Popularisé par les réseaux sociaux et des stars internationales, comme Lisa du groupe de K-pop Blackpink, Rihanna ou Dua Lipa, le labubu, une petite peluche fabriquée en Chine, s’arrache aux quatre coins du monde. La labubumania incarne à elle seule la mécanique des tendances au XXI^e siècle.

Il y quelques semaines, par curiosité, je suis entré dans un magasin Pop Mart dans un centre commercial de Kuala Lumpur (Malaisie). Je ne savais pas que j’étais sur le point d’assister à une scène sociologiquement fascinante : des adultes et des adolescents secouant des boîtes fermées, essayant de deviner quel personnage ils allaient obtenir en fonction du poids ou de la forme. Ils regardaient les vitrines, murmuraient des noms, comparaient les modèles avec l’excitation de ceux qui s’apprêtent à acheter bien plus qu’un simple jouet. Tous cherchaient la même chose : un labubu. Mais personne ne savait s’il obtiendrait celui qu’il désirait.

Cette petite figurine aux oreilles pointues, sourire espiègle et grands yeux hallucinés n’était pas seulement un jouet en vinyle. C’était un symbole. Un objet de désir. Et aussi une illustration parfaite pour comprendre comment fonctionnent les tendances au XXI^e siècle.

De monstre de niche à star virale

Labubu est né en 2015 de l’imagination de l’artiste hongkongais Kasing Lung, dans l’univers de The Monsters. Pendant des années, il est resté un personnage marginal, apprécié par les fans de l’art toy et du design underground asiatique. Tout a changé lorsque Pop Mart a acquis les droits et l’a transformé en phénomène mondial : des centaines de versions, des collaborations avec des marques de luxe, éditions limitées et un système de vente en boîtes surprises (blind boxes) qui ne permettent pas de voir leur contenu, ont transformé l’achat de labubus en un petit rituel de hasard et de suspens.

Le véritable boom a eu lieu en avril 2025, lorsque la chanteuse thaïlandaise Lisa, qui compte plus de 100 millions d’abonnés sur Instagram et est membre du groupe féminin de k-pop Blackpink, a publié sur le réseau social une photo d’elle avec plusieurs labubus accrochés à son sac à main. Rihanna et Dua Lipa ont suivi, la photo est devenue virale sur TikTok et des millions de fans ont surgi dans le monde entier. Labubu est passé d’un produit de niche à un produit viral. D’une nouveauté à une mode. D’un objet à un phénomène.

Mais comment cela se produit-il ? Comment quelque chose d’aussi spécifique et rare peut-il devenir un objet de désir pour des millions de personnes à travers le monde ?

Quand l’innovation se comporte comme la matière

Dans ma thèse de doctorat, j’ai proposé une théorie interdisciplinaire inspirée de l’idée de modernité liquide développée par le philosophe polono-britannique Zygmunt Bauman et du comportement des liquides et des gaz, tant au repos qu’en mouvement (la mécanique des fluides). Je suggère que l’innovation est la matière dont est faite la mode. Et comme toute matière, elle peut se trouver dans trois états : solide, liquide et gazeux.

À son tour, l’innovation peut se trouver dans trois phases : nouveauté, tendance et mode. Ce parallélisme n’est pas métaphorique, mais structurel. Tout comme l’eau change d’état en fonction de la température et de la pression, les innovations se transforment également en fonction du contexte social, culturel et économique.

La nouveauté est l’état solide : elle a une forme, elle est dense, statique et circule entre quelques personnes. Selon la théorie de la diffusion des innovations, développée au milieu des années 60 par le sociologue américain Everett Rogers, cette étape correspond aux innovateurs. Il s’agit d’une proposition à forte valeur symbolique, mais sans diffusion massive.

Lorsqu’elle commence à se répandre, elle devient une tendance et se liquéfie : elle circule, s’adapte, relie les communautés. C’est à ce stade qu’apparaissent les « early adopters », une expression qui désigne les individus qui ont pour habitude d’acheter quasiment systématiquement les nouveaux produits dans une catégorie de produit donnée. C’est le moment où l’idée commence à faire l’objet de discussions.

Lorsqu’elle atteint le point de fusion, elle franchit le gouffre de Moore : la fracture critique dans le cycle d’adoption d’un produit innovant. Ses premiers utilisateurs sont généralement des fans de nouveautés, à l’affût de toute innovation pour la tester. En revanche, le marché de masse ne franchit le cap que lorsque l’innovation a déjà été testée et validée par d’autres.

Dans la viralité des modes ou l’adoption des dernières innovations, une fois le fossé franchi, il existe un point critique (tipping point) où la contagion est déjà très difficile à arrêter. Elle entre dans le mainstream ou le marché de masse et se transforme en mode : elle passe à l’état gazeux, se généralise, perd de sa densité, devient omniprésente… jusqu’à s’évaporer.

Ce processus est cyclique. De nombreuses innovations restent figées. D’autres ne se consolident jamais et ne circulent pas. Certaines s’évanouissent rapidement, presque aussitôt qu’elles apparaissent. Le désir et l’innovation, comme la matière, ont besoin de conditions pour se maintenir.

Qui décide de ce que nous désirons (et pour combien de temps)

Le Labubu a traversé toutes ces phases. Il a commencé comme une figure marginale (solide), est devenu tendance en touchant de nouveaux publics (liquide) et a atteint l’état gazeux en devenant viral à l’échelle mondiale.

Les labubus sont sur TikTok, ornent des sacs à main de luxe et font l’objet d’articles de presse. Ce qui était au départ un symbole de distinction est en train de devenir un brouhaha visuel. Un signe que le cycle touche à sa fin. Et qu’un autre est peut-être sur le point de commencer.

Mais les tendances ne changent pas d’elles-mêmes. Tout comme l’eau a besoin de changement de températures et de pressions pour se transformer, les modes répondent également à des stimuli externes. Dans ce cas : les marques, les algorithmes, les consommateurs et les influenceurs.

La température culturelle est générée par les campagnes, les lancements, le contenu visuel. La pression symbolique provient du désir collectif : la communauté qui reproduit les gestes, les fans qui recherchent l’objet, l’envie d’appartenir.

Et puis, il y a des forces motrices, comme les influenceurs, qui agitent le système de l’intérieur, validant certaines tendances et en écartant d’autres.

« Je suis comme ça »

Aujourd’hui, la visibilité ne dépend pas tant de ce que l’on est, mais du nombre de fois où l’on peut être partagé. C’est ainsi qu’émergent ce que j’appelle les micro-identités liquides : des façons rapides et flexibles de dire « Je suis comme ça » dans une culture où ce moi est mutable, partagé, esthétique et performatif.

Comme l’explique le sociologue britannique Anthony Giddens, dans la société actuelle, en modernité tardive, le moi devient un projet réflexif, construit à partir des images, des choix et des récits disponibles.

Et dans un monde qui, selon les termes du philosophe coréen et lauréat du prix Princesse des Asturies 2025 Byung-Chul Han, « récompense la visibilité et la performance constante », chaque tendance devient un masque provisoire. Un labubu n’est pas seulement un objet : il représente l’appartenance, l’affection partagée, voire un langage générationnel.

Dans cet écosystème volatile, nous sommes des corps flottant dans un fluide symbolique : nous nous poussons, nous nous heurtons, nous changeons de forme… au rythme du marché.

Du battage médiatique au vide : flotter, saturer, disparaître

Le format de la boîte surprise (« blind box ») ajoute également une dimension émotionnelle : nous n’achetons pas seulement un objet, mais aussi l’expérience même de désirer, d’espérer, de tenter sa chance. Dans une culture saturée de prédictions algorithmiques, le hasard introduit une touche de mystère. Pour le philosophe français Roland Barthes, la mode est un langage. Aujourd’hui, nous pourrions dire que ce langage s’exprime avant tout sur le plan émotionnel.

