IOCTA 2026 : Europol alerte sur un « fossé de vélocité » entre cybercriminels et policiers

  

Le rapport IOCTA 2026 alerte sur un « fossé de vélocité » où l'IA et l'automatisation permettent aux cybercriminels de frapper plus vite et plus fort. L'usage massif du chiffrement de bout en bout et des proxys résidentiels camoufle les attaques, créant des zones d'ombre critiques pour la police. La fraude en ligne s'industrialise grâce à des « fermes de boîtiers SIM » et à l'IA générative, capable de simuler des identités de manière ultra-réaliste. Le ransomware ne se contente plus de bloquer les données mais menace désormais de les divulguer, alimentant un business de l'extorsion sans précédent. L'exploitation sexuelle des enfants s'aggrave avec la montée du contenu synthétique par IA et des réseaux de violence réelle comme « The Com ». Face à cette menace devenue évasive et intangible, l'urgence est, selon le rapport, à l'intégration de l'IA par les forces de police et à un accès légal aux données. 


Quels sont les éléments importants décrits par le rapport? 

Ces points sont : 

• Exploitation des technologies avancées : Les cybercriminels utilisent rapidement l'intelligence artificielle (IA) pour accroître la vitesse, l'efficacité et l'ampleur de leurs activités, tout en réduisant les barrières à l'entrée pour les nouveaux acteurs.
• Obstacles à l'enquête : L'utilisation généralisée du chiffrement de bout en bout (E2EE) et des services de proxys crée des angles morts pour les enquêteurs, rendant l'identification des suspects et la collecte de preuves extrêmement difficiles.
• Professionnalisation de la fraude : Les systèmes de fraude en ligne (OFS) sont le secteur de la criminalité organisée qui connaît la croissance la plus rapide, fonctionnant comme des industries transnationales hautement efficaces utilisant des infrastructures telles que les « SIM farms ».
• Évolution du Ransomware : Le modèle d'extorsion a évolué : les criminels ne se contentent plus de chiffrer les données, mais menacent désormais de divulguer des informations volées pour faire pression sur les victimes.
• Convergence des menaces : Les frontières se brouillent entre les acteurs de menaces hybrides (étatiques) et les réseaux cybercriminels, ces derniers étant utilisés comme mandataires pour des opérations de déstabilisation.
• Exploitation des mineurs : On observe une montée inquiétante de la production de matériel d'abus sexuel d'enfants (CSAM) généré par IA et une augmentation de l'extorsion sexuelle ciblant les mineurs

Quel est le panorama de la menace cyber ? 

1. Les facilitateurs de la cybercriminalité (Enablers)

• L'infrastructure criminelle est devenue plus résiliente et complexe : Écosystème du Dark Web : On observe une fragmentation et une spécialisation des marchés. Les grandes plateformes généralistes déclinent au profit de petites communautés dédiées aux outils de fraude, aux malwares ou au courtage d'accès (IABs).
• Anonymisation avancée : Les criminels utilisent des proxys résidentiels pour camoufler leur trafic malveillant derrière des adresses IP domestiques légitimes, rendant l'attribution très difficile. Ils déploient également leurs propres infrastructures d'hébergement pour échapper aux saisies et aux demandes légales.
• Cryptofinance et blanchiment : Les crypto-monnaies restent le mode de paiement privilégié, avec une adoption croissante des pièces à haute opacité (privacy coins). Le blanchiment se sophistique via le « chain-hopping » (transfert rapide entre différentes blockchains) et l'usage de mixeurs décentralisés basés sur des contrats intelligents.
• IA et Automatisation : L'IA générative est utilisée pour abaisser les barrières à l'entrée, automatiser les processus et personnaliser les attaques à grande échelle. Le rapport prévoit également l'émergence d'une IA agentique, capable d'exécuter de manière autonome des flux de travail criminels entiers.

2. Les schémas de fraude en ligne (OFS)

La fraude est le secteur de la criminalité organisée qui connaît la croissance la plus rapide. 

• Industrialisation : L'usage de fermes de boîtiers SIM (SIM farms) permet d'envoyer des milliers de SMS et de créer des comptes frauduleux en masse tout en contournant les protocoles de vérification (KYC).
• Techniques d'interception : On note une recrudescence de l'utilisation d'IMSI catchers et de « SMS blasters » pour intercepter des données mobiles et diffuser des messages de phishing sous le radar des opérateurs.
• Vols d'actifs numériques : Les « draineurs » de crypto-monnaies (cryptocurrency drainers) se sont structurés en modèle de « criminalité en tant que service » (CaaS), manipulant les victimes pour vider leurs portefeuilles numériques via des contrats intelligents malveillants.
• Attaques par relais : Les fraudes sur les terminaux de paiement augmentent, utilisant des techniques de relais en temps réel entre les cartes des victimes et les appareils des criminels pour effectuer des retraits.

