Avant sa disparition des radars, les pirates du groupe INC Ransomware revendiquait l’exfiltration de 3,5 To de données de Wall Street English. L’enseigne, présente dans 28 pays, serait confrontée à un chantage à la divulgation de documents d’identité.
Wall Street English, ex-Wall Street Institute, aurait été visé par une cyberattaque revendiquée par le groupe INC Ransomware. Les attaquants affirment avoir extrait 3,5 To de données et exigent une rançon, en publiant des captures d’écran de fichiers pour appuyer leur pression. L’organisation compte plus de 450 centres répartis dans 28 pays et dispose de bureaux internationaux à Barcelone et à Hong Kong, ce qui amplifie le risque réputationnel et réglementaire en cas de fuite. Selon la revendication, les données compromises incluraient des documents d’identification personnelle, des passeports et des informations liées à l’inscription des étudiants. Sauf que… INC ransomware a disparu des radars.
Une revendication à 3,5 To, et un chantage calibré
Le scénario est désormais classique, mais l’échelle annoncée visait à frapper les esprits. Wall Street English, académie internationale d’apprentissage de l’anglais connue auparavant sous le nom de Wall Street Institute, aurait été ciblée par une opération attribuée au groupe INC Ransomware. Les auteurs revendiquent une exfiltration de 3,5 To de données, et ne s’arrêtent pas à l’affirmation. Ils ont publié le 24 décembre 2025 une demande de rançon assortie de captures d’écran, un geste pensé pour transformer une menace abstraite en preuve visuelle, et pour pousser la direction à engager le dialogue afin d’éviter une divulgation plus large. Bref. Classique.
Ce point est central dans les stratégies actuelles d’extorsion. La rançon n’est pas seulement un prix de déchiffrement, c’est un levier de réputation. Le message adressé à la direction, tel qu’il est rapporté ici, consiste à promettre une « fuite mondiale » si les exigences ne sont pas respectées. Dans une entreprise dont l’activité repose sur la confiance, l’inscription et la gestion de publics variés, la simple possibilité d’une exposition massive suffit à créer une tension immédiate, même avant toute confirmation indépendante.
La présence internationale de Wall Street English nourrit cette pression. L’organisation revendique plus de 450 centres dans 28 pays, avec des bureaux internationaux identifiés à Barcelone, en Espagne, et à Hong Kong. Ce maillage change la nature du risque : plus il y a de juridictions, plus la gestion d’un incident devient une course de fond, entre communication, obligations potentielles de notification, et inquiétudes des publics concernés. Pour les attaquants, cette complexité est un multiplicateur de stress, donc un argument de négociation.
À ce stade, les éléments disponibles relèvent d’une revendication criminelle. L’intérêt journalistique, côté cyber, est ailleurs : dans la manière dont l’opération est présentée et vendue, et le fait que le groupe a disparu des radars le 10 janvier. Plus aucun site ne fonctionne, sauf la page contact.
Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.
Fuites de données, Veille web & dark web, alertes et priorisation des risques. |
Dédiée aux entreprises, institutions et particuliers. A PARTIR DE 0,06€ PAR JOUR
|
Des documents d’identité en ligne de mire, un risque durable
Selon les pirates, les données compromises contiendraient des documents d’identification personnelle, notamment des permis de séjour et des cartes nationales d’identité. Il affirme également détenir des passeports, ainsi que des informations relatives à l’inscription des étudiants. Si cette description correspond à la réalité, la nature des données évoquées est particulièrement sensible, car elle ne se limite pas à des coordonnées. Les pièces d’identité ouvrent la porte à des risques persistants, usurpation d’identité, fraude documentaire, et ciblage plus fin par ingénierie sociale.
Dans les attaques par rançongiciel, l’exfiltration de données personnelles a une fonction précise : elle permet d’exercer un chantage sans dépendre du chiffrement. Même si les opérations internes se rétablissent, l’arme principale reste la menace de publication. Les documents cités, permis, cartes d’identité, passeports, sont des pièces difficiles à “révoquer”. Ils peuvent resservir dans le temps, bien au-delà de la fenêtre médiatique initiale. Les informations d’inscription, elles, peuvent fournir un contexte utile aux escrocs, identités, statuts administratifs, parcours, et éléments suffisants pour bâtir des scénarios crédibles d’hameçonnage.
Le caractère international de l’enseigne accentue encore ce risque. Une population d’étudiants répartie dans de multiples pays implique une diversité de langues, de normes, et d’habitudes numériques. Pour un acteur malveillant, cela offre un terrain large pour des campagnes opportunistes, faux messages d’assistance, fausses mises à jour de compte, ou prétendus contrôles d’identité, en s’appuyant sur des détails authentiques issus des fichiers volés. C’est l’un des paradoxes de la mondialisation numérique : elle facilite l’accès, mais elle élargit aussi la surface d’impact quand les données circulent.
Les captures d’écran mentionnées jouent enfin un rôle psychologique. Elles visent autant les dirigeants que les victimes potentielles : elles créent l’impression que « tout est déjà dehors », même si la fuite complète n’a pas eu lieu. Dans ce type de crise, la différence entre preuve partielle et publication totale devient la ligne de crête où se joue la réponse, technique, juridique et communicationnelle.
En cyber-renseignement, l’indicateur clé n’est pas seulement le volume annoncé, mais le type de données brandies, car ce sont elles qui déterminent la capacité de nuisance à long terme. Maintenant à savoir où sont passés les données et les pirates !
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