Mais ce langage obéit également à des lois physiques. Le principe d’Archimède dit qu’un corps immergé dans un fluide déplace un volume équivalent. Il en va de même dans la mode : lorsqu’une tendance s’impose, une autre est évincée. Le marché symbolique n’est pas infini. Seul ce qui parvient à supplanter une autre esthétique peut flotter. En devenant populaires, les labubu ont remplacé les figures kawaii telles que Molly ou Sonny Angel.

Et comme tout gaz, la hype a tendance à se dissiper. La surexposition épuise le désir. Des copies apparaissent, le mystère disparaît, la saturation s’installe. Et alors, le cycle recommence : nouvelles versions, plus de pression, hausse de la température.

Le mystère de ce qui arrive (et disparaît)

Wang Ning, fondateur et directeur général de Pop Mart, a su lire le point de fusion exact de ces objets. En 2025, après avoir ajouté 20 milliards de dollars à sa fortune grâce à la viralité de Labubu, il est apparu dans les classements comme le 79^e homme le plus riche du monde. Car comprendre le quand, plutôt que le quoi, reste le véritable pouvoir.

Ce modèle de « mode liquide » ne cherche pas à expliquer les caprices esthétiques, mais à révéler le processus par lequel une innovation naît, se développe et finit par disparaître. Car les tendances, même si elles semblent imprévisibles, ont aussi une structure. Elles ne flottent pas au hasard : elles changent d’état en fonction de la pression du désir collectif et de la température culturelle qui les entoure.

Le véritable défi pour les marques n’est pas de détecter la nouveauté, mais de savoir à quel stade du cycle elle se trouve. Est-elle encore solide et marginale, avec un risque élevé de disparaître sans avoir transcendé ? Est-elle déjà en phase liquide, gagnant en popularité ? Ou est-elle déjà gazeuse, omniprésente mais sur le point de s’évaporer ?

Pour les consommateurs, leur position sur cette courbe dépend du risque qu’ils sont prêts à prendre. Certains adoptent ce qui deviendra une mode avant même qu’elle ait un nom. D’autres attendent qu’elle soit sûre, validée, presque obligatoire. Et entre les deux, des millions de micro-identités apparaissent et disparaissent comme une flamme.

Le labubu ne fait pas exception. C’est un cas parfait : né comme une curiosité, il s’est répandu comme une tendance et a explosé comme une mode. Aujourd’hui, il flotte partout. Mais il se peut aussi que sa présence commence bientôt à se dissiper.

Sandra Bravo Durán ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.

Robert Laurent-Vibert, l’un des dirigeants emblématiques de l’entreprise Pétrole Hahn, disparu prématurément il y a cent ans, était un patron atypique. En intellectuel lettré, il considérait que la culture générale est utile à l’homme d’affaires.

Érudit, chef d’entreprise de Pétrole Hahn, Robert Laurent-Vibert (1884-1925), dont l’œuvre fut couronnée par la restauration du château de Lourmarin en Provence, semble appartenir à une époque lointaine.

Sa vie brève comme sa forte personnalité sont des modèles pour qui s’intéresse aux valeurs de l’humanisme en entreprise. Il a su discerner les différences entre travail intellectuel et travail d’affaires. Alors que le premier exige du temps, des recherches patientes et minutieuses, le second veut la rapidité dans l’étude et l’esprit de décision. Laurent-Vibert s’est ingénié à passer de l’un à l’autre domaine, grâce à son goût de l’action secondé par une belle capacité d’adaptation.

En humaniste, il accorde toute son attention à la qualité de vie de ses employés dont il améliore les conditions de travail et le quotidien. En philanthrope, il estime impérieux pour l’homme d’affaires de protéger la civilisation française par l’intermédiaire de ses artistes et de ses scientifiques, en leur procurant laboratoires, bibliothèques ou bourses d’études.

Orphelin devenu chef d’entreprise

Orphelin à l’âge de 10 ans, Robert est adopté par la famille lyonnaise Vibert, proche de ses parents biologiques, les Laurent. François Vibert, son père adoptif, devient, en 1901, propriétaire-fabricant en France du « pétrole pour les cheveux », inventé par Charles Hahn : le fameux « Pétrole Hahn » ! En 1885, ce pharmacien créé une lotion capillaire à base de pétrole, solution aujourd’hui contestée comme le souligne l’article de Ouest-France. En 1896, François Vibert lance sa fabrication en France. C’est ici que s’est joué le destin de Robert Laurent-Vibert.

L’enrichissement rapide de son père adoptif permet à Robert d’acquérir une excellente éducation à l’école Ozanam puis au Lycée Ampère, à Lyon, où Édouard Herriot, son professeur, le pousse vers des études littéraires. À l’École normale supérieure de la rue d’Ulm (Paris), le jeune homme entreprend des études d’histoire. Il réussit l’agrégation et entre à l’École française de Rome. Mais il ne peut poursuivre sa carrière de professeur et de chercheur, car son père, malade, l’appelle pour le seconder dans l’entreprise. Il finit par en devenir le directeur en 1912 et par jouer un rôle prépondérant dans le développement de celle-ci grâce à son recours à la publicité et à son management moderne.

Pionnier de la publicité

L’homme d’affaires a laissé des témoignages probants de son implication dans l’avenir des établissements Vibert, non seulement en tant que chef d’entreprise visionnaire, mais aussi par son humanisme. Devenu président du Syndicat de la parfumerie, s’inspirant des patrons avant-gardistes du XIX^e siècle, il crée dans sa société un modèle social qui accorde à ses salariés congés payés et allocations familiales.

Pétrole Hahn lui doit également son statut de société anonyme. Après la Première Guerre mondiale, son succès est tel qu’on l’appelle au gouvernement pour devenir conseiller du Commerce extérieur. Dans les années 1920, le passage de la réclame à la publicité stimule les ventes. Un homme d’affaires aussi attentif et bien renseigné que Laurent-Vibert ne peut pas manquer de s’y intéresser. Il fait appel à des illustrateurs talentueux pour représenter, façon Art déco ou sur le modèle des affiches de cinéma, le précieux flacon et ses effets sur celles et ceux qui l’emploient pour leur bénéfice. Il fait ainsi la connaissance de Benjamin Rabier avec lequel il entreprend de moderniser la communication publicitaire des produits Pétrole Hahn.

On vante les qualités du produit non seulement dans la presse et les magazines, mais aussi sur des cartons publicitaires, des chromos, des buvards, des cartes postales, des timbres, des calendriers, des puzzles, des enseignes lumineuses… Et, si, dès 1905, sous l’égide de François Vibert, Petrole Hahn se fait connaître en Grande-Bretagne et en Allemagne, de 1920 à 1924, la Grèce et le Canada, la Chine, l’Australie et l’Amérique du Sud l’adoptent à leur tour. Laurent-Vibert n’hésite pas à voyager lui-même dans toute l’Europe et jusqu’en Amérique, curieux des innovations de ce pays, pour commercialiser ses produits.

Première Guerre mondiale, de l’Europe à l’Orient

Retour sur sa vie personnelle. Pendant la Première Guerre mondiale, il fait preuve de qualités humaines remarquables : aptitude à évaluer les situations, à prendre des décisions, esprit d’initiative… Ne reculant pas devant le danger, il participe activement aux combats et se montre soucieux de préserver la vie de ses hommes. Il laisse de nombreux carnets de notes et de croquis qui en témoignent.

