Venum, le logiciel qui a armé les hackers anti-État français

Tout droit sorti de l’avion en provenance de Grèce, Sotiraq K. ^[1], 39 ans ^[1], a été mis en examen le 13 mai 2026 ^[2] pour « introduction dans un système automatisé de données et extractions frauduleuses » ^[3], avant d’être écroué ^[4]. L’homme, Albanais installé à Athènes ^[1], n’est pas un hacker au sens strict. Il est, selon les enquêteurs, le fournisseur. Celui qui vendait l’arme.

LES ENJEUX

Marché noir des outils de hacking

Le modèle Malware-as-a-Service transforme l'outil offensif en abonnement clé en main. Venum aurait généré deux millions d'euros sur quatre ans en industrialisant cette logique.

Cadre pénal renforcé

L'article 323-3-1 du code pénal punit la simple mise à disposition d'outils de piratage des mêmes peines que l'infraction principale, jusqu'à sept ans contre l'État - rendant la défense du graphiste juridiquement inopérante.

Vague d'attaques contre l'État

La Poste, ministère de l'Intérieur, ANTS: les administrations françaises encaissent une série inédite de compromissions en 2025.

Coopération européenne accélérée

Mandat d'arrêt européen, coordination Eurojust-Europol, synchronisation des interpellations sur sept pays: l'extradition rapide depuis la Grèce et l'opération ENDGAME illustrent une mécanique transfrontalière qui s'est rodée.

Défense fragile du suspect

Sotiraq K. Se présente en simple graphiste; le parquet le qualifie d'acteur majeur. L'instruction tranchera.

L’arme s’appelle Venum ^[5]. Un nom qui circulait sur les forums cybercriminels, regroupant plusieurs outils de hacking ^[6] revendus à des pirates « notamment français » ^[7] pour mener intrusions, vols de données et attaques contre des organismes publics ou privés ^[8]. Entre 2021 et 2025 ^[9], Sotiraq K. Aurait écoulé ses produits à Paris, en France et dans le monde entier ^[10]. La section du parquet de lutte contre la cybercriminalité ^[11] estime qu’il aurait empoché deux millions d’euros ^[12] en quatre ans ^[13].

Une enquête remontée d’un pirate français jusqu’à Athènes

L’affaire ne part pas d’Athènes mais d’un poste de travail français. L’enquête a débuté après l’identification d’un pirate informatique utilisant des outils techniques reliés à une société basée en Grèce ^[14]. Les investigations techniques ont ensuite permis de remonter jusqu’au suspect, installé à Athènes ^[15]. Sotiraq K. Avait déjà été interpellé plusieurs mois plus tôt par les autorités grecques pour des faits similaires ^[16], avant son extradition vers la France ^[17].

Aucune source consultée ne précise toutefois le nom, le statut juridique ni l’identité des éventuels co-dirigeants de cette société grecque, pourtant point de rattachement technique central des outils Venum. Le rôle exact de cette structure - simple coquille servant à héberger une infrastructure, véritable entreprise commerciale ou prête-nom - reste à ce stade hors du champ public.

Selon le récit livré par Le Parisien ^[18], les hackers français clients de Venum auraient attaqué les systèmes informatiques d’administrations ou d’institutions hexagonales ^[19]. Aucun nom de victime n’a été publié à ce stade. L’enquête pourrait permettre d’identifier plusieurs cybercriminels ayant utilisé ces outils contre des institutions françaises ^[20].

« Je suis graphiste »: la ligne de défense du suspect

Face aux magistrats, Sotiraq K. Se présente comme un sous-traitant cosmétique. Il affirme ne pas être le créateur des logiciels malveillants et déclare avoir uniquement « travaillé comme graphiste » et « amélioré l’apparence visuelle des interfaces utilisées dans les outils incriminés » ^[21]. La stratégie est lisible: couper le lien entre sa main et l’attaque, se positionner en prestataire ignorant la finalité, dissocier le travail visuel du code offensif.

