30.12.2025 - Dans sa dernière rétrospective hebdomadaire de l’année, l’OFCS a pour habitude de revenir sur les cyberincidents signalés durant les douze derniers mois. En 2025, ce sont au total près de 65 000 annonces qui ont été faites à l’OFCS. La hausse enregistrée par rapport à l’année dernière est donc nettement moins importante que les années précédentes. Il y a de nouveau eu beaucoup d’appels téléphoniques émanant prétendument de la police, mais le nombre d’annonces de ce type a nettement diminué durant le deuxième semestre. Cette baisse a été compensée par des annonces de tentatives d’escroqueries à l’investissement en ligne via des publicités. Même si l’augmentation quantitative des annonces n’est plus aussi importante, leur évolution qualitative est notable.
Semaine 52 : Des attaques de plus en plus ciblées, complexes et sophistiquées – près de 65 000 annonces faites à l’OFCS en 2025
Avec près de 65 000 annonces au total, le nombre de signalements reçus n’est que légèrement en hausse par rapport à l’an dernier. Les appels téléphoniques émanant prétendument de la police sont toujours le phénomène le plus signalé puisqu’ils représentent 26 % des annonces. Viennent ensuite l’hameçonnage (19 % ) et les tentatives d’escroqueries à l’investissement en ligne via des publicités (9 %). Le rapport entre les annonces émanant de la population (90 %) et celles qui proviennent d’entreprises (10 %) demeure stable. Parmi les fraudes les plus fréquemment signalées par les entreprises, on constate cette année encore une augmentation des cas de fraude au CEO (2025 : 970 / 2024 : 719). En revanche, les signalements de fraude à la facturation n’ont que légèrement augmenté (2025 : 132 / 2024 : 114). Après une nette diminution des signalements d’attaques par rançongiciel l’année dernière (2024 : 92), leur nombre a légèrement augmenté cette année avec 104 signalements, ce qui reste toutefois inférieur au niveau de 2023 (109). Le nombre de cas ne donne toutefois aucune indication sur l’ampleur des dommages. Les cybercriminels se concentrent de plus en plus sur des cibles lucratives, si bien que les dommages subis par cas devraient augmenter à l’avenir. On constate en outre que désormais, les attaques par rançongiciel s’accompagnent presque toujours d’une fuite de données, ce qui accroît encore l’ampleur des dommages. Les signalements d’attaques DDoS sont en baisse. Alors que 48 signalements avaient été enregistrés l’année dernière, ce chiffre est tombé à 35 cette année.
Des attaques plus ciblées, plus complexes et plus sophistiquées
Alors que les signalements de fraude ont diminué d’environ 5500 cas, ceux concernant les spams ont augmenté d’environ 6500. Les autres catégories n’ont quasiment pas subi de changements. La baisse de cas de fraude est presque exclusivement due à la diminution des signalements pour appels frauduleux émanant prétendument des autorités. D’autre part, l’augmentation des spams repose principalement sur les tentatives d’escroquerie à l’investissement en ligne via des publicités, tandis que les signalements de tentatives d’hameçonnage sont restés stables. À première vue, ces chiffres semblent peu spectaculaires, mais la qualité des attaques évolue considérablement, en particulier pour le tentatives d’hameçonnage. La tendance n’est plus aux attaques de masse mais aux attaques personnalisées. Les pirates prennent le temps de cibler individuellement leurs victimes. Apparemment, l’investissement en vaut la peine.
Cela apparaît clairement dans les attaques d’hameçonnage liées aux petites annonces, qui ont particulièrement augmenté au cours du premier semestre 2025. Les escrocs se font passer pour des acheteurs potentiels et, lors du processus de paiement, font croire à leurs victimes qu’elles doivent se rendre sur une page spéciale pour recevoir la somme due. Selon la banque à laquelle on est affilié, diverses données d’accès pour l’e-banking seront alors demandées. Dans ce cas, les cybercriminels ne visent toutefois pas directement l’e-banking mais le compte TWINT de leur victime. Dans de nombreux cas, celui-ci est lié au compte bancaire. Contrairement à un compte bancaire, les paiements y sont exécutés immédiatement. Et le montant des transactions n’est limité que par la limite fixée par la victime elle-même dans l’application. Par ailleurs, les escrocs utilisent des comptes TWINT piratés pour blanchir de l’argent et dissimuler l’origine des paiements.
Nouvelle dimension : attaques sophistiquées d’hameçonnage avec des SMS Blaster
Cette année, une nouvelle variante a également été observée pour diffuser des messages d’hameçonnage. À partir de l’été, l’OFCS a reçu de nombreux signalements concernant des SMS faisant état de prétendues amendes de stationnement en Suisse romande. L’OFCS avait déjà eu connaissance de tentatives d’hameçonnage utilisant une méthode similaire, mais généralement sous la forme de courriels. La nouveauté cette année résidait dans l’envoi ciblé par SMS. Il a été particulièrement frappant de constater que les destinataires se trouvaient dans les mêmes zones géographiques peu avant la réception du message, laissant ainsi supposer que les cybercriminels avaient utilisé des outils techniques pour manipuler l’envoi des SMS. Il s’est en effet avéré par la suite que les pirates avaient utilisé ce qu’on appelle des « SMS Blaster », c’est-à-dire des appareils portables qui se font passer pour des stations de téléphonie légitimes. Les pirates ont ainsi pu envoyer des SMS frauduleux directement aux appareils situés à proximité. Les victimes ont reçu le message sans que leur numéro de téléphone soit connu des escrocs. Le lien contenu dans le message redirigeait vers une page de paiement d’apparence authentique qui récupérait les données de carte de crédit.