Remis de graves blessures, il est envoyé à Salonique de 1916 à 1918, où il crée une société pour favoriser les échanges commerciaux entre la France et la Macédoine. Il s’intègre au cercle des amis cultivés de Jules Lecoq, proviseur du lycée français, en anime les échanges culturels littéraires et archéologiques et fait la connaissance de nombreux intellectuels dont Henri Bosco. Parallèlement, il fonde la Revue franco-macédonienne en 1916, mensuel dont les articles sont rédigés par des officiers, sous-officiers et soldats de l’armée d’Orient.

Il reste toute sa vie attaché à l’Orient où il revient très souvent, rendant compte de ses voyages dans des récits attachants.

« Mission civilisatrice »

Idéaliste, passionnément patriote, il croit en la mission civilisatrice de son pays. Dès 1910, il insiste sur les facteurs économiques portant en germe les futurs conflits. Après la guerre, il est attentif aux dangers résultant de la complaisance de la France à l’égard de l’Allemagne. Il écrit en ce sens à son ancien maître Herriot pour l’alerter. Son intérêt pour l’histoire lui insuffle la conviction que celle-ci ne doit jamais être rejetée au profit d’une nouvelle ère qui s’ouvre, censée balayer les erreurs du passé.

Cette attitude prend corps dans la restauration du château de Lourmarin (Vaucluse), qu’il découvre dans un grand état d’abandon en 1920 lors d’une excursion. Il en fait l’acquisition dans le but d’en entamer la reconstruction et de créer une fondation dont la mission serait de devenir un centre d’art et de culture. Dans son travail de restauration, l’architecte Henri Pacon – à qui le chantier fut confié – sut exploiter les solutions techniques apportées par la modernité, tout en respectant les recherches historiques de Robert.

Fréquenté par des visiteurs du monde entier, à la fois résidence d'artiste, lieu d'exposition, de concerts et de conférences, l’endroit est devenu aujourd’hui un lieu de visite incontournable du Lubéron, surnommé « la petite Villa Médicis de Provence ».

Source de réflexion

Tout au long de sa vie, Robert Laurent-Vibert publie des revues, écrit des pièces de théâtre et plus tard des livres de voyage. Il fréquente de nombreux érudits, a des relations proches avec l’éditeur Georges Crès ou le maître-imprimeur Maurice Audin dont il fréquente les ateliers et leurs machines, prétendant qu’il est nécessaire pour sa santé de respirer l’odeur de l’encre d’imprimerie.

Mu par la soif des connaissances, l’amour de la création, un attachement aux autres, et une détermination à transmettre savoir et découvertes, Robert Laurent-Vibert a déployé dans ses activités une énergie remarquable. Trop tôt disparu en 1925 dans un accident de la route, voyageur infatigable, lecteur, écrivain, collectionneur, il eut une vie aussi trépidante que riche. À la fois dirigeant d’entreprise talentueux et généreux humaniste, il reste aujourd’hui un exemple et une source de réflexion pour tous.

Danièle Henky ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.

Pour que les devoirs sur table et les notes soient de réels outils de progression pour les étudiants, il ne suffit pas de rendre publiques les grilles d’évaluation. Encore faut-il s’assurer que les étudiants en comprennent bien les enjeux et la mise en œuvre. Explication à partir d’une recherche-action dans une université britannique.

« Travail superficiel », « manque de rigueur » ou encore « absence de pensée critique »… De telles observations, relevées sur des copies d’étudiants, restent floues et sont souvent perçues comme arbitraires.

Si l’enjeu d’une évaluation est de permettre aux étudiants de comprendre leurs lacunes pour progresser, ne faudrait-il pas envisager une autre orientation et privilégier le dialogue ?

Discuter des notes avant de rendre une copie

Nombre d’universités tentent de mettre l’accent sur des modalités d’évaluation plus transparentes, incluant des grilles de critères à respecter afin d’obtenir la note attendue. La formulation des attendus demeure néanmoins souvent opaque et ces grilles restent mal comprises ou voire ignorées par les étudiants. Des expressions comme « démontrez une compréhension approfondie » ou « utilisez des sources pertinentes » peuvent sembler évidentes aux enseignants. Mais elles ne le sont pas toujours pour les étudiants, surtout s’il s’agit de les traduire en actions concrètes.

En France, un rapport du comité d’évaluation de l’enseignement supérieur souligne que l’évaluation reste bien souvent trop floue, disparate et peu en phase avec les compétences visées par les formations. Il appelle à un ciblage plus clair et collectif des pratiques d’examen par les universités.

Lorsque les évaluations sont multiples (dans des contextes de cours massifiés et de délais courts par exemple), les retours se transforment rapidement en simple procédure administrative, c’est-à-dire quelques lignes copiées-collées, et perdent leur fonction pédagogique.

Une recherche-action menée dans une université britannique a testé une alternative : organiser des temps de dialogue autour des grilles d’évaluation, en amont des rendus de devoirs des étudiants puis après la restitution des notes. Plutôt que de découvrir les attendus une fois leur copie notée, les étudiants ont pu poser leurs questions à l’avance, commenter les termes ambigus, et co-construire une compréhension de ce qui était attendu.

Les discussions entre étudiants et professeurs ont permis de clarifier des notions souvent floues : qu’est-ce qu’un raisonnement rigoureux ? Comment différencier un travail « bon » d’un travail « excellent » ? L’objectif de ces échanges n’était pas de simplifier les exigences, mais de traduire les attentes dans un langage clair, afin de placer les étudiants au centre du processus d’évaluation et en les rendant pleinement acteurs de leur apprentissage.

Mieux comprendre pour réussir

Les résultats ont été probants : les étudiants qui ont participé à ces dialogues ont obtenu de meilleures notes. Tous ont validé leurs modules, certains ont même obtenu suite à cette expérience les meilleurs résultats qu’ils aient eus depuis le début d’année. Mais au-delà des notes, le plus frappant a été le changement d’attitude des étudiants : ils ont manifesté moins d’anxiété, plus d’engagements, une meilleure compréhension des attentes.

Cette approche repose sur un principe simple, mais souvent oublié : le feedback est une conversation, non un verdict. Cela rejoint les travaux de chercheurs comme David Carless, qui défendent l’idée que l’évaluation doit être un pur moment d’apprentissage et non une fin en soi. Or, pour cela, encore faut-il encore que les étudiants puissent échanger avec l’enseignant. L’évaluation cesse alors d’être un outil de tri, pour devenir un levier de progression.

Au lieu d’envoyer des commentaires impersonnels, pourquoi ne pas organiser un atelier, une discussion collective, une relecture croisée ? Ce n’est pas une question de temps supplémentaire, mais de changement de posture : passer d’un modèle descendant à une relation co-constructive entre l’enseignant et l’étudiant.

Évaluer à l’heure de l’IA

Avec la montée en puissance des outils comme ChatGPT, une inquiétude s’installe et un nombre important d’universités s’interrogent : « Comment savoir qui a rédigé ce devoir ? », « Faut-il multiplier les contrôles, mieux les surveiller ou sanctionner ? » Une autre stratégie consiste à assortir toute évaluation d’un échange mutuel entre professeur et étudiant.

Des chercheurs stipulent qu’encadrer plutôt qu’interdire l’IA apparaît comme la solution la plus équilibrée pour préserver l’éthique tout en encourageant l’innovation pédagogique. Une évaluation ouverte ou un dialogue, où les critères sont explicités, discutés et interprétés mutuellement, s’inscrit parfaitement dans cette démarche : elle protège contre la tricherie, tout en valorisant l’autonomie de l’étudiant.

Quand l’étudiant sait qu’il devra expliquer sa démarche, discuter ses choix, relier son travail aux critères attendus, il devient plus difficile de simplement copier une production générée par une IA. Le dialogue devient alors un outil anti-triche naturel, parce qu’il repose sur une compréhension vivante du savoir, pas sur la restitution mécanique d’un résultat. L’évaluation ouverte ou dialogue n’est donc pas seulement plus juste, elle est aussi plus résistante aux dérives technologiques.

