Dans les coulisses des grandes opérations cybercriminelles, on retrouve toujours le même élément : une infrastructure d’hébergement. Et parmi elles, une catégorie particulièrement opaque et tolérante, appelée « bulletproof hosting ». Leur rôle, quoique rarement évoqué dans le débat public, est central dans l’écosystème de la menace. Tandis que l’Union européenne tente de renforcer sa souveraineté numérique, la question se pose : faut-il interdire, voire combattre activement ces zones grises du cyberespace ?
Qu’est-ce qu’un hébergeur bulletproof ?
Derriere cette dénomination, on retrouve des services d’hébergement qui garantissent à leurs clients une protection quasi-absolue : aucune coopération avec les autorités, refus des demandes de retrait de contenu, anonymat total, paiements en crypto-monnaie. Leur promesse est simple : « no logs, no takedown, no questions ».
Ces hébergeurs se trouvent principalement dans des juridictions laxistes ou réfractaires à la coopération internationale (Russie, Ukraine, Pays-Bas, Émirats, Caraïbes, etc.). Ils se présentent parfois comme des défenseurs de la liberté d’expression, mais sont surtout prisés des groupes APT, des gangs de ransomwares ou de botnets DDoS.
Des cas récents et révélateurs
La campagne récente menée par le groupe APT29, dévoilée en avril 2025, repose sur des infrastructures d’hébergement bulletproof, utilisées pour distribuer le malware GRAPELOADER à des cibles diplomatiques européennes. Plus récemment encore, des serveurs hébergés chez des prestataires russes ont été identifiés comme centres de commande pour des campagnes d’espionnage et d’exfiltration de données.
Ce n’est pas un cas isolé : le botnet Mēris, les campagnes du gang LockBit ou encore les infrastructures d’hameçonnage de groupes nord-africains ont tous utilisé ce type de services pour opérer à l’abri de toute interruption.
Pourquoi sont-ils toujours en activité ?
Le principal obstacle à leur neutralisation est l’absence d’accord juridique contraignant à léchelle internationale. La convention de Budapest sur la cybercriminalité, bien qu’utile, reste insuffisante. Certains états protègent même activement ces prestataires, que ce soit pour des raisons économiques, stratégiques ou de connivence politique.
Pour les autorités et les chercheurs en cybersécurité, cela complique toute tentative d’identification ou de réponse rapide aux cybermenaces. Même lorsqu’une adresse IP est identifiée comme point de commande, l’absence de coopération empêche son démantèlement rapide.
Réaction de l’Union européenne : vers une autonomie stratégique ?
L’Europe commence à se mobiliser. Sous l’impulsion de l’ENISA et du CERT-EU, des discussions ont lieu autour d’une liste noire d’infrastructures ou d’ASNs (numéros de systèmes autonomes) associés à des activités malveillantes récurrentes.
Parallèlement, la directive NIS2, le règlement DORA et le futur Cyber Resilience Act posent les bases d’une gouvernance sécuritaire plus forte. Mais la question reste en suspens : que faire lorsqu’un prestataire malveillant est hors d’atteinte juridiquement ?
Une responsabilité partagée
Les hébergeurs légitimes, les opérateurs de DNS, les services cloud ont également un rôle à jouer. Certains CDN, services de proxification ou plateformes d’hébergement ont été pointés pour avoir indirectement soutenu la résilience des attaques en ne prenant pas de mesures rapides de déconnexion.
Désormais, plusieurs éditeurs de solutions de threat intelligence appellent à des mécanismes de réputation dynamique, à la manière de listes grises ou de filtrage IP temps réel. La transparence et la diligence des fournisseurs sont devenues un critère de sélection clé pour les entreprises.
Un chantier politique et technique à engager
La lutte contre les hébergeurs bulletproof exige une coopération transversale entre les secteurs public et privé, mais aussi entre continents. L’Europe ne peut agir seule. Pourtant, elle pourrait initier une dynamique, à travers des outils tels que :
- des clauses de cybersécurité dans les accords commerciaux
- un encadrement plus strict des services revendus ou revêtu d’une apparence légitime
- des accords de coopération renforcée avec des CERT partenaires
- une réflexion sur l’encadrement de l’accès Internet inter-FAI
Une volonté politique plus qu’un problème technique
Démanteler les hébergeurs bulletproof ne relève pas d’une prouesse technique, mais d’une volonté politique internationale. Sans coordination, ces zones franches du cyberespace continueront de prospérer.
En matière de cybersécurité, l’infrastructure est tout aussi critique que le code. Rester aveugle à ceux qui l’alimentent revient à accepter l’infiltration permanente. L’enjeu, pour l’Europe, n’est pas seulement de protéger ses réseaux, mais de peser sur les règles du jeu.
