Les blocages de canaux cybercriminels sur Telegram s’intensifient depuis octobre 2024, selon Kaspersky. Résultat : l’underground se réorganise et migre, notamment vers SimpleX.
TL;DR : L’essentiel
- Telegram sert aussi de messagerie et de plateforme de marché clandestin. Mais l’absence de chiffrement de bout en bout par défaut, l’infrastructure centralisée et le code serveur fermé imposent une confiance problématique.
- Les bots Telegram automatisent ventes et services illégaux, sans opérateur présent. Des services de recherche et diffusion d’informations personnelles (doxing) et des boutiques de journaux d’infostealer, exploitées via bot, montrent comment l’offre MaaS se met à l’échelle.
- De janvier 2024 à janvier 2025, le carding pèse 27,3 % des posts sur Telegram, devant fuites et vente de malwares . L’accès initial et les exploits restent presque inexistants.
- Les canaux cybercriminels vivent en moyenne sept mois sur 2021–2024, avec une médiane passée de cinq à neuf mois. Les blocages s’intensifient depuis octobre 2024, poussant des groupes majeurs vers SimpleX.
Tout commence comme souvent par un choix de confort. Une messagerie, des canaux, des groupes, des fichiers partagés en un clic. En un peu plus de dix ans d’existence, Telegram s’est imposé bien au-delà d’un simple outil de conversation : pour une partie des acteurs malveillants, la plateforme sert aussi de place de marché, de support de distribution et de point de rencontre. Le rapport analytique de Kaspersky (Digital Footprint Intelligence) de 2025 consacré au « dark Telegram » décrit un basculement discret mais structurant : la modération se durcit, les blocages se multiplient et une partie de l’underground commence à chercher refuge ailleurs.
Telegram, populaire mais trop centralisé pour l’ombre
Dans ce rapport, Telegram est évalué à travers des critères que les communautés clandestines considèrent comme vitaux : anonymat, confidentialité, autonomie et indépendance vis‑à‑vis d’un tiers. Sur ces points, la plateforme affiche des limites nettes. Le chiffrement de bout en bout — c’est‑à‑dire un mécanisme où seul l’expéditeur et le destinataire peuvent lire un message, sans que l’opérateur du service puisse y accéder — n’est pas activé par défaut. Il n’existe que pour un mode spécifique appelé « Secret Chat », distinct des discussions ordinaires et doté de fonctions comme l’autodestruction des messages. Le résultat est simple : dans le flux normal des échanges, la confidentialité dépend des choix et de la discipline des utilisateurs.
L’architecture ajoute une autre couche de dépendance. Telegram repose sur une infrastructure centralisée : impossibilité, pour les utilisateurs, d’héberger leurs propres serveurs afin de maîtriser entièrement la chaîne de communication. Cette centralisation se combine à un élément plus sensible encore pour un acteur clandestin : le code côté serveur est fermé. Autrement dit, impossible de vérifier de manière indépendante ce que la plateforme fait réellement, comment elle traite les données, ou comment elle applique les contrôles.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Le rapport compare cette situation à d’autres solutions de messagerie. Certaines privilégient un chiffrement de bout en bout natif, d’autres un mode de fonctionnement plus autonome ou un code ouvert. Dans ce paysage, Telegram apparaît comme un compromis : un produit efficace, largement diffusé, mais qui demande une confiance élevée dans l’opérateur. Or l’économie clandestine vit d’une logique inverse : réduire la surface de confiance, limiter les points uniques de défaillance, éviter qu’un tiers puisse couper le canal du jour au lendemain.
C’est là que la modération devient un facteur opérationnel. Le rapport note la présence d’une modération possible via le support technique, et souligne que cette réalité pèse sur les choix des acteurs expérimentés, soucieux de leur sécurité personnelle et de la continuité de leurs opérations. Cette tension se lit jusque dans les discussions d’un forum majeur de l’underground, où une interdiction pure et simple de Telegram a même été proposée, signe qu’une partie de l’écosystème ne considère plus la plateforme comme un socle fiable.
Reste un paradoxe, au cœur du « dark Telegram » : ces limites n’ont pas empêché l’adoption massive. L’effet réseau, la simplicité d’usage et l’accès immédiat à un public large ont longtemps compensé les faiblesses structurelles. Le rapport complet, publié sur Securelist, montre toutefois que ce compromis devient de plus en plus coûteux à mesure que les blocages s’intensifient.