Le dialogue autour de l’évaluation peut être un rempart naturel contre les dérives de l’IA, à condition que ce dernier soit préparé en amont, ciblé sur les apprentissages et porteur d’objectifs pédagogiques clairs. Il doit offrir à chacun les mêmes chances de participation, dans un climat à la fois détendu et exigeant. L’enjeu n’est pas seulement de discuter des notes, mais de permettre à l’étudiant de comprendre, progresser, valoriser ses compétences et ainsi de capitaliser ses acquis.

Les auteurs ne travaillent pas, ne conseillent pas, ne possèdent pas de parts, ne reçoivent pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'ont déclaré aucune autre affiliation que leur organisme de recherche.

Le recul alarmant de la Caspienne, plus grande mer fermée du monde, entraîne des bouleversements écologiques, humains et géopolitiques dans toute cette zone aux confins de l’Europe. Les pays qui l’entourent semblent déterminés à agir, mais leur réaction risque d’être trop lente face à ce changement très rapide.

C’était autrefois un refuge pour les flamants, les esturgeons et des milliers de phoques. Mais les eaux qui reculent rapidement transforment la côte nord de la mer Caspienne en étendues arides de sable sec. Par endroits, la mer s’est retirée de plus de 50 km. Les zones humides deviennent des déserts, les ports de pêche se retrouvent à sec, et les compagnies pétrolières draguent des chenaux toujours plus longs pour atteindre leurs installations offshore.

Le changement climatique est à l’origine de ce déclin spectaculaire de la plus grande mer fermée du monde. Située à la frontière entre l’Europe et l’Asie centrale, la mer Caspienne est entourée par l’Azerbaïdjan, l’Iran, le Kazakhstan, la Russie et le Turkménistan, et fait vivre environ 15 millions de personnes.

La Caspienne est un centre de pêche, de navigation et de production de pétrole et de gaz, et son importance géopolitique est croissante, puisqu’elle se trouve à la croisée des intérêts des grandes puissances mondiales. À mesure que la mer s’appauvrit en profondeur, les gouvernements sont confrontés au défi crucial de maintenir les industries et leurs moyens de subsistance, tout en protégeant les écosystèmes uniques qui les soutiennent.

Je me rends sur la Caspienne depuis plus de vingt ans, pour collaborer avec des chercheurs locaux afin d’étudier le phoque de la Caspienne, une espèce unique et menacée, et soutenir sa conservation. Dans les années 2000, l’extrême nord-est de la mer formait une mosaïque de roselières, de vasières et de chenaux peu profonds grouillants de vie, offrant des habitats aux poissons en frai, aux oiseaux migrateurs et à des dizaines de milliers de phoques qui s’y rassemblaient au printemps pour muer.

Aujourd’hui, ces lieux sauvages et reculés où nous capturions des phoques pour des études de suivi par satellite sont devenus des terres sèches, en transition vers le désert à mesure que la mer se retire, et la même histoire se répète pour d’autres zones humides autour de la mer. Cette expérience fait écho à celle des communautés côtières, qui voient, année après année, l’eau s’éloigner de leurs villes, de leurs quais de pêche et de leurs ports, laissant les infrastructures échouées sur des terres nouvellement asséchées, et les habitants inquiets pour l’avenir.

Une mer en retrait

Le niveau de la mer Caspienne a toujours fluctué, mais l’ampleur des changements récents est sans précédent. Depuis le début de ce siècle, le niveau de l’eau a baissé d’environ 6 cm par an, avec des chutes allant jusqu’à 30 cm par an depuis 2020. En juillet 2025, des scientifiques russes ont annoncé que la mer était descendue en dessous du niveau minimum précédent enregistré depuis le début des mesures instrumentales.

Au cours du XX^e siècle, les variations étaient dues à une combinaison de facteurs naturels et de détournements d’eau par l’homme pour l’agriculture et l’industrie, mais aujourd’hui, le réchauffement climatique est le principal moteur du déclin. Il peut sembler inconcevable qu’une masse d’eau aussi vaste que la Caspienne soit menacée, mais dans un climat plus chaud, le débit d’eau entrant dans la mer par les rivières et les précipitations diminue, et il est désormais dépassé par l’augmentation de l’évaporation à la surface de la mer.

Même si le réchauffement climatique est limité à l’objectif de 2 °C fixé par l’accord de Paris, le niveau de l’eau devrait baisser jusqu’à dix mètres par rapport au littoral de 2010. Avec la trajectoire actuelle des émissions mondiales de gaz à effet de serre, le déclin pourrait atteindre 18 mètres, soit environ la hauteur d’un immeuble de six étages.

Comme le nord de la Caspienne est peu profond –, une grande partie n’atteint qu’environ cinq mètres de profondeur – de petites diminutions de niveau entraînent d’immenses pertes de surface. Dans une recherche récente, mes collègues et moi avons montré qu’un déclin optimiste de dix mètres mettrait à découvert 112 000 kilomètres carrés de fond marin – une superficie plus grande que l’Islande.

Ce qui est en jeu

Les conséquences écologiques seraient dramatiques. Quatre des dix types d’écosystèmes uniques à la mer Caspienne disparaîtraient complètement. Le phoque de la Caspienne, une espèce menacée, pourrait perdre jusqu’à 81 % de son habitat de reproduction actuel, et l’esturgeon de la Caspienne perdrait l’accès à des zones de frai essentielles.

Comme lors de la catastrophe de la mer d’Aral, où un autre immense lac d’Asie centrale a presque totalement disparu, des poussières toxiques issues du fond marin exposé seraient libérées, avec de graves risques pour la santé.

Des millions de personnes risquent d’être déplacées à mesure que la mer se retire, ou de se retrouver confrontées à des conditions de vie fortement dégradées. Le seul lien de la mer avec le réseau maritime mondial passe par le delta de la Volga (qui se jette dans la Caspienne), puis par un canal en amont reliant le Don, offrant des connexions vers la mer Noire, la Méditerranée et d’autres systèmes fluviaux. Mais la Volga est déjà confrontée à une réduction de sa profondeur.

Des ports comme Aktau au Kazakhstan et Bakou en Azerbaïdjan doivent être dragués simplement pour pouvoir continuer à fonctionner. De même, les compagnies pétrolières et gazières doivent creuser de longs chenaux vers leurs installations offshore dans le nord de la Caspienne.

Les coûts déjà engagés pour protéger les intérêts humains se chiffrent en milliards de dollars, et ils ne feront qu’augmenter. La Caspienne est au cœur du « corridor médian », une route commerciale reliant la Chine à l’Europe. À mesure que le niveau de l’eau baisse, les cargaisons maritimes doivent être réduites, les coûts augmentent, et les villes comme les infrastructures risquent de se retrouver isolées, à des dizaines voire des centaines de kilomètres de la mer.

Une course contre la montre

Les pays riverains de la Caspienne doivent s’adapter, en déplaçant des ports et en creusant de nouvelles voies de navigation. Mais ces mesures risquent d’entrer en conflit avec les objectifs de conservation. Par exemple, il est prévu de draguer un nouveau grand chenal de navigation à travers le « seuil de l’Oural » dans le nord de la Caspienne. Mais il s’agit d’une zone importante pour la reproduction des phoques, leur migration et leur alimentation, et ce sera une zone vitale pour l’adaptation des écosystèmes à mesure que la mer se retire.

Comme le rythme du changement est si rapide, les aires protégées aux frontières fixes risquent de devenir obsolètes. Ce qu’il faut, c’est une approche intégrée et prospective pour établir un plan à l’échelle de toute la région. Si les zones où les écosystèmes devront s’adapter au changement climatique sont cartographiées et protégées dès maintenant, les planificateurs et décideurs politiques seront mieux à même de faire en sorte que les projets d’infrastructures évitent ou minimisent de nouveaux dommages.