3. Les cyber-attaques et le Ransomware

Le paysage du ransomware reste extrêmement volatil avec plus de 120 marques actives identifiées en 2025. 

• Évolution de l'extorsion : La priorité a glissé du simple chiffrement des données vers la menace de divulgation de données volées (leaking) pour forcer le paiement.
• Menaces hybrides : Les frontières se brouillent entre les acteurs étatiques (menaces hybrides) et les réseaux criminels. Les cybercriminels sont de plus en plus utilisés comme mandataires (proxies) pour des opérations de déstabilisation, notamment via des attaques par déni de service (DDoS) ou des intrusions stratégiques.
• Nouvelles coalitions : L'émergence de supergroupes comme l'alliance Scattered LAPSUS$ Hunters (SLSH) montre une capacité accrue à cibler les grandes entreprises technologiques par l'ingénierie sociale et le vol de données massives.
• Infostealers : Ces logiciels de vol d'informations continuent de saturer le marché, fournissant les identifiants nécessaires pour alimenter toutes les autres formes de cyberattaques.

Quel est le rôle de l’IA ?

L'intelligence artificielle (IA) est l'un des thèmes centraux du rapport IOCTA 2026, comme l'indique d'ailleurs son titre : « Comment le chiffrement, les proxys et l'IA étendent la cybercriminalité ». Le rapport décrit l'IA comme un accélérateur majeur de la menace, créant un « fossé de vélocité » entre les criminels et les forces de police. Voici ce qu'il détaille sur son utilisation et ses impacts :

1. Un multiplicateur de capacités pour les criminels

L'IA permet aux cybercriminels de : 

• Abaisser les barrières à l'entrée : Des individus moins techniques peuvent désormais lancer des attaques complexes grâce à des outils automatisés.
• Gagner en efficacité et en échelle : L'IA automatise les processus criminels, permettant de cibler un plus grand nombre de victimes avec moins d'implication humaine directe.
• Utiliser des modèles malveillants : Le dark web est devenu une plaque tournante pour les modèles de langage (LLM) malveillants, conçus sans les filtres éthiques des solutions commerciales.

2. Impact sur la fraude en ligne (OFS)

L'IA générative a transformé la fraude en permettant : 

• Une personnalisation massive : Les fraudeurs utilisent l'IA pour créer des récits de « social engineering » très convaincants, traduits et adaptés localement, pour l'usurpation d'identité (banques, police) ou les fraudes au président (CEO fraud).
• L'automatisation du démarchage : Des bots de chat vocal sont déployés pour présélectionner les victimes à une échelle industrielle avant de passer le relais à des opérateurs humains.

3. Cyber-attaques et Ransomware

Dans le domaine des intrusions : 

• Aide au codage : Les criminels utilisent des outils d'assemblage de code assistés par IA pour créer rapidement de nouvelles variantes de malwares et de ransomwares.
• Attractivité des services : Les groupes de Ransomware-as-a-Service (RaaS) intègrent des fonctionnalités d'IA dans leurs plateformes pour attirer davantage d'affiliés.

4. Exploitation sexuelle des enfants (CSE)

C'est l'un des domaines où l'impact de l'IA est le plus préoccupant : 

• CSAM synthétique : L'IA générative est utilisée pour produire du matériel d'abus sexuel d'enfants (CSAM) totalement ou partiellement synthétique, ce qui sature les capacités d'analyse et complique l'identification des victimes réelles.
• Grooming automatisé : L'IA améliore la qualité des techniques de manipulation des mineurs en ligne.

5. La menace émergente : l'IA « agentique »

Le rapport s'inquiète pour l'avenir de l'émergence d'IA agentiques, capables de planifier et d'exécuter de manière autonome des flux de travail criminels entiers avec peu ou pas d'intervention humaine. 


Pédopornographie : un saut de 70% de l'extorsion sexuelle

Le rapport IOCTA 2026 consacre une section entière à l'exploitation sexuelle des enfants en ligne (CSE) et au matériel d'abus sexuel d'enfants (CSAM), soulignant que les délinquants s'adaptent de manière exceptionnellement rapide aux nouvelles technologies pour étendre leurs crimes et échapper à la détection. 

1. Explosion de l'extorsion sexuelle

L'extorsion sexuelle (sextorsion) est devenue une menace majeure, avec une augmentation spectaculaire des cas signalés. Entre janvier et juin 2025, le nombre de rapports d'extorsion financière reçus par le NCMEC a bondi de 70 % par rapport à la même période l'année précédente. Les criminels manipulent les mineurs pour obtenir des images sexuelles auto-générées, puis les utilisent comme levier pour exiger de l'argent ou davantage de contenus explicites.

2. Monétisation et plateformes de streaming

On observe un passage des cercles de confiance fermés vers une monétisation croissante du CSAM.

