Menace interne : deux experts cybersécurité arrêtés pour avoir orchestré des attaques BlackCat. Comment ont-ils piégé leurs propres clients pour s’enrichir ?
TL;DR : L’essentiel
- Un gestionnaire de réponse aux incidents et un négociateur de rançongiciels ont reconnu avoir détourné leurs compétences pour extorquer des entreprises américaines en 2023. Au lieu de neutraliser les menaces, ils utilisaient leur accès privilégié pour déployer des attaques chiffrées.
- L’opération ciblait des secteurs sensibles, notamment un fabricant de dispositifs médicaux contraint de verser près de 1.3 million de dollars en cryptomonnaies. Les assaillants exigeaient initialement 10 millions de dollars pour déverrouiller les serveurs, illustrant une stratégie de pression financière agressive.
- Traqué par le FBI après la perquisition du domicile d’un complice, l’un des accusés a tenté de fuir vers Paris avec son épouse. Il a finalement avoué avoir blanchi les fonds volés via des mixeurs de cryptomonnaies pour éponger des dettes personnelles.
- Les deux professionnels risquent désormais jusqu’à 20 ans de prison fédérale pour complot d’extorsion et entrave au commerce. Cette affaire souligne les risques liés à la menace interne, poussant les autorités à recommander une vigilance accrue lors du recrutement d’experts tiers.
C’est le scénario cauchemar pour toute direction des systèmes d’information : découvrir que les gardiens du temple sont en réalité les pilleurs. L’affaire, qui vient de connaître un tournant judiciaire aux États-Unis, met en lumière une dérive inquiétante où l’expertise technique, censée être un rempart, devient une arme offensive. Deux professionnels du secteur, dont les rôles consistaient précisément à gérer des crises et négocier avec des pirates, ont basculé dans la criminalité organisée en exploitant l’une des franchises de ransomware les plus redoutables du marché.
BlackCat : Une infrastructure détournée pour l’extorsion ciblée
L’opération reposait sur l’utilisation du modèle « Ransomware-as-a-Service » (RaaS) du groupe ALPHV/BlackCat. Selon les éléments du dossier relayés par The Verge, les accusés n’ont pas simplement agi comme des opportunistes, mais comme des affiliés structurés, reversant environ 20 % des gains aux développeurs du logiciel malveillant. Leur campagne, active d’avril à décembre 2023, visait spécifiquement des entités américaines aux profils variés, allant d’un cabinet médical en Californie à un fabricant de drones basé en Virginie, en passant par une société d’ingénierie.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
La mécanique de l’attaque était implacable : après avoir infiltré les réseaux, le trio chiffrait les données sensibles et exigeait des sommes colossales. Le cas le plus marquant reste celui d’une entreprise de dispositifs médicaux, sommée de payer 10 millions de dollars pour récupérer l’accès à ses serveurs vitaux. Bien que la victime n’ait finalement cédé « que » 1,27 million de dollars en Bitcoin, cette somme a suffi à motiver la poursuite des opérations contre d’autres cibles, bien que ces dernières aient refusé de passer à la caisse.
La cupidité transforme les défenseurs en prédateurs
Le profil des auteurs confère à ce dossier une gravité particulière. L’un officiait comme gestionnaire de réponse aux incidents, tandis que l’autre travaillait comme négociateur de rançongiciels pour une autre entreprise. Comme le détaille Security Affairs, ces individus possédaient une connaissance intime des protocoles de sécurité et des faiblesses des entreprises, un savoir qu’ils ont retourné contre leurs victimes. Le mobile avancé par l’ancien gestionnaire d’incidents est purement financier : acculé par des dettes, il aurait été recruté pour « rançonner quelques entreprises » afin de se renflouer.
La dimension humaine de cette traque révèle également la panique qui a saisi les criminels. Après avoir appris que le FBI avait effectué une descente chez l’un de ses co-conspirateurs, l’autre ex-employé a précipitamment acheté des billets d’avion pour fuir à Paris avec sa femme, espérant échapper à la justice américaine. Sa tentative s’est soldée par des aveux complets, expliquant notamment comment il blanchissait l’argent sale à travers des portefeuilles numériques et des « mixeurs » pour brouiller les pistes, une technique classique de l’écosystème cybercriminel qu’il était censé combattre.
Face à la gravité des faits, la justice américaine se montre intransigeante. Les accusés, qui feront face à leur sentence en mars 2026, encourent de lourdes peines de prison. Cette affaire rappelle brutalement aux entreprises la nécessité de maintenir une surveillance continue sur les prestations externalisées et leurs mandataires. La confiance aveugle envers les tiers, même certifiés experts, demeure une faille potentielle que l’appât du gain peut tordre à tout moment.
FAQ : Comprendre les concepts clés
Qu’est-ce que le ransomware BlackCat ?
BlackCat (aussi connu sous le nom d’ALPHV) est une souche de rançongiciel sophistiquée apparue fin 2021. Écrite en langage Rust, elle se distingue par sa capacité à cibler différents systèmes d’exploitation (Windows, Linux, VMWare). Ce groupe est connu pour pratiquer la « double extorsion » : il ne se contente pas de chiffrer les données, il menace aussi de les publier si la rançon n’est pas payée.
Comment fonctionne le modèle « Ransomware-as-a-Service » (RaaS) ?
Le RaaS est un modèle économique criminel fonctionnant comme une franchise. Des développeurs créent le logiciel malveillant (le produit) et le louent à des affiliés (les attaquants). Les affiliés se chargent de l’intrusion et de l’attaque, puis partagent les gains avec les développeurs. C’est ce modèle qui a permis aux deux experts de cette affaire de déployer des attaques puissantes sans avoir à créer le virus eux-mêmes.
En quoi consiste la réponse aux incidents ?
La réponse aux incidents est une approche organisée pour gérer les conséquences d’une cyberattaque. Elle comprend plusieurs phases : la préparation, la détection, le confinement, l’éradication de la menace et la récupération des systèmes. Ironiquement, c’était le métier de l’un des accusés : son rôle était censé être de stopper les hémorragies numériques, pas de les provoquer.
Des serveurs, des API et du temps.
DCOD est bénévole, mais l'hébergement a un coût. Participez aux frais techniques.