Pour ce faire, les pays de la Caspienne devront investir dans le suivi de la biodiversité et dans l’expertise en matière de planification, tout en coordonnant leurs actions entre cinq pays différents aux priorités diverses. Les pays de la Caspienne reconnaissent déjà les risques existentiels et ont commencé à conclure des accords intergouvernementaux pour faire face à la crise. Mais le rythme du déclin pourrait dépasser celui de la coopération politique.

L’importance écologique, climatique et géopolitique de la mer Caspienne fait que son sort dépasse largement ses rivages en recul. Elle constitue une étude de cas essentielle sur la manière dont le changement climatique transforme les grandes étendues d’eau intérieures à travers le monde, du lac Titicaca (entre le Pérou et la Bolivie) au lac Tchad (à la frontière entre le Niger, le Nigeria, le Cameroun et le Tchad). La question est de savoir si les gouvernements pourront agir assez vite pour protéger à la fois les populations et la nature de cette mer en mutation rapide.

Simon Goodman a conseillé le Programme des Nations unies pour l’environnement (PNUE) sur la conservation du phoque de la Caspienne et a par le passé mené des recherches et conseillé des entreprises pétrolières et gazières de la région sur la façon de réduire leur impact sur ces animaux. Ses travaux récents n’ont pas été financés par l’industrie ni liés à elle. Il est coprésident du groupe de spécialistes des pinnipèdes de l’Union internationale pour la conservation de la nature (UICN).

Le 5 août dernier, Luis García Villagrán, défenseur des personnes migrantes, a été arrêté à la frontière sud du Mexique. En marge des pressions diplomatiques états-uniennes, cette criminalisation du militantisme réactive les débats en cours autour de la définition des catégories du militant et du « passeur », de l’accompagnement humanitaire et du « trafic d’êtres d’humains ».

En juin 2025, Luis García Villagrán, 63 ans, avocat formé au droit en prison (il y a passé douze ans, de 1998 à 2000, à la suite d’un imbroglio judiciaire pour lequel il a finalement été innocenté), avait repris sa casquette d’activiste dans la ville de Tapachula (Chiapas, sud du Mexique, à une vingtaine de kilomètres du Guatemala) pour dénoncer les manquements des autorités mexicaines compétentes en matière migratoire. Il les accusait d’être corrompues et de freiner l’octroi de visas aux milliers de personnes bloquées dans cette ville de 350 000 habitants, désireuses de s’installer au Mexique ou, plus souvent, de traverser son territoire afin de rejoindre les États-Unis.

Face à l’absence de solutions, il a organisé une caravane. Ce mode d’action consiste à se déplacer vers le Nord à plusieurs centaines ou milliers de sans-papiers pour faire pression sur les autorités et se protéger des exactions aussi bien des forces de l’ordre que des groupes criminels.

Le 6 août 2025, cette première caravane de plus de 500 personnes depuis la prise de fonctions de Donald Trump est finalement partie sans le militant, arrêté la veille par les forces de l’ordre mexicaines et conduit au bureau du procureur fédéral (Fiscalía General de la República). Le lendemain, la présidente de la République Claudia Sheinbaum a justifié sa mise en détention :

« Ce n’est pas un militant. Il faisait l’objet d’un mandat d’arrêt et il est accusé de trafic d’êtres humains. »

Organisations de la société civile et universitaires mexicains se sont immédiatement alarmés de cette stigmatisation et de la violation de la présomption d’innocence de la part de la plus haute autorité du pays. Le 11 août, un juge fédéral a finalement ordonné la libération de l’activiste dans l’attente d’une enquête approfondie, faute de preuves solides. Le lendemain, le procureur fédéral a réagi en dénonçant la supposée mansuétude du juge à l’égard de Villagrán : « Quand on a fait comparaître cette personne devant le juge, celui-ci n’a pas même pas voulu analyser les 75 preuves que les autorités lui avaient présentées. […] Je n’ai jamais vu ça. »

La frontière sud du Mexique, une zone d’« endiguement migratoire » sous surveillance états-unienne

Cette intromission des plus hautes sphères fédérales dans le cas d’un défenseur des droits des personnes migrantes a de quoi surprendre dans ce pays gouverné par la gauche depuis 2018 (année de la victoire d’Andrés Manuel López Obrador, à qui Claudia Sheinbaum a succédé en 2024).

Ces événements s’inscrivent dans le cadre d’une externalisation des frontières états-uniennes au Mexique, caractérisée par des politiques de mise en attente des personnes migrantes. Si la frontière du Mexique avec les États-Unis accapare une large part de l’attention médiatique, les dynamiques de la frontière Sud, en bordure du Guatemala, restent peu documentées.

Au cours des années 2010, cette zone de passage obligé pour les personnes désireuses de rejoindre les États-Unis a fait l’objet de politiques dites d’« endiguement migratoire » visant à ralentir les flux de personnes migrantes issues d’Amérique centrale (Honduras, Guatemala, Nicaragua, Salvador), des Caraïbes (Haïti, Cuba), d’Amérique du Sud (Venezuela, Équateur) mais aussi d’autres continents (Afrique, Moyen-Orient et Asie).

Face à la massification et à la diversification des mobilités internationales dans cette région, les politiques migratoires mexicaines sont progressivement devenues une marge d’ajustement des relations diplomatiques avec les États-Unis, notamment dans le contexte actuel de renégociation des droits de douane.

Déjà, en 2019, le gouvernement d’Andrés Manuel López Obrador avait négocié le maintien de droits de douane avantageux en échange de l’envoi à la frontière Sud du Mexique de la Garde nationale, un nouveau corps de police militarisée.

Les multiples contrôles sur les routes, ainsi que les pratiques d’allongement des délais d’obtention de papiers permettant de transiter légalement au Mexique ont fait de Tapachula une « prison à ciel ouvert », où plusieurs dizaines de milliers de personnes exilées restent bloquées dans l’attente d’une régularisation.

Cette situation encourage les versements de pots-de-vin aux agents de l’Institut national des migrations (INM) – déjà dénoncés par un ancien directeur de cette institution –, mais aussi la présence de réseaux de passeurs illicites, parfois en lien avec des groupes criminels.

Des caravanes pour s’extirper de l’attente

En réponse à cette mise en attente dans le Chiapas, État le plus pauvre du Mexique, un nouveau mode d’action collective et migratoire a émergé dans les années 2010. Certains religieux et activistes issus d’organisations de défense du droit à la migration ont commencé à accompagner des groupes de personnes migrantes dans leur périple, pour les protéger en les rendant plus visibles.

C’est ainsi qu’ont émergé en 2018 des caravanes de plusieurs milliers de personnes sur les routes d’Amérique centrale et du sud du Mexique. À cette époque, leur importante médiatisation avait déclenché des réactions virulentes du président états-unien Donald Trump.

Depuis, ce type d’actions n’a pas cessé. Tous les ans, plusieurs caravanes partent de Tapachula. Luis García Villagrán a participé activement à plusieurs d’entre elles. Cela lui vaut, comme à d’autres, une stigmatisation régulière de la part de personnalités politiques (de droite comme de gauche, à l’instar de la présidente Sheinbaum) qui entretiennent l’amalgame entre « militant » et « passeur » (coyote ou pollero au Mexique), entre « accompagnement » et « trafic d’êtres humains ».

Des militants visés et des migrants en danger

La poursuite en justice d’activistes s’inscrit en prolongement d’une répression de longue date par l’État mexicain du militantisme politique. Elle déborde aujourd’hui sur l’enjeu migratoire, un sujet sensible au niveau diplomatique, mais aussi au niveau national dans la mesure où les personnes migrantes sont des cibles facilement exploitables pour les groupes criminels.