• Plateformes sur le Dark Web : Le rapport cite le démantèlement en 2025 de Kidflix, une plateforme de streaming de CSAM sur le dark web qui comptait plus de 1,8 million d'utilisateurs inscrits.
• Abus en direct (LDCA) : Les abus sexuels sur enfants diffusés en direct restent une menace persistante, les consommateurs basés dans l'UE achetant souvent des sessions de streaming d'abus se déroulant hors de l'UE, notamment aux Philippines.
• Sites d'arnaque : De nombreuses plateformes prétendant vendre du CSAM sont en réalité des sites de fraude (OFS) qui encaissent des paiements en cryptomonnaies sans fournir de contenu.

3. Impact de l'IA et du CSAM synthétique

• La production de CSAM synthétique généré par intelligence artificielle est en forte hausse. Complexité de l'enquête : L'IA permet de créer des images ou vidéos totalement ou partiellement synthétiques (altérées), ce qui sature les capacités d'analyse et complique l'identification des victimes réelles.
• Amélioration du "Grooming" : Les outils d'IA améliorent également la qualité des techniques de manipulation (grooming) utilisées pour piéger les mineurs.
• Réseaux d'offenseurs IA : Une opération internationale a permis l'arrestation de 25 personnes liées à un service d'abonnement offrant du CSAM généré par IA de haute qualité.

4. Utilisation du chiffrement de bout en bout (E2EE)

Les messageries chiffrées sont devenues l'environnement privilégié des délinquants pour le réseautage, le recrutement et l'échange de contenus. Ces applications offrent une protection contre la surveillance policière, et les délinquants y partagent des « bonnes pratiques » pour éviter d'être détectés.

5. Réseaux hybrides et violence réelle : "The Com"

Le rapport met en garde contre des communautés en ligne comme le réseau « The Com », où l'exploitation sexuelle des enfants s'entremêle avec des cyberattaques, de l'extorsion, de l'extrémisme violent et de la violence réelle (agressions, viols). Ces réseaux recrutent souvent des enfants âgés de 8 à 17 ans sur des plateformes de jeux populaires ou des forums de discussion.

6. Soutien aux victimes

Pour contrer ces menaces, Europol a lancé en novembre 2025 la plateforme numérique Help4U. Elle est conçue pour aider les mineurs victimes d'abus sexuels en ligne en les guidant vers des services de soutien locaux et en leur fournissant des conseils pratiques pour se mettre en sécurité



Quelles sont les difficultés auxquelles sont confrontées les forces de police ?

Le rapport identifie plusieurs catégories d'obstacles majeurs :

1. Barrières technologiques et anonymat 

• Chiffrement de bout en bout (E2EE) : L'utilisation généralisée du E2EE par les criminels crée des « zones d'ombre » (blind spots) pour les enquêteurs, empêchant l'identification des suspects et la collecte de preuves.
• Infrastructures d'obscurcissement : L'utilisation de proxys résidentiels, de chaînes de VPN et de routage complexe (comme Tor) masque les adresses IP d'origine, rendant l'attribution des attaques extrêmement ardue.
• Hébergement « Bullet-proof » : Certains réseaux criminels déploient leurs propres serveurs ou utilisent des hébergeurs complaisants qui ignorent systématiquement les demandes de retrait judiciaires.

2. Défis liés aux données et au cadre juridique 

• Politiques de rétention des données : Les forces de police sont souvent entravées par des politiques de conservation des données inadéquates. Souvent, au moment où les enquêteurs demandent l'accès aux données, celles-ci n'existent plus.
• Barrières juridictionnelles : La nature transnationale du crime en ligne, avec des infrastructures réparties dans plusieurs pays, impose des procédures d'entraide judiciaire transfrontalière qui sont souvent trop lentes par rapport à la rapidité des attaques.

3. Opacité financière 

• Cryptomonnaies anonymes : L'usage croissant de pièces à haute opacité (privacy coins) et de services de mixage décentralisés (smart contract-based mixers) rend le traçage des flux financiers illicites, notamment les rançons, de plus en plus difficile.

4. Nouveaux défis liés à l'IA 

• Identification des victimes : Dans le cas de l'exploitation sexuelle des enfants, la montée du contenu généré par IA (synthétique ou altéré) sature les capacités d'analyse et complique considérablement l'identification des victimes réelles.
• Automatisation des attaques : L'émergence d'IA « agentiques », capables de mener des flux de travail criminels de manière autonome, permet aux criminels de se distancier physiquement et techniquement de leurs opérations.

5. Résilience des réseaux criminels 

• Capacité de régénération : Malgré les démantèlements fréquents par les autorités, les marchés du Dark Web et les forums font preuve d'une grande résilience, de nouvelles plateformes émergeant en quelques semaines pour remplacer celles qui ont été fermées.

En conclusion, le rapport insiste sur le fait que pour surmonter ces difficultés, les forces de police doivent adopter proactivement l'IA, renforcer la coopération avec le secteur privé pour accéder aux données critiques et harmoniser les politiques de rétention des données au niveau international.

 

 

synthèse par Pierre Berthelet

• rapport IOCTA 2026