Deux anciens professionnels de la cybersécurité américains ont plaidé coupable pour leur rôle d'affiliés du ransomware BlackCat/ALPHV. Ils risquent 20 ans de prison.
En bref
- Deux anciens professionnels de la cybersécurité américains ont plaidé coupable pour leur participation aux attaques du ransomware BlackCat/ALPHV.
- Ryan Goldberg (ex-Sygnia) et Kevin Martin (ex-DigitalMint) ont ciblé plusieurs entreprises américaines entre mai et novembre 2023.
- Ils risquent jusqu'à 20 ans de prison chacun, un signal fort contre les menaces internes dans le secteur cyber.
Ce qui s'est passé
Ryan Clifford Goldberg, 33 ans, ancien responsable de la réponse aux incidents chez Sygnia, et Kevin Tyler Martin, 28 ans, ancien négociateur de rançons chez DigitalMint, ont plaidé coupable de conspiration en vue d'extorsion devant un tribunal fédéral américain. Les deux hommes opéraient comme affiliés du groupe de ransomware BlackCat (aussi connu sous le nom ALPHV), l'un des gangs de rançongiciels les plus prolifiques de ces dernières années, selon BleepingComputer et SecurityWeek.
Entre mai et novembre 2023, Goldberg et Martin, accompagnés d'un troisième complice, ont compromis les réseaux de plusieurs entreprises américaines. Ils reversaient 20 % des rançons obtenues aux opérateurs de BlackCat en échange de l'accès à la plateforme de ransomware et aux outils d'extorsion. L'ironie est saisissante : Goldberg était censé aider les entreprises à se remettre d'attaques par ransomware dans le cadre de son travail chez Sygnia, tandis que Martin négociait des paiements de rançon pour le compte de victimes chez DigitalMint.
Goldberg est en détention fédérale depuis septembre 2023. Les deux accusés risquent jusqu'à 20 ans de prison. Cette affaire met en lumière le risque posé par les professionnels ayant accès aux systèmes les plus sensibles de leurs clients et une connaissance intime des défenses en place.
Pourquoi c'est important
Cette affaire illustre un angle mort majeur de la cybersécurité : la menace interne provenant de professionnels de confiance. Les entreprises de réponse aux incidents et de négociation de rançons disposent d'accès privilégiés aux réseaux de leurs clients au moment où ceux-ci sont les plus vulnérables. Un ancien incident responder qui connaît les failles, les procédures de réponse et les capacités de détection d'une organisation représente une menace particulièrement redoutable. Cette condamnation envoie un message dissuasif, mais elle soulève aussi des questions sur le contrôle des habilitations et la supervision des prestataires de sécurité.
Ce qu'il faut retenir
- Des professionnels de la cybersécurité disposant d'accès privilégiés ont exploité leur position de confiance pour mener des attaques par ransomware.
- Le risque d'insider threat est particulièrement élevé dans les sociétés de réponse aux incidents, qui accèdent aux systèmes critiques de leurs clients.
- Les entreprises doivent renforcer les contrôles sur les prestataires de sécurité : vérification des antécédents, cloisonnement des accès, et journalisation systématique des actions des intervenants externes.
Comment se protéger contre les menaces internes dans la cybersécurité ?
Plusieurs mesures réduisent le risque : appliquer le principe du moindre privilège aux prestataires externes, journaliser toutes les actions réalisées sur les systèmes critiques, effectuer des vérifications d'antécédents approfondies, et mettre en place une rotation régulière des intervenants. Il est également recommandé d'utiliser des solutions PAM (Privileged Access Management) pour contrôler et enregistrer les sessions d'accès des consultants en réponse aux incidents.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
REvil et GandCrab : la police allemande identifie les chefs
Le BKA identifie Daniil Shchukin comme le chef de GandCrab et REvil. Avec son complice, il est lié à 130 extorsions et 35 millions d'euros de dégâts en Allemagne.
Storm-1175 : Medusa ransomware déployé en moins de 24 heures
Microsoft documente les campagnes ultra-rapides de Storm-1175 avec le ransomware Medusa : exploitation de zero-days et chiffrement en moins de 24 heures. Santé et finance en première ligne.
CVE-2026-35616 : zero-day FortiClient EMS exploité activement
Une faille zero-day critique (CVSS 9.1) dans FortiClient EMS est activement exploitée depuis le 31 mars. Fortinet a publié un hotfix en urgence, la CISA exige un patch immédiat.
Commentaires (1)
Laisser un commentaire