Peu de gens connaissaient son nom. Encore moins son visage. L’identification de Vitalii Nikolaevich Kovalev, 36 ans, marque un tournant dans la lutte contre le cybercrime mondial. Chef présumé de Conti, l’un des groupes de ransomwares les plus redoutés de la dernière décennie, il vient d’être formellement désigné comme figure centrale d’une organisation qui a infecté des centaines de milliers de systèmes à travers le monde. Derrière lui, un réseau structuré, hiérarchisé, disposant de bureaux physiques et générant des centaines de millions d’euros. Une entreprise du crime, masquée par la technologie.
A LIRE AUSSI
La Corée du Nord finance son programme nucléaire et militaire en volant des cryptomonnaies
Une fortune évaluée à un milliard de dollars
Connu sous les pseudonymes « Stern » ou « Ben », Kovalev est soupçonné d’être à l’origine de la diffusion de Trickbot, l’un des logiciels malveillants les plus répandus, notamment en Espagne, où il aurait touché jusqu’à 4 % des entreprises. Les autorités américaines et allemandes estiment qu’il réside à Moscou, où plusieurs sociétés sont enregistrées à son nom. Son portefeuille en cryptomonnaies est évalué à un milliard de dollars.
Selon le Bureau fédéral de la police criminelle allemande (BKA), Conti aurait compté plus de 100 membres et aurait opéré comme une entité structurée et orientée vers le profit. Une enquête de Check Point Research, fondée sur des documents internes transmis par un infiltré présumé, révèle une organisation comparable à une entreprise technologique. Kovalev en était le directeur général, entouré de chefs d’équipe et de responsables de départements.
Conti disposait d’un service des ressources humaines chargé du recrutement, du versement des salaires en bitcoins, et même de l’attribution de primes mensuelles. L’organisation avait des bureaux physiques et s’occupait de ses effectifs comme le ferait toute société de taille moyenne.
Le cybercrime, nouvel eldorado du marché de l’emploi
Le recrutement ne se limitait pas aux forums clandestins. Des CV volés étaient analysés afin d’identifier des profils intéressants à qui des offres étaient directement adressées. Les postes couvraient un large spectre de compétences : développeurs, cryptographes, administrateurs systèmes, experts en renseignement ou encore négociateurs. Dans certains cas, les recrues ignoraient qu’elles intégraient un réseau criminel.
Ce mode de fonctionnement reflète une tendance plus large : la transformation du cybercrime en marché du travail alternatif. Une analyse de 155 forums du darknet révèle des offres salariales atteignant jusqu’à 20 000 dollars mensuels, avec une médiane située entre 1 300 et 4 000 dollars. Les développeurs concentrent 61 % des offres.
L’opération Endgame, une riposte internationale d’ampleur
Kovalev figure parmi les 36 individus identifiés dans le cadre de l’opération policière internationale baptisée « Endgame ». Ils sont accusés d’avoir développé ou diffusé Qakbot et Danabot, deux malwares majeurs de l’écosystème cybercriminel. La première phase de l’opération, en mai 2024, a permis le démantèlement de plus de 100 serveurs. La seconde, en mai 2025, a neutralisé 300 serveurs supplémentaires et saisi 3,5 millions d’euros en cryptomonnaies. Le montant total des actifs confisqués s’élève à 21,2 millions d’euros.
Qakbot et Danabot
Qakbot, actif depuis 2007, est l’un des chevaux de Troie bancaires les plus sophistiqués. Il a évolué pour voler des identifiants, extraire des emails, puis déployer des ransomwares destructeurs comme Conti ou REvil. Bien que démantelé en 2023, il a réapparu dès décembre de la même année.
Danabot, apparu en 2018, fonctionne selon un modèle de location. Il a infecté plus de 300 000 ordinateurs et causé au moins 50 millions de dollars de dommages. Il a été utilisé dans des attaques d’envergure, notamment contre le ministère ukrainien de la Défense.
Une menace en expansion malgré les arrestations
Si les paiements de rançon ont diminué de 35 % en 2024, les attaques, elles, ont explosé. Le nombre de victimes publiées sur les sites de fuite a augmenté de 126 % au premier trimestre 2025. En parallèle, 46 nouveaux groupes de ransomware sont apparus en 2024, en hausse de 48 %. Le montant moyen des rançons a grimpé de 4 559 % depuis 2019.
En 2024, 444 incidents de cybersécurité ont visé le secteur de la santé aux États-Unis. Les conséquences sont massives : 259 millions d’Américains ont été affectés. En France, l’ANSSI classe le cybercrime parmi les trois principales menaces. La part des attaques par hacking dans ce secteur est passée de 4 % en 2010 à 81 % en 2024.
Parmi les 36 personnes identifiées, 20 font l’objet d’un mandat d’arrêt international, les 16 autres sont poursuivies par les États-Unis. Leur arrestation reste improbable, la plupart résidant en Russie, hors d’atteinte judiciaire. L’UE et le Royaume-Uni ont mis en place des sanctions économiques ciblées, tandis que la Russie annonce en parallèle un durcissement législatif contre le cybercrime, en contradiction apparente avec la réalité de terrain.
Des pertes économiques colossales
Le coût moyen d’une attaque par ransomware a atteint 5,13 millions de dollars en 2024. Les pertes globales sont estimées à 8 000 milliards de dollars en 2023, avec une projection à 10 500 milliards d’ici fin 2025. En France, plus de 278 000 affaires de cybercriminalité ont été recensées en 2023, avec un coût moyen de 130 000 euros pour les PME. Quatre sur dix ne parviennent pas à restaurer leurs données.
