Douze jours avant une diffusion annoncée, les criminels du groupe BRAVOX revendique des volumes massifs de documents « très sensibles » liés à des professions réglementées. Derrière le vernis moral, une mécanique de pression et de renseignement devenue monnaie courante chez les pirates.
Les pirates informatiques du groupe BRAVOX se présente comme une nouvelle plateforme de fuites issue « d’opérations ciblées » contre des entreprises jugées vulnérables. Le groupe affirme détenir, pour l’Ordre des experts-comptables de Bretagne, 46 000 dossiers, 369 000 fichiers et 859 GB de documents, dont certains « très sensibles« , avec une fenêtre de 12 jours avant publication. Un cabinet d’avocats français, figure aussi parmi les menaces, avec 50 000 dossiers, 669 000 fichiers et 463 GB. BRAVOX expose une charte interne, promettant confidentialité des négociations, preuve de possession, et une « chance de récupérer » après paiement. Pour être très honnête, vue comment les pirates ont trillé les échantillons, il y a 100% de chance que les informations, même rendues à leurs propriétaires soient exploitées dans d’autres malveillances.
Une cible à forte valeur informationnelle, pas seulement financière
L’Ordre des experts-comptables de Bretagne encadre et représente des professionnels du chiffre à l’échelle régionale, de l’inscription au tableau jusqu’à la retraite. Dans la description associée à la menace, son rôle est détaillé : formation, tenue de registres officiels, application de règles déontologiques, lutte contre l’exercice illégal. Ce périmètre dessine, par nature, un gisement documentaire à haute densité de renseignements : identités, parcours, éléments administratifs, échanges internes, pièces justificatives. Le cyber criminel BRAVOX affirme précisément un inventaire volumétrique, 46 000 dossiers, 369 000 fichiers, 859 GB, et insiste sur la sensibilité des contenus. La temporalité annoncée, « 12 jours avant diffusion », fonctionne comme un compte à rebours, un levier psychologique classique, où l’urgence remplace la vérification sereine. le Service veille ZATAZ garde une surveillance serrée sur ce groupe (comme des centaines d’autres), plusieurs clients partenaires du SVZ Bretons pourraient être concernés indirectement (Nous travaillons sur les signaux forts, comme les signaux faibles).
Dans la même séquence, un second acteur français est cité : un cabinet d’avocats pluridisciplinaire intervenant en arbitrage, droit des sociétés, immobilier, technologie, droit médical, et accompagnement transnational. Là encore, la valeur cyber-renseignement ne se limite pas aux données personnelles. Un cabinet d’avocats concentre des stratégies de contentieux, des arbitrages, des documents de transaction, des échanges avec des clients, parfois des informations sur des opérations à venir. BRAVOX annonce 50 000 dossiers, 669 000 fichiers, 463 GB, ce qui suggère, à leurs yeux, une matière exploitable en pression, en revente ou en influence. Et comme je vous l’expliquais plus haut, le tri des échantillons ne laisse aucun doute sur l’exploitation des informations par ces cyber criminels. Le premier document concerne un important média français !
Le groupe a déjà 12 victimes, majoritairement USA, dont deux non encore pubique. Cette mention construit un récit de campagne, avec une logique de portefeuille, et place les deux organisations françaises dans un ensemble plus large. J’affirme qu’il y avait une troisiéme société dans les informations affichées par les pirates. Un second cabinet d’avocats français (piraté le 11/02) et qui depuis a disparu des comptes à rebours. Ont-ils payé ?
En filigrane, une question de renseignement se pose : la sélection des cibles obéit-elle à l’opportunité technique, à la valeur des secrets, ou à l’effet médiatique recherché par une nouvelle « marque » criminelle ? Parce que des nouveaux groupes, j’en ai jamais vu autant apparaitre que depuis ce début d’année. Pas moins de … 27, dont 0APT et leur nouvelle forme de chantage mythomane !
Charte « éthique » et recrutement, la mise en scène d’un rançongiciel modernisé
BRAVOX publie une liste de principes, qui ressemble à un code d’honneur. Le texte annonce notamment : « No attacks against CIS countries », « Every target receives proof » (rendre la menace crédible et pousser la victime à négocier vite.), « We provide a chance to recover » (Une porte de sortie ! Ca rassure pour inciter à payer, sans garantie réelle), « Negotiations are in total shadow » (ils exigent des discussions secrètes, sans alerter publiquement, sans communiquer à des tiers, et sans laisser fuiter d’éléments. Une page plus tard… ils affichent eux même la menace et le compte à rebours.), « No violence » (Etonnant commentaire des pirates. Ils se présentent comme non violents, en opposant leur méthode (l’information) à la menace physique. C’est une manière de se donner une image acceptable et de distinguer leur extorsion d’autres formes de criminalité. », « We do not play politics » (ils prétendent ne pas agir pour des causes politiques, uniquement pour l’argent).
Bref, une rhétorique est calibrée pour normaliser l’extorsion en la présentant comme un service encadré, presque contractuel. En pratique, ces phrases servent surtout à réduire l’incertitude côté victime, à soutenir la crédibilité de la menace, et à créer une façade de “prévisibilité” dans un rapport de force. La promesse de “preuve” vise à accélérer la décision, la promesse de négociation “dans l’ombre” vise à empêcher l’alerte publique, et la promesse de restitution “après paiement” vise à rendre le paiement rationnel, même quand il ne garantit rien.
La CEI, c’est la Communauté des États indépendants, un ensemble d’États issus de l’ex-URSS. Dans ce type de charte de groupes criminels, ça sert surtout à poser une règle interne : ne pas viser des organisations situées dans ces pays, souvent par affinité linguistique et culturelle, par souci d’éviter des ennuis locaux, ou parce que l’écosystème cybercriminel de la région impose ce genre de ligne rouge. À noter : c’est une déclaration d’intention, pas une garantie. Des victimes peuvent malgré tout se retrouver touchées indirectement (filiales, prestataires, infrastructure partagée), ou être visées en dehors de leur pays d’enregistrement. Et certains pirates affichent ce « détail » pour tenter de faire croire qu’ils vivent de ce côté de la planête !
Le dispositif s’étend au recrutement, avec des critères qui, là aussi, relèvent de la démonstration de puissance : fournir des données exfiltrées d’une cible au chiffre d’affaires d’au moins 5 millions de dollars, déposer 5 000$, ou présenter des recommandations (LockBit ou encore CONTI imposé ce genre de détails… tout comme le FBI dans des infiltrations).
Dit autrement, cette team cherche à industrialiser une chaîne : intrusion, extraction, tri, mise en vitrine. BRAVOX revendique même une posture éditoriale : « For journalists and researchers: primary, unprocessed data« , en promettant correspondances, contrats, rapports financiers, « everything needed for a full investigation« . Là se situe le point cyber-intelligence le plus inquiétant : transformer une fuite en matière première, non filtrée, destinée à produire des enquêtes, donc de l’impact, donc davantage de pression sur les victimes et d’attractivité pour la plateforme.
Ce mélange, code moral, marketing de la preuve, appel à partenaires, et promesse de “secrets corporate” aux journalistes, dessine une stratégie d’influence : se faire passer pour un observateur de la cybersécurité, tout en restant un acteur d’extorsion. Les organisations visées ne font alors pas face à une simple divulgation, mais à une opération où la donnée devient arme, monnaie d’échange et outil de réputation.
La vraie bataille, côté cyber renseignement, se joue sur la maîtrise du récit autant que sur la maîtrise des fichiers.