Pourquoi cette défense est juridiquement fragile

Le problème, c’est que le droit français ne fait pas la distinction que tente d’introduire Sotiraq K. L’article 323-3-1 du code pénal, modifié par la loi du 18 décembre 2013 ^[22], punit le fait, sans motif légitime, d’importer, détenir, offrir, céder ou « mettre à disposition » un équipement ou un programme informatique « conçus ou spécialement adaptés » pour commettre les infractions d’atteinte aux systèmes de traitement automatisé de données ^[23]. La création n’est qu’un cas parmi d’autres: la simple mise à disposition suffit. Qu’on ait écrit le code ou repeint l’interface, dès lors qu’on participe à la chaîne de commercialisation d’un outil offensif, on entre dans le périmètre de l’infraction.

C’est précisément la lecture que retient le parquet spécialisé ^[24], qui qualifie Sotiraq K. D’« acteur majeur de la vente de solutions offensives destinées aux hackers » ^[25]. Le contraste est frontal entre la défense - une fonction technique périphérique - et l’accusation - un rôle central dans la diffusion. La peine est calquée sur celle de l’infraction commise par les acheteurs: trois ans et 100 000 € pour une intrusion simple ^[26], cinq ans et 150 000 € en cas d’altération de données ^[27], et jusqu’à sept ans et 300 000 € quand le système visé est un fichier de l’État ^[28] - ce qui correspond à la situation des administrations françaises visées.

Comment fonctionne le marché noir des outils offensifs

Pour comprendre ce que Sotiraq K. Aurait industrialisé, il faut entrer dans la mécanique du « Malware-as-a-Service » (MaaS). Le principe est calqué sur le modèle SaaS de la tech légitime: un développeur produit un outil, le commercialise sous forme d’abonnement ou de licence, fournit support technique et mises à jour, et empoche une rente. Le client n’a plus à coder: il loue une capacité offensive prête à l’emploi.

VenomRAT, identifié dès 2020 ^[29], en est l’archétype. Vendu en Malware-as-a-Service ^[30], il sert de cheval de Troie modulaire: un acteur malveillant l’installe sur une machine cible via une campagne d’hameçonnage ^[31], obtient un accès persistant ^[32], puis télécharge depuis un serveur de commande des charges malveillantes supplémentaires ^[33] - rançongiciels, voleurs d’identifiants, outils génériques offensifs ^[34]. Le même mécanisme commercial vaut pour Rhadamanthys ^[35], infostealer modulaire également vendu en MaaS ^[36], spécialisé dans le vol de cookies, identifiants et portefeuilles de cryptomonnaies ^[37].

Venum, dans la description du parquet, regroupait plusieurs outils ^[6] sous une marque commerciale - exactement la logique de catalogue qui fait la rentabilité du secteur. Avec deux millions d’euros ^[12] sur quatre ans ^[13], la marge implicite de Sotiraq K. Se situe dans la fourchette haute du marché: une clientèle restreinte mais récurrente, qui paie pour la fiabilité, la furtivité ^[38] et le support.

L’angle mort: Venum n’est qu’une brique d’un écosystème démantelé en novembre

Ce que les chroniques judiciaires ne disent pas, c’est que l’arrestation de Sotiraq K. S’inscrit dans une séquence européenne plus large. Dans le cadre de l’opération ENDGAME, lancée en mai 2024 ^[39], de nouvelles actions de démantèlement ont été menées dès la semaine du 3 novembre 2025 ^[40], impliquant les autorités allemandes, danoises, françaises, néerlandaises, américaines, australiennes et britanniques ^[41]. L’ANSSI ^[42] y apporte son soutien pour l’identification des victimes. Les codes ciblés s’appellent VenomRAT ^[43], Rhadamanthys ^[35] et Elysium ^[44]. La similitude de nom avec « Venum » est troublante; les sources consultées ne tranchent pas explicitement le lien, et rien ne permet à ce stade d’affirmer que Venum et VenomRAT désignent la même infrastructure.

