IOCTA 2026 : Europol dresse le panorama des cybermenaces – IA, chiffrement et proxies

Wed, 29 Apr 2026 00:00:00 +0000

🌐 Contexte

Publié le 28 avril 2026 par Europol (European Union Agency for Law Enforcement Cooperation), l’Internet Organised Crime Threat Assessment (IOCTA) 2026 constitue l’évaluation annuelle la plus complète des cybermenaces pesant sur l’Union européenne. Le rapport s’intitule « How encryption, proxies and AI are expanding cybercrime » et couvre les développements observés principalement en 2025.

🎯 Principaux vecteurs de menace identifiés

Ransomware

Plus de 120 familles de ransomware actives observées par Europol en 2025
Modèle RaaS (Ransomware-as-a-Service) dominant, avec fragmentation croissante des opérations
Groupes notables : Qilin, Akira, LockBit (tentatives de rebond avec LockBit 5.0), DragonForce, BlackBasta, Cl0p, Play, Fog
En septembre 2025, une coalition DragonForce + LockBit + Qilin annoncée sur le dark web
Tactiques d’extorsion multi-couches : exfiltration de données, DDoS simultanés, cold-calling, pression psychologique
Shift de l’extorsion : de la demande de déchiffrement vers la menace de publication des données

Fraude en ligne (OFS)

Fraude représentant la zone de croissance la plus rapide de la criminalité organisée
Typologies principales : fraude à l’investissement (crypto), BEC, romance scam, tech support fraud, fraude aux paiements
Usage massif de SIM boxes / SIM farms (ex : réseau letton de 7 individus, 1 200 dispositifs, 40 000 SIM cards, 49 millions de comptes créés)
Montée des IMSI catchers et SMS blasters pour contourner les protocoles KYC
Drainers de cryptomonnaies maturés en système CaaS (acquisition d’Inferno Drainer par Angel Drainer en octobre 2024)
Attaques relay sur terminaux de paiement en hausse dans l’UE
Adoption de l’IA générative pour personnaliser l’ingénierie sociale, scripts d’appel, chatbots de pré-sélection des victimes

Infrastructure criminelle

Dark web : fragmentation des marketplaces généralistes, émergence de plateformes spécialisées
Démantèlement d’Archetyp Market (600 000 utilisateurs, EUR 250M de transactions, juin 2025) ; émergence de BlackOps, TorZon, Nexus Market
DarkForums successeur de BreachForums
Bullet-proof hosting (BPH) avec sous-location multi-juridictionnelle
Proxies résidentiels pour masquer le trafic malveillant
Abus DNS pour phishing, C2 de botnets, distribution de malwares
Démantèlement de Cryptomixer (EUR 1,3 milliard en Bitcoin mixés depuis 2016, novembre 2025)
Montée des privacy coins, chain-hopping, bridges blockchain, DEX, coinjoin pour le blanchiment

Menaces hybrides et DDoS

Acteurs étatiques utilisant des réseaux cybercriminels comme proxies pour des opérations de déstabilisation
NoName057(16) : réseau pro-russe ciblant gouvernements et entreprises, démantelé partiellement lors de l’Opération Eastwood (juillet 2025, 19 pays impliqués)
DDoS lors du Sommet OTAN de La Haye (juin 2025)
Coalition Scattered LAPSUS$ Hunters (SLSH) : Scattered Spider + ShinyHunters + LAPSUS$ (annoncée août 2025)

Exploitation sexuelle des enfants en ligne (CSAM)

Kidflix démantelé (1,8M utilisateurs, 80 000 vidéos, 1 400 suspects identifiés, 39 enfants protégés)
Hausse de 70% des signalements de sextorsion financière (NCMEC, H1 2025 vs H1 2024)
CSAM généré par IA en forte progression (modèles text-to-image, text-to-video, image-to-image)
Réseau The Com : communautés en ligne mêlant CSE, cyberattaques, extorsion, violence extrême
Plateforme Help4U lancée par Europol en novembre 2025 pour soutenir les victimes mineures

🔧 Opérations de police majeures citées

Opération Endgame : démantèlement de Smokeloader, Bumblebee, Lactrodectus, Qakbot, Hijackloader, DanaBot, Trickbot, Warmcookie, Rhadamantys, VenomRAT, Elysium botnet
Phobos/8Base : arrestation de 4 ressortissants russes, avertissement de 400 entreprises
Cryptomixer.io : saisie de EUR 25M en cryptomonnaies, 12 To de données
Archetyp Market : arrestation de l’administrateur à Barcelone
NoName057(16) : Opération Eastwood, 9 arrestations, +100 serveurs perturbés
Réseau SIM box letton : 7 arrestations (octobre 2025)
CSAM IA : 25 arrestations mondiales, 273 suspects identifiés

📋 Type d’article

Il s’agit d’un rapport stratégique annuel publié par Europol, destiné aux décideurs stratégiques, politiques et opérationnels des autorités répressives de l’UE. Son but principal est de fournir une évaluation structurée et factuelle du paysage des cybermenaces pour orienter les priorités opérationnelles et politiques en matière de lutte contre la cybercriminalité.

Rhadamantys on CyberVeille