Imaginez un instant : vous êtes une entreprise victime d’un ransomware. Vos fichiers sont chiffrés, une note de rançon s’affiche… et vous décidez, avec les autorités et les experts en cybersécurité, de couper la tête de l’hydre en neutralisant ses serveurs de commande. Sauf que cette fois, il n’y a plus de tête. Ou plutôt : la tête se trouve dispersée sur des milliers de nœuds blockchain à travers le monde, impossible à éteindre. Bienvenue dans la nouvelle ère des ransomwares qui exploitent… Polygon.
En janvier 2026, les chercheurs de Group-IB ont levé un coin du voile sur une souche ransomware encore peu médiatisée appelée DeadLock. Ce qui rend cette découverte troublante, ce n’est pas tant le volume d’attaques (encore modeste), mais la méthode employée : utiliser la blockchain Polygon comme un carnet d’adresses vivant et inamovible pour piloter les infections. Une prouesse technique à bas coût qui pourrait inspirer de bien plus gros poissons.
Quand la blockchain devient l’alliée inattendue des cybercriminels
Polygon, anciennement MATIC, est surtout connue comme une solution de layer-2 économique pour Ethereum. Mais pour DeadLock, c’est bien plus : un emplacement public, immuable, distribué et gratuit (en lecture) pour stocker la précieuse information qui permet à un malware de retrouver ses maîtres malgré les blocages répétés.
Le principe de base : des proxies cachés sur la chaîne
Le ransomware DeadLock, repéré pour la première fois en juillet 2025, ne contient pas d’adresse IP fixe ni de domaine en dur. À la place, après avoir chiffré les fichiers de la victime, il exécute un bout de code qui va simplement… lire un smart contract précis sur Polygon.
Dans ce contrat se trouve une simple donnée : l’adresse IP ou le domaine actuel du proxy (ou d’une chaîne de proxies) qui fait office de relais entre la victime et les opérateurs. Pas besoin d’émettre de transaction, pas de frais de gas, juste une requête en lecture. Le tour est joué.
Ce que cela change concrètement :
- Les défenseurs ne peuvent plus bloquer une IP ou un domaine unique.
- Les attaquants changent l’adresse proxy en une seule transaction depuis n’importe quel wallet anonyme.
- La donnée reste disponible 24h/24 sur tous les nœuds Polygon de la planète.
- Coût quasi nul pour les criminels (quelques centimes pour updater le contrat).
Cette approche rappelle les anciennes techniques d’« EtherHiding » où des malwares cachaient du code ou des configurations dans des smart contracts Ethereum. DeadLock va plus loin en l’utilisant spécifiquement pour la résilience de l’infrastructure C2.
DeadLock : discret mais dangereux
Contrairement à LockBit, BlackCat ou Conti, DeadLock n’a pas (encore) de site de fuite public ni d’affiliés massifs. Les victimes confirmées restent peu nombreuses d’après Group-IB. Pourtant, c’est précisément cette discrétion qui inquiète.
Quand un groupe reste sous le radar, il affine ses techniques sans attirer l’attention des forces de l’ordre ni des médias. Une fois la recette maîtrisée, il suffit de la vendre sur les forums underground ou de la dupliquer pour multiplier les campagnes.
« Ce n’est pas l’ampleur actuelle qui est préoccupante, c’est le potentiel de réutilisation massive par d’autres acteurs plus agressifs. »
Analyste senior Group-IB
Les smart contracts incriminés ont été déployés ou mis à jour entre août et novembre 2025. Leur activité reste sporadique, mais la preuve de concept est là.
Pourquoi Polygon plutôt qu’Ethereum ou Solana ?
Polygon présente plusieurs avantages pour ce type d’abus :
- Frais extrêmement bas (souvent < 0,01 $ par écriture)
- Temps de confirmation rapide
- Écosystème très actif et grande disponibilité des nœuds
- Moins scruté que le mainnet Ethereum par les outils de monitoring AML et cybersécurité
- Grande quantité de contrats déjà existants, ce qui dilue les signatures malveillantes
À l’inverse, un attaquant qui utiliserait Solana devrait gérer des frais plus volatils et un réseau parfois instable. Bitcoin est évidemment hors sujet pour ce genre de smart contract.