Bots, stockage illimité et ventes à bas prix : l’économie Telegram
L’autre face de Telegram, celle qui a séduit les communautés cybercriminelles, tient à la fonctionnalité plus qu’à l’idéologie. Une plate‑forme de messagerie peut devenir une chaîne d’information et logistique. Les bots en sont la pièce maîtresse : un programme automatisé qui discute avec l’utilisateur, reçoit une commande, exécute une requête et renvoie un résultat, sans intervention humaine permanente. Dans un contexte criminel, cette automatisation économise du temps, évite un opérateur disponible en continu et permet de traiter plusieurs transactions en parallèle.
Le rapport décrit des services de doxing fonctionnant via bots. Le doxing, au sens utilisé ici, consiste à obtenir des informations structurées sur une personne ou une organisation à partir de bases publiques ou de ressources de l’underground : numéros, adresses, biens, véhicules. Le bot devient un guichet : une requête, une réponse, parfois un paiement, et la transaction est bouclée. La même logique s’observe dans des boutiques de journaux d’infostealer. Un infostealer est un logiciel malveillant conçu pour voler des identifiants et des données, puis produire des « logs », c’est‑à‑dire des ensembles d’informations volées, revendus ou exploités. Le rapport cite un exemple de boutique de logs accessible via bot, associée à une offre de Malware‑as‑a‑Service, modèle où l’accès au malware et à l’infrastructure est vendu comme un service.
Cette industrialisation ne concerne pas seulement la vente de données ou de services. Telegram offre aussi un stockage de fichiers illimité et, surtout, des liens de fichiers qui n’expirent pas, contrairement à de nombreux services d’hébergement anonyme. Dans l’underground, cette persistance facilite la distribution et la revente : un fichier ou un lot de données peut rester accessible via le même lien, sans rotation ni maintenance, et circuler rapidement de canal en canal.
Les conséquences se mesurent dans les thèmes les plus visibles. Entre janvier 2024 et janvier 2025, le rapport compare la part des posts par sujet sur Telegram et sur les forums clandestins. Le carding — l’utilisation frauduleuse de données de cartes de paiement — domine sur Telegram (27,3 %), loin devant les fuites de données (4,4 %) et la vente de malwares (3,3 %). Sur les forums clandestins, ces proportions sont habituellement différentes : 10 % pour le carding, 2,5 % pour les fuites de données et pour la vente de malwares. Le contraste devient brutal dès que l’activité implique des montants élevés ou des relations de confiance durables.
Deux catégories symbolisent cette frontière. Les courtiers d’accès initial (Initial Access Brokers) vendent un point d’entrée déjà obtenu dans un réseau d’entreprise : un compte compromis, un accès distant, une porte ouverte. Les exploits, dont les zero‑days, exploitent une vulnérabilité inconnue ou non corrigée. Dans le rapport, ces offres apparaissent comme presque absentes sur Telegram. Les montants associés donnent une explication immédiate : une transaction typique de carding est estimée à 15 dollars, une fuite de données à 1 500 dollars, un abonnement à un service MaaS à 200 dollars par mois, un accès initial à 2 500 dollars, et un zero‑day entre 60 000 et 250 000 dollars.
Pour sécuriser ces transactions, les forums disposent de mécanismes que Telegram ne reproduit pas : systèmes de réputation, dépôts d’utilisateur servant de garantie, et médiation par un tiers de confiance en cas de litige. Cette couche de gouvernance, centrale pour des sommes importantes, explique pourquoi les biens « exclusifs » — zero‑days et accès initial à de grandes entreprises — restent plus rares sur Telegram que dans l’écosystème des forums.
Blocages, durée de vie et exode : la recomposition des communautés
La fragilité structurelle des canaux Telegram s’observe dès la naissance d’une communauté. Créer un canal ou un groupe demande peu d’effort : aucun site à développer, aucune infrastructure à maintenir, seulement un lien d’invitation à diffuser. Cette facilité accélère l’apparition de nouvelles places de marché, mais elle rend aussi la fermeture triviale. À l’inverse, les forums du dark web s’appuient souvent sur le réseau Tor, qui masque l’adresse IP réelle du serveur. Ils peuvent changer de domaine, déplacer leur point d’entrée et maintenir des miroirs, ce qui leur donne une résilience sur plusieurs années. La fermeture d’un forum devient alors un événement ; la fermeture d’un canal Telegram, un incident de routine.
Le rapport de Kaspersky (Digital Footprint Intelligence) s’appuie sur l’analyse de plus de 800 canaux bloqués observés entre 2021 et 2024 pour décrire leur « cycle de vie », du premier message à la dernière publication avant suppression. Sur cette période, la durée de vie moyenne d’un canal clandestin est d’environ sept mois, nettement plus courte que celle des forums. Un signal mérite toutefois attention : la durée médiane augmente, passant de cinq mois en 2021–2022 à neuf mois en 2023–2024. Ce allongement suggère une adaptation partielle des opérateurs, mais il ne change pas la dynamique globale.