Coopération européenne: ce qui a réellement changé

L’extradition de Sotiraq K. En quelques mois - interpellation préalable en Grèce ^[16], remise rapide à la France ^[17] - illustre une mécanique qui s’est rodée. Là où, il y a une décennie, une procédure d’extradition entre États membres pouvait s’étirer sur des années, le mandat d’arrêt européen permet aujourd’hui des remises en semaines. L’opération ENDGAME, qui mobilise simultanément sept pays sur trois continents ^[41] avec le soutien d’Europol ^[45] et d’Eurojust ^[46], traduit une bascule: les enquêtes ne sont plus juxtaposées, elles sont co-instruites.

Le rôle d’Eurojust est ici central: l’agence européenne de coopération judiciaire coordonne les calendriers, synchronise les interpellations - condition de leur efficacité, puisqu’un suspect alerté détruit ses preuves en heures - et arbitre les conflits de compétence territoriale. Europol, de son côté, agrège le renseignement technique. Reste un angle mort: la coopération s’arrête aux frontières de l’Union et de ses partenaires occidentaux. Une part significative des serveurs de commande VenomRAT a historiquement été hébergée dans des juridictions non coopératives, ce qui limite la portée des démantèlements, aussi spectaculaires soient-ils.

Une France qui ramasse les morceaux d’une vague d’attaques

L’enquête arrive dans un contexte saturé. Selon le ministère de l’Intérieur, les atteintes numériques ont augmenté de 74 % ^[47] en cinq ans en France, avec plus de 398 000 ^[48] enregistrées en 2024. L’ANSSI a recensé 4 386 ^[49] événements de sécurité la même année, soit une hausse de 15 % ^[50] par rapport à 2023. La division J3 du tribunal judiciaire de Paris ^[51], spécialisée, a pris en charge 475 ^[52] dossiers en 2025, dont 341 ^[53] concernaient des rançongiciels.

Les cibles publiques s’enchaînent. La Poste a été frappée par deux attaques par déni de service en décembre 2025 ^[54], revendiquées par le groupe prorusse Noname057 ^[55] pour la première. Le ministère de l’Intérieur a annoncé en décembre 2025 avoir été compromis, avec consultation du traitement des antécédents judiciaires (TAJ) et du fichier des personnes recherchées (FPR) ^[56], selon Laurent Nuñez, ministre de l’Intérieur ^[57]. Un homme de 22 ans ^[58] a été mis en examen pour avoir sorti « quelques dizaines de fiches » ^[59].

Le précédent qu’on a oublié: Corbeil-Essonnes

Avant que les ministères ne se découvrent vulnérables, les hôpitaux avaient déjà payé. En 2022, le système informatique de l’hôpital de Corbeil-Essonnes a été paralysé pendant deux mois ^[60]. Ce sont ces attaques-là - rançongiciels déployés via des outils comme ceux que vendrait Sotiraq K. - qui ont fait basculer la doctrine française. Le gouvernement a annoncé le 30 avril 2026 le déblocage de 200 millions d’euros ^[61] pour la cybersécurité.

« Personne n’est assez protégé » ^[62], tranche Frédéric Le Bastard ^[63], créateur d’InterCert ^[63]. Avec la directive NIS2, les entreprises s’exposent d’ici fin 2027 ^[64] à des sanctions financières pouvant atteindre 2 % de leur chiffre d’affaires mondial ^[65] en cas de manquement.

Ce que les sources ne disent pas

Plusieurs questions cruciales restent sans réponse. Quelles administrations précises ont été piratées via Venum? Combien de hackers français figurent dans les fichiers clients de Sotiraq K.? Le parquet a-t-il déjà identifié des acheteurs? Aucune source consultée ne tranche. Le silence judiciaire, classique en phase d’instruction, laisse également ouverte la question du lien technique entre « Venum » et « VenomRAT » - une coïncidence que ni Le Parisien ni le CERT-FR ne commentent publiquement - et celle, déjà soulignée, de l’identité de la société grecque servant de point de rattachement.

► Lire aussi: L'opération ENDGAME et le démantèlement des infrastructures cybercriminelles