Déjà en 2019, plusieurs activistes mexicains présents pour accompagner les caravanes avaient fait l’objet d’intimidations, d’arrestations et de menaces. Certains ont même été physiquement violentés lors des interrogatoires.

La répression se fait aussi à bas bruit, par des acteurs pas toujours bien identifiés. Les militants reçoivent souvent des menaces provenant de numéros inconnus sur leurs téléphones. Il arrive aussi que celles-ci soient mises à exécution, par exemple lorsque Luis García Villagrán s’est fait passer à tabac par un groupe armé en octobre 2023, peu après avoir annoncé vouloir accompagner une caravane organisée par un autre activiste.

La criminalisation du militantisme en soutien aux sans-papiers n’est pas sans rappeler des processus observés en Europe. Mais si les activistes disposent de relais médiatiques pour se défendre des accusations, les personnes migrantes restent celles qui pâtissent en premier de la répression.

Par le suivi de caravanes, mes recherches de terrain ont montré que la privation des soutiens sur le trajet expose les personnes migrantes aux exactions de groupes criminels ou des autorités policières. En outre, les personnes exilées qui s’impliquent dans l’organisation quotidienne pour négocier avec les autorités, assurer la logistique des repas ou prendre des décisions paient parfois cher cet engagement. Identifiées comme les moteurs de la mobilisation par les autorités mexicaines, beaucoup sont arrêtées dans une quasi-indifférence générale, et sont ensuite privées de visas d’entrée aux États-Unis et au Mexique.

Au Mexique, comme ailleurs, la criminalisation de tout acte de solidarité s’inscrit dans la construction d’un régime de mobilité restrictif. Aide aux personnes migrantes par leurs soutiens ou entraide entre personnes migrantes sont susceptibles d’être réprimées au nom d’un amalgame fallacieux entre accompagnement humanitaire et « trafic d’êtres humains », ou défenseur des personnes migrantes et « passeur ». Ces processus visent aussi à créer une démarcation entre, d’une part, les « bonnes » organisations de soutien financées par l’aide internationale qui assistent les exilés dans les lieux d’attente et, d’autre part, les « mauvaises » qui les accompagnent sur les routes ou qui protestent contre le sort qui leur est réservé.

C’est pourtant bien ce nouveau paradigme qui contribue à rendre les routes de l’exil beaucoup plus dangereuses pour les personnes qui les empruntent, mais aussi pour celles qui y vivent.

Romain Busnel ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d'une organisation qui pourrait tirer profit de cet article, et n'a déclaré aucune autre affiliation que son organisme de recherche.

Vous avez peut-être déjà été victime d’un virus informatique. Le terme date de 1984 et on le doit à Fred Cohen, un chercheur américain. Pourtant, la notion de virus est intrinsèquement liée à celle même de l’informatique, dès ses origines, avec les travaux d’Alan Turing dans les années 1930 et, par la suite, avec les programmes autoréplicants. Aujourd’hui, ce terme n’est plus vraiment utilisé, on parlera plutôt de logiciels malveillants. Jean-Yves Marion est responsable du projet DefMal du programme de recherche PEPR France 2030 Cybersécurité qui porte sur la lutte contre ce qu’on appelle aussi les « malwares ».

Il répond aux questions de Benoît Tonson, chef de rubrique Sciences et technologies à « The Conversation France », pour nous faire pénétrer les secrets des cybercriminels et comprendre comment ils arrivent à pénétrer des systèmes informatiques et à escroquer leurs victimes.

The Conversation : Comment vous êtes-vous intéressé au monde des logiciels malveillants ?

Jean-Yves Marion : J’ai fait une thèse à l’Université Paris 7 en 1992 (aujourd’hui, Paris Cité) sur un sujet d’informatique fondamental de logique et de complexité algorithmique. C’était assez éloigné de la cybersécurité, ce qui m’intéressait quand j’étais jeune, c’était de comprendre les limites de ce qui est calculable par ordinateur quand les ressources sont bornées.

Plus tard, on pourrait dire que j’ai fait une « crise de la quarantaine » mais version chercheur. J’ai eu envie de changement et de sujets plus appliqués, plus en prise avec les enjeux de société. J’avais besoin de sortir de la théorie pure. J’ai passé ce cap en 2004. Et j’ai commencé à m’intéresser à ce que l’on appelait, encore à l’époque, les virus ; en gros, des programmes capables de se reproduire, de se dupliquer. Dans le mot « virus », il y a toujours eu le côté malveillant, mais ce qui m’intéressait, c’était le côté théorique de la reproduction de programme.

Finalement, je me suis passionné pour le sujet. J’étais déjà au Loria (Laboratoire lorrain de recherche en informatique et ses applications) que j’ai dirigé à partir de 2012 pendant onze ans. J’ai commencé à étudier les virus et à travailler avec de vrais programmes malveillants. D’ailleurs, la direction du laboratoire de l’époque s’était inquiétée, je pense à juste titre, de nos activités. Elle avait peur qu’à force d’exécuter des programmes malveillants sur nos ordinateurs pour comprendre comment ils fonctionnaient, ils puissent passer sur le réseau national de télécommunications pour la technologie, l’enseignement et la recherche (Renater) et qu’on soit bannis de la recherche publique à vie ! J’exagère, bien sûr, mais on a tout de même eu l’idée de construire une plateforme de recherche qu’on appelle maintenant le laboratoire de haute sécurité (LHS) et qui est un lieu qui se trouve au sous-sol de notre bâtiment. Il permet d’analyser les virus en toute sécurité, car il a son propre réseau qui n’est connecté à aucun autre. Les travaux ont continué et ont pris petit à petit de l’ampleur, notamment en termes de financement de la recherche.

Aujourd’hui on n’utilise plus le terme de « virus », on parle plutôt de programmes « malveillants » (malware en anglais). On va également parler de « rançongiciels », d’infostealers (« voleurs d’information »), des logiciels créés dans le but de pénétrer les systèmes d’information et d’y voler des informations sensibles ; de « bots espions »… Il existe également des stalkerwares, des logiciels installés sur un smartphone par exemple, qui permettent de suivre l’activité de ce dernier et suivre à la trace les déplacements d’une personne.

Parlons plus en détail des « rançongiciels » : qu’est-ce que c’est ?

J.-Y. M. : Un « rançongiciel », c’est un programme malveillant qui va s’infiltrer à l’insu de la victime et dont l’objectif est soit d’exfiltrer des données, soit de les chiffrer de manière à demander une rançon, soit de faire les deux. On parle souvent des attaques avec chiffrement de données, car elles peuvent bloquer une organisation entière et empêcher le travail d’une entreprise ou d’une organisation publique. Il ne faut pas pour autant négliger la simple, si je peux dire, exfiltration qui est également beaucoup utilisée avec un levier de pression et un discours assez simple de la part de l’attaquant : « On a des informations personnelles, si tu ne payes pas, on divulgue. » La victime peut être une personne ou une entreprise ou un organisme comme un hôpital, une université, une administration, par exemple.

Les cibles sont donc multiples…

J.-Y. M. : Je pense que le premier élément à bien comprendre, c’est que la plupart des attaques sont extrêmement opportunistes, cela signifie que tout le monde est potentiellement une cible.

Les grosses entreprises peuvent être particulièrement visées parce que l’on peut espérer extorquer des rançons beaucoup plus grosses et gagner beaucoup plus d’argent que si l’on s’attaquait à une PME. C’est plus difficile et également plus risqué dans le sens où la police va très probablement intervenir.