Même des données apparemment « insignifiantes » sont la cible des pirates
Outre les fuites de données connues, l’OFCS a observé durant cette dernière année une augmentation des attaques dans lesquelles des escrocs collectaient activement des informations personnelles. Alors que l’hameçonnage classique vise principalement à prendre le contrôle de comptes bancaires en ligne ou de comptes de messagerie électronique, ces campagnes poursuivaient un autre objectif : établir un profil aussi complet que possible des victimes. Les escrocs ont créé des sites web d’apparence authentique, imitant le design d’institutions dignes de confiance telles que des banques, des compagnies d’assurance, des caisses d’assurance maladie ou des prestataires de services de paiement. Sous prétexte de vérifier ou de mettre à jour leurs données, les utilisateurs ont été invités à divulguer de nombreuses informations. Les données demandées allaient bien au-delà des données d’accès. Dans un cas récent, un site frauduleux lié à un prétendu remboursement exigeait, outre des informations personnelles, une signature numérique. Les profils des victimes ainsi créés sont particulièrement précieux pour les activités criminelles, car ils permettent l’usurpation d’identité, les attaques ciblées d’ingénierie sociale ou la revente des données sur le marché noir. Plus les informations sont complètes, plus le gain potentiel est élevé.
Les noms d’entreprises sont de plus en plus utilisés de manière abusive
Les particuliers ne sont pas les seules victimes du vol d’identité, les entreprises sont également de plus en plus touchées, car un nom d’entreprise établie suscite la confiance et les cybercriminels l’exploitent donc pour parvenir à leurs fins. Les entreprises qui ne disposent pas de leur propre site web sont particulièrement vulnérables, car elles sont peu présentes sur Internet et leur identité peut être facilement imitée. Les cybercriminels procèdent de manière systématique : ils recherchent ces entreprises dans le registre du commerce, enregistrent les domaines correspondants et créent des sites web d’apparence authentique. Pour donner une impression de sérieux, ils reprennent les informations officielles telles que l’adresse et le numéro d’enregistrement au registre du commerce de la véritable entreprise. Sur cette base, ils lancent diverses escroqueries, allant des offres d’emploi fictives aux boutiques en ligne falsifiées, en passant par des plateformes d’investissement conçues de manière professionnelle. L’utilisation abusive d’une identité d’entreprise réelle réduit considérablement le scepticisme des victimes potentielles et augmente les chances de succès des escrocs sans que ceux-ci aient à se forger une réputation crédible.
Le rôle de l’intelligence artificielle dans la cybercriminalité
L’intelligence artificielle joue certes un rôle croissant dans la cybercriminalité, mais elle n’est actuellement pas encore aussi dominante qu’on pourrait le penser. L’année dernière, l’utilisation de l’IA dans les tentatives d’escroqueries à l’investissement en ligne via des campagnes publicitaires a été particulièrement frappante. Des interviews qui paraissaient authentiques ont ainsi été générées avec des personnalités politiques connues, qui recommandaient une méthode prétendument secrète pour investir de l’argent avec des rendements élevés. Ces contenus deepfake exploitent la confiance accordée aux personnalités célèbres pour manipuler les victimes. Entre-temps, de premiers cas où des images compromettantes ont été créées à l’aide de l’IA afin de faire chanter des personnes ont aussi été signalés. Cette évolution montre que l’intelligence artificielle offre aux cybercriminels de nouvelles possibilités pour rendre leurs attaques plus crédibles et plus personnalisées. Compte tenu des progrès technologiques fulgurants, on peut supposer que ces méthodes occuperont beaucoup plus l’OFCS dans les années à venir. Il ne faut cependant pas négliger le fait qu’elles peuvent également être utilisées pour mieux comprendre la complexité des systèmes et identifier les risques à temps.
Obligation d’annoncer les cyberattaques contre des infrastructures critiques
Depuis le 1er avril 2025, les exploitants d’infrastructures critiques doivent signaler dans les 24 heures à l’OFCS les cyberattaques dont ils sont victimes. Les 221 annonces parvenues à l’OFCS lui permettent d’avoir une meilleure vue d’ensemble de la situation en matière de cybermenaces en Suisse et des méthodes utilisées par les pirates. Les connaissances acquises contribuent à la gestion d’incidents concrets, à l’évaluation de la situation nationale en matière de menaces et à l’alerte précoce des organisations potentiellement concernées. Il est également particulièrement positif de constater que, depuis l’entrée en vigueur de l’obligation de signalement, un nombre croissant d’organisations (actuellement 1660) participent activement à l’échange d’informations que l’OFCS poursuivra de manière systématique afin de renforcer encore la cybersécurité en Suisse.
L’Office fédéral de la cybersécurité vous remercie de votre confiance et de votre collaboration, et vous souhaite une bonne année 2026, sans arnaque ni virus.
Statistiques et chiffres actuels
Les annonces de la dernière semaine selon les catégories sont publiées sous:
Dernière modification 30.12.2025