Car, parallèlement, la plateforme bloque davantage. Le rapport montre un pic majeur de blocages en 2022, attribué à l’activité accrue de groupes hacktivistes. Et, malgré l’allongement de la durée de vie médiane, les suppressions deviennent plus fréquentes : depuis octobre 2024, même les niveaux les plus bas de blocages se rapprochent des pics observés en 2023. Le message est clair : la modération s’installe dans la durée et transforme la gestion du risque opérationnel pour les communautés clandestines.
Face à cette pression, des tactiques émergent. Le rapport cite trois approches : n’accepter de nouveaux membres qu’après validation du propriétaire afin d’écarter les observateurs, publier régulièrement des contenus de diversion pour paraître inoffensif, et ajouter des avertissements juridiques ou des clauses de non‑responsabilité.
Quand l’attrition devient trop coûteuse, la migration s’impose. En 2025, une grande communauté dont un groupe Telegram approchait les 9 000 abonnés a basculé vers la messagerie SimpleX en mai, après des violations répétées des règles de la plateforme et une série de blocages. Le rapport note que des tentatives de restauration d’un groupe associé sont régulièrement observées, mais qu’elles sont rapidement neutralisées, tandis qu’un nouveau chat sur SimpleX dépasse déjà le millier de participants.
Ce déplacement ne signifie pas la fin du problème, seulement sa redistribution. Le rapport insiste : Telegram n’est qu’un canal parmi d’autres, et les acteurs malveillants continueront de trouver des moyens de se coordonner, de vendre des données et de monétiser des accès. L’enjeu bascule côté défense : suivre l’évolution des canaux, détecter plus tôt les signaux faibles et accepter que la visibilité change de forme au gré des migrations.
Questions et réponses (FAQ)
Qu’est ce que SimpleX, cette messagerie sans identifiant
SimpleX est une application de messagerie chiffrée pensée pour réduire au maximum les traces techniques et sociales laissées par un compte. Pas de numéro de téléphone, pas d’adresse e-mail, pas de pseudonyme global à rechercher : la plateforme se présente comme une messagerie sans identifiant utilisateur, ce qui limite aussi le spam et le démarchage.
Le fonctionnement repose sur des « files de messages » à sens unique hébergées sur des serveurs relais. Une relation se crée en partageant un lien ou un QR code d’invitation, qui établit une paire de canaux de communication et les clés nécessaires au chiffrement de bout en bout. Les serveurs transportent les messages, sans disposer d’un annuaire public permettant de cartographier facilement qui échange avec qui ; l’infrastructure peut aussi être auto-hébergée. Ce positionnement attire surtout des profils exposés ou soucieux de confidentialité (journalistes, militants, équipes techniques) et devient également une option de repli pour des communautés chassées d’autres plateformes.
Qu’est-ce que le Doxing?
Le doxing correspond à la collecte puis à la diffusion d’informations personnelles permettant d’identifier ou de localiser une personne, sans consentement. L’objectif est souvent l’intimidation, le harcèlement, la pression ou la vengeance. Les données proviennent fréquemment de fuites, de réseaux sociaux, de bases publiques, de courtiers en données ou de recoupements en sources ouvertes.
Qu’est-ce que le Carding?
Le carding désigne la fraude autour des cartes de paiement et le commerce de données de cartes volées. Cela couvre l’achat/vente de numéros de carte, les tests de validité (petites transactions ou demandes d’autorisation), puis l’utilisation pour des achats frauduleux ou des reventes. C’est une économie de volume, où la rapidité et l’automatisation comptent autant que la valeur unitaire.
Qu’est-ce que MaaS (Malware-as-a-Service)?
Le MaaS est un modèle “malware à la demande” : un acteur met à disposition un logiciel malveillant et l’infrastructure associée (panneau de contrôle, mises à jour, parfois support) contre un abonnement ou une commission. Ce modèle abaisse fortement le niveau technique requis, car l’outil et sa maintenance sont “loués” plutôt que développés. Infostealers, chargeurs de malwares et rançongiciels existent souvent sous cette forme.
Qu’est-ce qu’un Bot?
Un bot est un programme automatisé qui exécute des actions à la place d’un humain : répondre à des demandes, collecter des informations, traiter un paiement, livrer un fichier ou fournir un service. Sur les messageries, un bot peut servir de “guichet automatique” : une commande est envoyée, une réponse revient sans opérateur présent. Cette automatisation permet de vendre, distribuer ou opérer à grande échelle, avec moins de friction et plus de disponibilité.
Cette veille vous a été utile ?
Un café = un mois de serveur. Aidez DCOD à rester gratuit et indépendant.
