Lorsqu'un analyste en cybersécurité cherche les mots « carte de crédit » ou « compte bancaire » sur un forum clandestin, il pourrait ne rien trouver — non pas parce que la menace n'existe pas, mais parce que les criminels écrivent depuis longtemps 💳 et 🏦. C'est précisément ce qu'ont découvert les chercheurs de Flashpoint dans un nouveau rapport sur le langage des communautés illégales en ligne.
Ce qui se passe sur les plateformes clandestines
L'activité des cybercriminels se concentre de plus en plus sur des plateformes rapides et informelles — Telegram, Discord et les forums fermés. Là, la vitesse et la concision importent davantage que la conspiration au sens classique. Les émojis permettent aux participants de scanner instantanément les messages, de comprendre l'essentiel et de réagir sans longues explications textuelles.
Selon Flashpoint, les symboles remplacent les concepts clés relatifs aux fraudes, aux opérations financières et aux plates-formes ou services spécifiques. Par exemple, 💳 à la place de « credit card », 🏦 à la place de « bank ». Les filtres standard, configurés pour rechercher des déclencheurs textuels, ne « voient » simplement pas ces symboles.
« Le remplacement des mots par des émojis, combiné à l'argot, aux abréviations et aux phrases multilingues, crée une forme multicouche d'obfuscation qui complique la surveillance à grande échelle ».
Flashpoint, rapport « The Language of Emojis in Threat Intelligence »
Deux dimensions d'un même schéma
Les chercheurs identifient deux vecteurs parallèles d'utilisation des émojis dans le milieu criminel :
- Contournement de la modération automatique. Les systèmes de sécurité orientés vers le texte ASCII et les mots clés ne reconnaissent pas les symboles Unicode comme une menace. Cela s'applique aussi bien aux filtres des plates-formes qu'aux solutions de surveillance des menaces des entreprises.
- Coordination internationale. Comme le note Flashpoint, tous les participants aux communautés illégales ne maîtrisent pas bien l'anglais. Les émojis fonctionnent comme une langue sans frontières — ils permettent de communiquer rapidement le sens entre les participants de différents pays sans traduction.
Plus profond que la substitution de mots
Un niveau distinct — le soi-disant emoji smuggling (« contrebande » par émojis). Il s'agit d'une attaque plus technique : les criminels intègrent du code malveillant ou des commandes dans des séquences Unicode accompagnant les émojis. Le résultat ressemble à un symbole ordinaire, mais porte une charge cachée.
Les chercheurs de Mindgard et FireTail ont établi que ces techniques — le codage par émojis et les symboles de largeur nulle — permettent de contourner les filtres de protection des grands modèles de langage avec un taux de succès approchant les 100%. Cela signifie : même les systèmes d'IA sur lesquels les entreprises s'appuient pour filtrer le contenu sont vulnérables.
En outre, selon Flashpoint, les criminels utilisent des schémas stables dans le choix des émojis — cela permet aux analystes de reconnaître des acteurs spécifiques au fil du temps, même s'ils changent de pseudonymes. La signature des symboles est plus stable qu'ils ne le pensent.
Le point faible de la protection
Le problème ne concerne pas seulement les grandes entreprises. Les solutions de cybersécurité pour les petites et moyennes entreprises — antivirus, filtres de messagerie, systèmes de détection d'intrusion — ont été conçus pour les menaces connues sous forme textuelle. Pour l'emoji smuggling, les signatures d'attaque n'existent tout simplement pas encore. La protection cherche au mauvais endroit.
Flashpoint recommande aux analystes de passer à la recherche Unicode-aware : leur plate-forme permet déjà de chercher des émojis à côté des mots clés pour détecter les conversations qui resteraient autrement invisibles.
La question est ailleurs : si les criminels ont déjà développé des « dictionnaires d'émojis » stables pour des communautés spécifiques, les systèmes de surveillance pourront-ils suivre leur évolution — ou chaque nouvelle vague d'argot réinitialise-t-elle le compteur à zéro ?
