, 74 % des attaques par ransomware incluaient cette exfiltration préalable. Le chantage fonctionne : 26 % des organisations finissent par céder, même si ce taux diminue progressivement (il atteignait 32 % fin 2024).
Un business model calqué sur Netflix
REvil ne fabriquait pas seulement un logiciel malveillant. Le gang vendait un service. Le modèle s’appelle RaaS, pour « Ransomware as a Service » (rançongiciel en tant que service). Le principe ressemble à celui de Netflix ou Salesforce : les développeurs créent le ransomware, puis des « affiliés », c’est-à-dire des pirates indépendants, l’utilisent pour mener les attaques. En échange, l’affilié reverse 20 à 40 % de chaque rançon aux développeurs.
Le système fonctionne comme une franchise. Les affiliés disposent d’un tableau de bord pour suivre leurs victimes, d’un support technique disponible en permanence, et même de tutoriels pour les débutants. Les meilleurs éléments accèdent à des outils premium et à des failles de sécurité encore inconnues du public. En 2025, les annonces de recrutement d’affiliés sur le dark web ont grimpé de 44 % par rapport à 2023, selon le cabinet Group-IB. Au total, 124 groupes de ransomware étaient actifs en 2025, un record absolu.
Pourquoi la police galère autant
Identifier un chef de gang comme celui de REvil reste exceptionnel. La police fédérale allemande (BKA) a mis des années à remonter jusqu’à Daniil Shchukin, basé à Krasnodar, dans le sud de la Russie. Le problème principal : les cryptomonnaies rendent les flux financiers difficiles à tracer. Les pirates utilisent de plus en plus le Monero, une monnaie conçue pour être intraçable, au détriment du Bitcoin. Les serveurs sont hébergés dans des pays peu coopératifs. Et la Russie n’extrade pas ses ressortissants.
Les résultats progressent malgré tout. Les revenus globaux du ransomware ont chuté de 1,2 milliard de dollars en 2023 à 814 millions en 2024, selon Chainalysis. La part des victimes qui paient recule chaque année. Les forces de l’ordre démantèlent les infrastructures une par une. Mais le modèle RaaS rend l’écosystème résilient : quand un groupe tombe, ses affiliés migrent vers un concurrent en quelques jours.
La prochaine cible, c’est peut-être votre médecin
Les hôpitaux, les cabinets médicaux, les PME : les attaquants ciblent de plus en plus les organisations qui ne peuvent pas se permettre d’attendre. Un hôpital dont les dossiers patients sont verrouillés n’a pas le luxe de négocier pendant des semaines. En France, l’ANSSI a constaté une hausse de 30 % des incidents liés aux ransomwares en 2024, avec des cibles récurrentes : collectivités locales et établissements de santé.
Le marché de la protection contre les ransomwares pèse déjà 32,6 milliards de dollars en 2024 et devrait atteindre 123 milliards d’ici 2034. En attendant, le BKA a publié un avis de recherche international contre Shchukin, avec son nom, sa photo et ses adresses connues, dans l’espoir qu’il commette l’erreur de quitter la Russie.
