DATE : Juin 2025
CATÉGORIE : Technique / Fonctionnement
Le modèle RaaS : comment le Ransomware-as-a-Service a industrialisé la cybercriminalité
Introduction
Il y a dix ans, mener une attaque par ransomware nécessitait des compétences techniques avancées. Aujourd'hui, il suffit de louer un service. Le modèle Ransomware-as-a-Service (RaaS) a transformé la cybercriminalité en une industrie structurée, accessible et redoutablement efficace.
Qu'est-ce que le modèle RaaS ?
Le RaaS est une déclinaison du modèle SaaS appliquée à la criminalité. Un groupe développe et maintient l'infrastructure complète : le logiciel malveillant, les serveurs de chiffrement et de déchiffrement, les sites dark web pour publier les données volées, et les outils de négociation de rançon. Ce groupe propose ensuite cet arsenal à des affiliés qui mènent les attaques.
La rémunération fonctionne comme une franchise : les affiliés conservent généralement entre 70 % et 80 % des rançons. LockBit proposait un modèle encore plus avantageux : les affiliés encaissaient directement la totalité de la rançon et reversaient ensuite 20 % au groupe.
Une division du travail très spécialisée
L'écosystème RaaS implique une spécialisation croissante. Les Initial Access Brokers (IAB) se spécialisent dans l'obtention de l'accès initial aux réseaux cibles via l'exploitation de vulnérabilités, le phishing, ou l'achat d'identifiants compromis sur des marchés souterrains. Ils revendent cet accès aux affiliés.
Les affiliés mènent l'attaque proprement dite : déploiement du ransomware, mouvement latéral dans le réseau, exfiltration des données et chiffrement des systèmes. Les négociateurs gèrent les échanges avec les victimes, parfois avec un professionnalisme déconcertant. Les opérateurs du groupe core développent les outils et maintiennent l'infrastructure.
La résilience du modèle face à la répression
L'Opération Cronos contre LockBit a démontré la puissance mais aussi les limites de la répression. Les affiliés de LockBit n'ont pas cessé leur activité : ils ont migré vers d'autres groupes, notamment RansomHub puis Qilin, qui est devenu le groupe le plus actif en 2025 avec plus de 1 044 victimes revendiquées, une progression de 578 % par rapport à 2024.
Cette résilience s'explique par la nature distribuée du modèle. Un opérateur RaaS peut être remplacé, les affiliés peuvent se disperser et se regrouper ailleurs, et le code malveillant peut être rebaptisé.
L'évolution vers le tout-exfiltration
Une tendance notable émerge en 2025 : certains groupes abandonnent partiellement le chiffrement au profit de l'exfiltration seule. Les organisations s'améliorant dans leur capacité à récupérer depuis des sauvegardes, les attaquants adaptent leur modèle. L'exfiltration sans chiffrement est plus rapide, moins bruyante et maintient la pression via la menace de publication des données. En France, selon l'ANSSI, les exfiltrations sans déploiement de ransomware ont progressé de 50 % en 2025, passant de 130 à 196 incidents documentés.
Mon analyse
Le modèle RaaS est préoccupant précisément parce qu'il est économiquement rationnel. Il abaisse radicalement la barrière à l'entrée pour les attaquants tout en maximisant l'efficacité des campagnes. Face à cela, seule une défense en profondeur, cloisonnement, moindre privilège, authentification forte, sauvegardes hors ligne ce qui permet de réduire l'impact d'une intrusion.
Sources
National Crime Agency — LockBit RaaS Analysis, 2024
Google Mandiant — Ransomware TTPs in a Shifting Threat Landscape (mars 2026)
Coveware — Quarterly Reports 2024–2025
ANSSI — Panorama de la cybermenace 2025 (mars 2026)
HIPAA Journal — Ransomware Attacks Increased 58% in 2025 (janvier 2026)