L’exemple d’école, c’est l’attaque, en 2021, sur l’entreprise américaine Colonial Pipeline qui opère un réseau d’oléoducs à partir du Texas vers le sud-est des États-Unis. Il s’agissait de la plus grande cyberattaque contre une infrastructure pétrolière de l’histoire des États-Unis menée par le groupe DarkSide. L’entreprise avait payé une rançon de 75 bitcoins, soit à l'époque environ 4 millions de dollars. Somme en partie retrouvée par les autorités américaines. DarkSide a ensuite déclaré cesser toutes ses opérations sous les pressions américaines.

Plus généralement, les cibles dépendent des politiques des groupes de cybercriminels : certains vont se spécialiser dans des cibles visibles à gros revenus et d’autres vont plutôt attaquer des « petits poissons » à petit revenu.

Vous parlez de groupes, or, dans l’imaginaire collectif, le pirate informatique est plutôt seul dans sa cave, qu’en est-il dans la réalité ?

J.-Y. M. : C’est rarement une personne seule qui va mener une attaque. En général, ce sont des groupes. C’est un modèle que la police appelle « ransomware as a service ». Ces groupes offrent un service clé en main pour mener une attaque par rançongiciel. On parle plus généralement de « malware as a service » voire de « crime as a service ».

Il ne faut pas imaginer une organisation qui ressemblerait à une entreprise classique. Ce sont des groupes assez diffus, dont les membres ne se connaissent pas forcément de manière physique et qui vont offrir différents services qui peuvent être séparés :

• uniquement l’accès initial à un ordinateur spécifique ;

• acheter un rançongiciel ;

• avoir un accès à des services de négociation qui vont faciliter la négociation de la rançon.

Il est également possible de s’offrir des services de stockage de données, car si une attaque a pour but d’exfiltrer de grosses quantités de données, il faut pouvoir les stocker et montrer à sa cible qu’on a réellement ces données. À ce propos, certains groupes utilisent ce qu’ils appellent des « murs de la honte » où ils vont afficher sur des sites des informations confidentielles d’une entreprise, par exemple, sur le dark web.

En bas de l’échelle, on trouve ce que l’on appelle des « affiliés », ce sont les petites mains. On parle même d’« ubérisation de la cybercriminalité ». Ce sont eux qui vont lancer les attaques en utilisant les services du groupe. Si l’attaque réussit et que la cible paye, la rançon est partagée entre le groupe et les affiliés.

Si on va à l’autre bout de l’échelle, on connaît quelques leaders comme celui de Conti, un groupe de pirates basé en Russie. Ce dernier est connu sous les pseudonymes de Stern ou Demon, et agit comme un PDG. Des travaux universitaires ont même montré son modèle de management. Il semble qu’il fasse du micromanagement, où il tente de régler tous les problèmes entre ses « employés » et de contrôler toutes les tâches qu’ils effectuent sans très grande anticipation.

Maintenant que l’on connaît mieux l’écosystème criminel, expliquez-nous comment, techniquement, on peut entrer dans un système ?

J.-Y. M. : On peut diviser ça en grandes étapes.

La première, c’est la plus diffuse, c’est la reconnaissance de la cible. Essayer d’avoir la meilleure connaissance possible des victimes potentielles, tenter de savoir s’il y a des vulnérabilités, donc des endroits où l’on pourrait attaquer. Un autre aspect est de bien connaître les revenus de la cible pour, in fine, adapter la rançon.

Une fois ce travail réalisé, il faut réussir à obtenir un premier accès dans le réseau. C’est souvent la partie la plus complexe et elle est faite, généralement par une personne physique derrière son ordinateur. Pas besoin d’être nombreux pour cette étape. Ce qui fonctionne le mieux, c’est l’ingénierie sociale. On va chercher à manipuler une personne pour obtenir une information en exploitant sa confiance, son ignorance ou sa crédulité.

Prenons un exemple, avec votre cas, imaginons que l’on cherche à infiltrer le réseau de The Conversation et que l’attaquant vous connaisse. Il sait que vous êtes journaliste scientifique et toujours à l’affût d’un bon sujet à traiter. Il va donc vous envoyer un mail qui va vous dire : « Regardez, je viens de publier un excellent article scientifique dans une grande revue, je pense que cela ferait un très bon sujet pour votre média, cliquez ici pour en prendre connaissance. »

À ce moment-là, vous cliquez et vous arrivez sur un site qu’il contrôle et qui va vous forcer à télécharger un logiciel malveillant. Ce type de technique peut fonctionner sur énormément de personnes à condition de connaître le bon moyen de pression.

Dans le cas que l’on vient de prendre, il s’agissait d’une attaque bien ciblée. On peut aussi prendre le cas inverse et envoyer un très grand nombre d’emails sans ciblage.

Le cas classique est ce mail, que vous avez peut-être déjà reçu, venant soi-disant de la police et qui vous indique que vous avez commis une infraction et que vous devez payer une amende. Le gros problème, c’est que c’est devenu plus facile de rédiger des mails sans faute d’orthographe ni de grammaire grâce aux outils d’IA. Détecter le vrai du faux est de plus en plus complexe.

Donc la meilleure manière est de s’attaquer à un humain ?

J.-Y. M. : Oui, ça marche bien, mais il y a d’autres manières d’attaquer. L’autre grand vecteur, c’est ce qu’on appelle les vulnérabilités : tous les bugs, donc les erreurs, que vont faire une application ou un système d’exploitation. On peut exploiter les bugs de Windows mais aussi les bugs d’applications comme Firefox, Safari ou Chrome. Trouver une vulnérabilité, c’est vraiment le Graal pour un attaquant parce que cela va être relativement silencieux, personne ne peut s’en rendre compte tout de suite. À la différence d’une personne piégée qui pourrait se rendre compte de la supercherie.

Concrètement, une vulnérabilité qu’est-ce que c’est et comment l’exploiter ?

J.-Y. M. : Une vulnérabilité, c’est un bug – je pense que tout le monde en a entendu parler. Un bug, c’est quand une application va faire une erreur ou avoir un comportement anormal.

Alors, comment ça marche ? L’idée est que l’attaquant va envoyer une donnée à un programme. Et, à cause de cette donnée, le programme va commettre une erreur. Il va interpréter cette donnée comme une donnée à exécuter. Et là, évidemment, l’attaquant contrôle ce qui est exécuté. L’exploitation de vulnérabilité est une illustration de la dualité donnée/programme qui est constitutive et au cœur de l’informatique, dès ses origines.

J’aimerais également citer une autre grande manière d’attaquer : une « attaque supply chain », en français « attaque de la chaîne d’approvisionnement , appelée aussi « attaque de tiers ». C’est une attaque absolument redoutable. Pour comprendre, il faut savoir que les programmes, aujourd’hui, sont extrêmement complexes. Une application d’une entreprise particulière va utiliser beaucoup de programmes tiers. Donc il est possible de réaliser des attaques indirectes.

Je reprends votre cas, imaginons que quelqu’un qui vous connaisse cherche à vous attaquer, il sait que vous êtes journaliste, il se dit que vous utilisez probablement Word, il peut donc étudier les dépendances de cette application à d’autres programmes et voir si ces derniers ont des failles. S’il arrive à installer une backdoor (une porte dérobée est une fonctionnalité inconnue de l’utilisateur légitime, qui donne un accès secret au logiciel) chez un fournisseur de Word pour y installer un logiciel malveillant, alors, à la prochaine mise à jour que vous allez effectuer, ce dernier arrivera dans votre logiciel et, donc, dans votre ordinateur.

La grande attaque de ce type que l’on peut donner en exemple est celle menée par Clop, un groupe russophone qui s’est attaqué à MoveIt, un logiciel de transfert de fichiers sécurisé. Ils ont compromis ce logiciel-là directement chez le fournisseur. Donc tous les clients, quand ils ont mis à jour leur logiciel, ont téléchargé les malwares. Il y a eu des dizaines de millions de victimes dans cette affaire. Si des criminels réussissent un coup pareil, c’est le véritable jackpot, ils peuvent partir vivre aux Bahamas… ou en prison.

