OPSEC et cybercrime : comment de simples erreurs compromettent-elles l’anonymat des cybercriminels ?

Mais alors, quelles sont ces erreurs d’OPSEC que l’on peut observer ?

Il est difficile d’établir une liste exhaustive des erreurs d’OPSEC observables, tant elles sont nombreuses et diverses. Elles peuvent être liées à un facteur humain, à une erreur technique, ou encore à une fuite de données. Il s’agit d’un ensemble de données qui nécessite d’être corrélé par les analystes CTI pour en extraire un renseignement exploitable. Il est ici plutôt question de donner des exemples récents afin d’offrir une compréhension de la manière dont il est possible d’exploiter ce qui semble n’être qu’un détail. Pourtant, celui-ci peut s’avérer être l’élément manquant du puzzle permettant d’identifier un acteur de la menace.

Les données d’abus

Les données d’abus sont des artefacts collectés à la suite de l’abus ou de l’utilisation abusive d’une application ou d’un service spécifique par un acteur de la menace. Dans ce cas, un acteur a utilisé un grand nombre d’IP de proxy résidentiels pour automatiser ses activités. Cependant, cette utilisation massive a entraîné une surcharge et a provoqué des échecs de connexion, conduisant à la divulgation de ses propres adresses IP⁽¹⁾.

Auto-infection avec un stealer

Une autre erreur d’OPSEC pouvant avoir de lourdes conséquences est l’infection accidentelle de son propre système par un logiciel malveillant de vol de données. Par exemple, le Federal Bureau of Investigation (FBI) a inculpé 16 personnes impliquées dans l’exploitation et la vente de DanaBot après qu’elles ont involontairement infecté leurs propres machines, permettant l’extraction d’informations à partir des logs du stealer et conduisant à leur identification ⁽²⁾.

Un cas similaire concerne un acteur nord-coréen compromis par le malware LummaC2. Des données récupérées sur sa machine, notamment une adresse email, ont permis de faire le lien avec une infrastructure utilisée dans le vol de 1,4 milliard de dollars de la plateforme Bybit⁽³⁾ par Lazarus, une APT nord-coréenne qui a fait l’objet d’une analyse par notre équipe CTI

Lire sur le même sujet, notre article de blog : Lazarus : anatomie d’une APT nord-coréenne

La réutilisation de chaînes de caractères

La réutilisation de chaînes de caractères codées dans le binaire d’un malware constitue une autre faille d’OPSEC. Lorsque ces éléments sont retrouvés dans différents échantillons, ils permettent de détecter rapidement des similarités, de corréler des incidents et d’attribuer le malware à une famille connue⁽⁴⁾.

Révéler son identité ou des informations sur sa personne à un tiers

Des fuites internes ont déjà compromis l’OPSEC de groupes cybercriminels. En 2022, les ContiLeaks ont exposé des discussions internes après leur publication par un membre du groupe, permettant de relier des pseudonymes à des identités réelles⁽⁵⁾. En 2024, le BlackCat/ALPHV exit scam, au cours duquel le groupe a simulé un démantèlement pour disparaître avec une rançon sans rémunérer ses affiliés, a fragilisé son OPSEC en poussant certains membres lésés à collaborer avec les autorités ou à divulguer des informations publiquement⁽⁶⁾.

Attention à vos historiques YouTube…

Une erreur d’OPSEC plus originale, illustrant que le diable se cache dans les détails, a permis d’identifier un acteur de la menace. Dans ce cas, un acteur (IntelBroker) a partagé sur un forum une vidéo qu’il venait de regarder. Une corrélation entre les horodatages de son historique YouTube et ceux de ses publications a alors pu être établie, permettant aux forces de l’ordre de confirmer son identité.

La place de la CTI dans l’exploitation de ces erreurs d’OPSEC

Dans les investigations cyber, la Cyber Threat Intelligence (CTI) constitue un levier essentiel pour contourner les dispositifs d’OPSEC mis en place par les groupes criminels. Là où ces derniers cherchent à cloisonner leurs activités et à masquer leur identité, la CTI permet de collecter, croiser et enrichir des indicateurs techniques (adresses IP, noms de domaine, serveurs d’hébergement) afin de les transformer en des renseignements exploitables. Ce processus d’enrichissement donne du contexte à des données brutes. Il permet, par exemple, de relier une infrastructure à une campagne connue ou à un mode opératoire spécifique. En analysant les tactiques, techniques et procédures (TTPs) des attaquants, les analystes identifient des schémas récurrents et des erreurs d’OPSEC, comme la réutilisation d’outils, le chevauchement d’infrastructures ou les incohérences dans les pratiques, qui deviennent autant de points d’entrée pour l’investigation. Ainsi, même en présence de mécanismes d’anonymisation sophistiqués, la CTI permet de reconstituer progressivement l’écosystème criminel et de remonter jusqu’aux individus, en transformant des traces techniques dispersées en des preuves structurées et exploitables par les autorités.

Un exemple concret de cette approche est illustré par l’opération « Operation Synergia III », menée entre 2025 et 2026 sous la coordination d’INTERPOL, avec le soutien de partenaires privés. Grâce au partage de renseignements sur les infrastructures malveillantes, notamment des domaines de phishing, des serveurs et des systèmes de diffusion de malware, les enquêteurs ont pu identifier et perturber des réseaux cybercriminels à grande échelle. Cette opération a conduit à de nombreuses arrestations et au démantèlement de milliers de ressources utilisées dans des campagnes de fraude⁽⁷⁾.

Sources :
(1) - Resecurity | Synthetic Data : A New Frontier for Cyber Deception and Honeypots. (2025, 24 décembre). https://www.resecurity.com/blog/article/synthetic-data-a-new-frontier-for-cyber-deception-and-honeypots
(2) - Oops : DanaBot malware devs infected their own PCs. (2025, 23 mai). https://krebsonsecurity.com/2025/05/oops-danabot-malware-devs-infected-their-own-pcs/
(3) - Kelly, P. (2025, 9 mai). Silent Push Pivots into New Lazarus Group Infrastructure, Acquires Sensitive Intel Related to $ 1.4B ByBit Hack and Past Attacks. Silent Push. https://www.silentpush.com/blog/lazarus-bybit/
(4) - Eldritch, M. (2025, 8 juillet). DEVMAN Ransomware : Analysis of New DragonForce Variant. ANY.RUN’s Cybersecurity Blog. https://any.run/cybersecurity-blog/devman-ransomware-analysis/
(5) - Cimpanu, C. (s. d.). Risky Bulletin : Russian man investigated for extorting Conti ransomware group - Risky Business Media. https://risky.biz/risky-bulletin-russian-man-investigated-for-extorting-conti-ransomware-group/
(6) - A fragmented ransomware ecosystem may be more threatening than we recognise. (s. d.). Binding Hook. https://bindinghook.com/a-fragmented-ransomware-ecosystem-may-be-more-threatening-than-we-recognise/
(7) - Group-IB supports INTERPOL’s operation Synergia III, contributing intelligence to global cybercrime takedown. (2026, 13 mars). Group-IB. https://www.group-ib.com/media-center/press-releases/interpol-operation-synergia-3/