Trois spécialistes américains de la cybersécurité sont accusés d’avoir utilisé le ransomware BlackCat pour attaquer cinq entreprises, détournant leur expertise en réponse à incident à des fins criminelles.
Aux États-Unis, trois professionnels de la cybersécurité, dont deux employés de sociétés spécialisées dans la réponse à incident et la négociation de rançons (sic!) ont été inculpés pour avoir mené leurs propres attaques de ransomware à l’aide du malware ALPHV/BlackCat. Selon les procureurs fédéraux, ils auraient ciblé cinq entreprises entre mai 2023 et avril 2025, extorquant près de 1,3 million de dollars à une société médicale basée en Floride. L’affaire, révélée par le Chicago Sun-Times, met en lumière une dérive inquiétante : l’utilisation de compétences en cybersécurité pour mener des attaques internes, brouillant la frontière entre défenseurs et cybercriminels.
Des experts devenus agresseurs
Mes élèves le savent dès notre première rencontre : les métiers de la cybersécurité sont aussi nombreux que les pommes sur un pommier en été, et le secteur est passionnant. Mais, comme partout, il existe toujours quelques brebis galeuses.
La toute première heure des quarante que nous passons ensemble est toujours consacrée à l’éthique, aux droits et aux devoirs. C’est là que je raconte quelques histoires vraies, celles qui marquent les esprits : cet ancien responsable cybersécurité licencié, revenu quelques semaines plus tard dans les serveurs de son ex-employeur avec un ransomware ; ou encore cette entreprise française qui, en voulant « négocier » avec des pirates, s’est tellement approchée du danger que la justice a hésité à trancher entre le bien et le mal. Bilan, 5 ans d’interdiction d’exercer dans la profession !
Bref, basculer du côté obscur de la force n’est jamais impossible pour les esprits les plus fragiles.
Selon les documents judiciaires du tribunal du district sud de la Floride, Ryan Clifford Goldberg et Kevin Tyler Martin, accompagnés d’un complice non identifié, ont utilisé le ransomware ALPHV, connu sous le nom de BlackCat, à partir de mai 2023. Goldberg, alors responsable de la réponse aux incidents chez Sygnia, et Martin, négociateur de rançons pour DigitalMint, auraient abusé de leurs fonctions pour orchestrer ces attaques (reSic!). Leur complice, également employé de DigitalMint, aurait obtenu un compte d’affilié sur la plateforme BlackCat, leur permettant de lancer des campagnes ciblées.
Les procureurs affirment que les trois hommes ont mené leurs opérations entre mai 2023 et avril 2025. Les victimes identifiées incluent une entreprise médicale de Floride, une société pharmaceutique du Maryland, un cabinet médical californien, une entreprise d’ingénierie de Californie et un fabricant de drones en Virginie.
Un schéma d’extorsion inspiré des cybercriminels professionnels
En mai 2023, la société médicale de Floride aurait versé près de 1,3 million de dollars (environ 1,2 million d’euros) pour récupérer ses données, selon les procureurs. Les autres cibles n’auraient pas cédé aux menaces. Goldberg aurait reconnu devant le FBI avoir rejoint le projet pour « se désendetter », admettant avoir reçu environ 200 000 dollars (environ 186 000 euros) de cette opération.
Les procureurs fédéraux ont retenu plusieurs chefs d’accusation : complot en vue d’entraver le commerce par extorsion, entrave au commerce par extorsion et dommages intentionnels à un ordinateur protégé. Martin a été arrêté le 14 octobre 2025 et libéré dix jours plus tard sous caution de 400 000 dollars (372 000 euros), avec interdiction d’exercer toute activité liée à la cybersécurité.
Goldberg, arrêté le 22 septembre 2025 après avoir été expulsé du Mexique, reste détenu. Il aurait quitté les États-Unis avec son épouse pour l’Europe avant son arrestation, alimentant les soupçons de fuite.
Répercussions pour Sygnia et DigitalMint
Sygnia a confirmé l’emploi de Goldberg, précisant qu’il avait été licencié dès la découverte des faits. DigitalMint a, de son côté, reconnu l’inculpation d’un ancien employé, sans préciser les circonstances de son départ. L’entreprise a assuré que les faits s’étaient déroulés « en dehors de son infrastructure » et que « aucune donnée client » n’avait été compromise. Les deux sociétés ont cherché à limiter les dommages réputationnels, dans un contexte où la confiance des clients repose sur la probité des équipes de cybersécurité.
Le ransomware ALPHV/BlackCat, apparu fin 2021, est lié à de nombreuses attaques contre des infrastructures critiques et des établissements de santé. Le groupe derrière ce logiciel malveillant a notamment revendiqué l’attaque contre Change Healthcare, filiale d’UnitedHealth Group, qui a payé une rançon de 22 millions de dollars (20,4 millions d’euros). Cette attaque reste la plus importante violation de données de santé jamais enregistrée aux États-Unis, avec près de 190 millions de personnes touchées.
Cette affaire illustre un paradoxe inquiétant : des professionnels de la cybersécurité retournant leurs compétences contre les entreprises qu’ils étaient censés protéger. Elle soulève une question cruciale : comment les sociétés peuvent-elles renforcer la surveillance interne pour prévenir les dérives de leurs propres experts ?
Les demandes de rançon varient, allant de 300 000 dollars à 5 millions selon les cibles. Au-delà des montants, les autorités soulignent l’impact sur les activités commerciales, la perte de propriété intellectuelle et les risques encourus pour les données médicales. Les chefs d’inculpation reposent sur trois axes juridiques comme nous venons de le voir : complot pour extorsion, extorsion affectant le commerce inter-États et atteinte intentionnelle à un système informatique protégé. Chacun des deux suspects encourt jusqu’à 20 ans de prison pour les charges liées à l’extorsion et 10 ans supplémentaires pour les dommages causés aux systèmes informatiques. Cette affaire illustre une tendance nette : la justice américaine vise désormais autant les développeurs que les affiliés, bras opérationnels des campagnes de ransomwares. Le message est pragmatique : la chaîne économique du ransomware doit être attaquée à tous les niveaux. C’est d’ailleurs pour cela que le FBI a mis en place une « équipe » un peu particulière de chasseurs de pirates, le 78 Group.
A noter que les autorités ont mis fin aux agissements d’un autre « pirate » en octobre 2025. Il se faisait passer pour ALPHV, BlackCat, ShinyHunters, Spider, Etc. et revendait (ou arnaquait) des internautes avides de données copiées/piratées.