Et une fois que l’attaquant est entré dans un ordinateur, que fait-il ?

J.-Y. M. : Une fois que l’on est dedans, on passe au début de l’attaque. On va essayer de ne pas être visible, donc de désactiver les systèmes de défense et de multiplier les backdoors, les points d’accès. Car, si l’un est repéré, on pourra en utiliser un autre. Typiquement, si un attaquant a piraté votre ordinateur, il peut créer un nouvel utilisateur. Il va ensuite créer une connexion sécurisée entre son ordinateur et le vôtre. Il a accès à l’ordinateur, et peut donc y installer les logiciels qu’il veut.

Ensuite, il va explorer et voir, si votre machine est connectée à un réseau d’entreprise et donc s’il peut se déployer et aller chercher des informations sensibles par exemple. Cela peut être la liste de tous vos clients, des résultats financiers, des documents de travail, dans le but de faire de l’exfiltration. S’il peut se déployer, l’attaque devient globale. Ici, on parle vraiment d’une personne qui explore le réseau en toute discrétion pendant des jours, des semaines voire des mois. Les données sont exfiltrées au compte-gouttes, car les systèmes de défense sont capables de détecter de gros flux de données et de comprendre qu’il y a une attaque.

Si l’idée du cybercriminel est plutôt de faire une attaque par chiffrement, qui va empêcher l’entreprise d’accéder à ses données, il doit éliminer les sauvegardes. Une fois que c’est fait, le chiffrement de toutes les données peut être lancé et la demande de rançon va être envoyée.

Et que se passe-t-il après cette demande ?

J.-Y. M. : Le groupe va contacter la cible en lui expliquant qu’il vient d’être attaqué et va lui demander de se connecter à un portefeuille numérique (wallet) pour payer ce qu’on lui demande, en général, en bitcoins. Souvent, à ce moment-là, une négociation va démarrer. Une hotline est, parfois, mise en place par les pirates pour communiquer. Les groupes organisés ont des services voués à cette opération.

L’attaquant tente de vendre la clé de déchiffrement – c’est la rançon –, ou bien menace de diffuser des données volées. Il y a d’ailleurs énormément de transcriptions d’échanges en ligne.

D’après les recherches que j’ai pu effectuer, il y aurait environ 60 % des gens qui paient, mais c’est très compliqué d’avoir les vrais chiffres.

La première chose à faire est de déclarer à la gendarmerie ou à la police la cyberattaque subie. En parallèle, il y a aujourd’hui dans chaque région des centres qui ont été mis en place d’aide aux victimes. Ainsi, il y a des choses à faire au moment de la négociation : demander au pirate de décrypter une partie des données, juste pour montrer qu’il est capable de le faire, parce qu’on a déjà vu des cas où les attaquants ne sont pas, disons, très professionnels et ils sont incapables de déchiffrer les données.

Il faut également s’assurer que si l’attaquant s’est servi d’une backdoor, il n’en a pas laissé une autre pour une future attaque. Cela s’est déjà vu et c’est au service informatique, lorsqu’il va tout réinstaller, de vérifier cela. Ensuite, si des données ont été exfiltrées, vous ne pouvez jamais savoir ce que va en faire l’attaquant. Les mots de passe qui sont exfiltrés peuvent être utilisés pour commettre une nouvelle cyberattaque, vous pouvez faire confiance à un cybercriminel pour cela. Personnellement, j’ai lu suffisamment de livres policiers pour ne pas avoir envie de faire confiance à un bandit.

On a finalement vu toute la chaîne de l’attaque, mais quel est votre rôle en tant qu’universitaire et responsable du projet DefMal du PEPR cybersécurité dans cet écosystème ?

J.-Y. M. : Il y a deux volets qui ont l’air d’être séparés, mais vous allez vite comprendre qu’ils s’articulent très facilement.

Il y a un volet que l’on pourrait qualifier de très informatique, qui consiste à construire des défenses : des systèmes de rétro-ingénierie et de détection. L’objectif est, par exemple, de déterminer si un programme est potentiellement malveillant.

Plusieurs approches sont explorées. L’une d’elles consiste à utiliser des méthodes d’apprentissage à partir d’exemples de malware et de goodware. Cela suppose d’être capable d’extraire, à partir du binaire, des caractéristiques précisant la sémantique du programme analysé. Pour cela, nous combinons des approches mêlant méthodes formelles, heuristiques et analyses dynamiques dans un sandbox (bac à sable, un environnement de test).

Une difficulté majeure est que les programmes sont protégés contre ces analyses par des techniques d’obfuscation qui visent à rendre leur fonctionnement délibérément difficile à comprendre.

L’un des enjeux scientifiques est donc de pouvoir dire ce que fait un programme, autrement dit, d’en retrouver la sémantique. Les questions soulevées par la défense contre les logiciels malveillants – par exemple, expliquer le comportement d’un programme – exigent une recherche fondamentale pour obtenir de réels progrès.

Au passage, on a un petit volet offensif. C’est-à-dire qu’on essaie aussi de construire des attaques, ce qui me paraît important parce que je pense qu’on ne peut bien concevoir une défense qu’à condition de savoir mener une attaque. Ces attaques nous servent également à évaluer les défenses.

Pour vous donner un exemple, je peux vous parler d’un travail en cours. C’est un système qui prend un programme normal, tout à fait bénin, et qui prend un programme malveillant, et qui va transformer le programme malveillant pour le faire ressembler au programme bénin ciblé afin de lui faire passer les défenses qui s’appuient sur l’IA.

J’ai donc parlé de la partie informatique, mais il y aussi tout le volet sur l’étude de l’écosystème actuel qui m’intéresse particulièrement, qui est un travail passionnant et interdisciplinaire. Comment les groupes sont-ils organisés, quel est le système économique, comment les groupes font-ils pour blanchir l’argent, quel type de management ? Une autre grande question que l’on se pose, c’est celle de savoir comment les cybercriminels vont s’approprier l’IA. Comment anticiper les prochains modes opératoires ?

On va aussi aller explorer le dark web pour récupérer des discussions entre criminels pour mieux comprendre leurs interactions.

Vous arrive-t-il d’aider la police sur des enquêtes en particulier ?

J.-Y. M. : On ne nous sollicite jamais sur des attaques concrètes. Une enquête doit être faite dans un cadre légal très strict.

Nous entretenons de bonnes relations avec tout l’environnement de lutte contre les cybercriminels (police, gendarmerie, armée, justice…). Ils suivent nos travaux, peuvent nous poser des questions scientifiques. On a des intérêts communs puisqu’une partie de nos travaux de recherche, c’est de comprendre l’écosystème de la cybercriminalité.

Je vous donne un exemple : sur le dark web, un forum qui permettait d’échanger des logiciels malveillants a été bloqué. Nous en tant que chercheurs, on va essayer de comprendre l’impact réel de cette action, car, d’ici plusieurs mois, il y aura sans doute un nouveau forum. Les relations entre les groupes cybercriminels et les services de certains États font partie aussi de nos questions actuelles.

Une autre question scientifique à laquelle on peut répondre, c’est lorsque l’on découvre un nouveau logiciel, savoir à quoi on peut le comparer, à quelle famille. Cela ne nous donnera pas le nom du développeur mais on pourra le rapprocher de tel ou tel groupe.

On commence également à travailler sur le blanchiment d’argent.

Pour aller plus loin, vous pouvez lire l’article de Jean-Yves Marion, « Ransomware : Extortion Is My Business », publié dans la revue Communications of the ACM.

Jean-Yves Marion a reçu des financements de l'ANR et de l'Europe. Il travaille détient des parts dans CyberDetect et Cyber4care.