Pas de faille technique exploitée
Important : les chercheurs insistent sur un point. DeadLock n’exploite aucune vulnérabilité de Polygon. Il n’attaque ni les validateurs, ni les ponts, ni les protocoles DeFi. Il se contente d’utiliser une fonctionnalité normale et publique de la blockchain : la possibilité de stocker et lire des données de manière immuable et décentralisée.
C’est précisément cette légitimité qui rend la défense si compliquée. On ne peut pas demander à Polygon Foundation de censurer un contrat qui ne fait que stocker une chaîne de caractères.
Questions que tout le monde se pose :
- Polygon peut-il détecter et marquer ces contrats ?
- Les outils EDR/XDR peuvent-ils bloquer les requêtes vers des adresses Polygon spécifiques ?
- Les navigateurs ou systèmes d’exploitation pourraient-ils filtrer les RPC Polygon utilisés par les ransomwares ?
- Est-ce que les assurances cyber vont commencer à exiger une analyse blockchain des IOC ?
Les implications pour l’écosystème crypto
Cette affaire ravive un débat qui n’a jamais vraiment disparu : la neutralité et l’immuabilité des blockchains publiques sont-elles compatibles avec la lutte contre le crime organisé ?
Polygon n’est pas responsable, mais chaque nouvelle utilisation criminelle alimente le narratif « crypto = refuge pour criminels ». À terme, cela peut justifier des régulations plus dures, des filtrages de RPC publics, voire des pressions sur les fondations pour implémenter des mécanismes de gel ou de blacklistage au niveau protocole.
Paradoxalement, c’est aussi une démonstration de la puissance de la décentralisation : même avec la meilleure volonté du monde, il est extrêmement difficile de faire disparaître une donnée une fois qu’elle est inscrite sur une blockchain publique.
Comment les entreprises peuvent-elles se protéger ?
Malgré la résilience accrue de l’infrastructure C2, les points d’entrée classiques restent les mêmes :
- Sauvegardes offline et testées régulièrement
- Segmentation réseau stricte
- Mises à jour et patch management rigoureux
- Formation anti-phishing poussée
- Surveillance des processus qui font des requêtes HTTP/HTTPS vers des nœuds Polygon inhabituels
- Utilisation de solutions EDR capables de détecter les appels vers des RPC Web3
Les outils de threat intelligence commencent également à intégrer des IOC de type blockchain : adresses de smart contracts, hashes de transactions, etc.
Vers une course aux armements blockchain ?
DeadLock n’est probablement que la première souche publique à utiliser cette technique de manière opérationnelle. D’autres suivront, avec des variantes :
- Utilisation de plusieurs contrats en redondance
- Chiffrement des adresses proxy avant stockage
- Rotation automatique via un oracle ou un keeper
- Stockage sur d’autres chains (Arbitrum, Base, Optimism…)
- Utilisation de zero-knowledge proofs pour masquer le contenu tout en permettant la lecture par le malware
De leur côté, les forces de défense vont devoir apprendre à « penser blockchain » : monitorer les déploiements de contrats suspects, suivre les wallets qui les mettent à jour, corréler avec des campagnes ransomware connues.
Conclusion : une alerte, pas une panique
Pour l’instant, DeadLock reste un acteur de faible volume. Mais la technique qu’il démontre est reproductible à l’infini, peu coûteuse et particulièrement résistante aux contre-mesures classiques.
Elle rappelle brutalement que la blockchain, outil formidable d’émancipation financière, est aussi une technologie neutre : elle sert aussi bien à transférer de la valeur légitime qu’à rendre quasi indestructible l’infrastructure d’un groupe criminel.
Entreprises, forces de l’ordre, développeurs blockchain… personne n’est encore prêt à affronter sereinement cette nouvelle génération de menaces hybrides. 2026 pourrait bien marquer le début d’une ère où la lutte anti-ransomware se joue aussi… sur la chaîne.
Et vous, pensez-vous que les blockchains publiques finiront par intégrer des mécanismes de modération ciblée contre les usages criminels avérés ? Ou est-ce le prix à payer pour une vraie décentralisation ?
