Le nouveau gang Kyber ransomware frappe Windows et ESXi en vantant un chiffrement post-quantique Kyber1024. Rapid7 confirme l'implémentation sur Windows mais démonte la revendication sur Linux.
TL;DR — En résumé
Le gang Kyber combine Kyber1024 et AES-CTR sur Windows, cible aussi ESXi et efface shadow copies. Analyse Rapid7 : post-quantique réel côté Windows,.
En bref
- Un nouveau gang ransomware baptisé Kyber cible simultanément Windows et VMware ESXi, en vantant un chiffrement post-quantique basé sur Kyber1024.
- Rapid7 confirme que la variante Windows implémente bien un schéma hybride Kyber1024 + AES-CTR, mais que la version Linux/ESXi se contente de ChaCha8 et RSA-4096.
- Le module ESXi énumère les VM, chiffre les datastores, supprime les shadow copies et défonce les interfaces avec sa note de rançon.
Ce qui s'est passé
Les équipes de Rapid7 et de BleepingComputer ont documenté ces derniers jours une opération ransomware inédite, qui a choisi de se nommer directement d'après l'algorithme Kyber, finaliste du processus de normalisation post-quantique du NIST. Les opérateurs revendiquent un chiffrement « résistant aux ordinateurs quantiques » sur leur site de leak, une première pour un groupe de ransomware commercialement actif.
L'analyse technique des binaires tempère fortement le discours marketing. Sur Windows, le code implémente bel et bien une encapsulation de clé Kyber1024 pour protéger les clés symétriques, couplée à AES-CTR pour le chiffrement de masse. Sur Linux / ESXi, Rapid7 a au contraire trouvé un schéma classique ChaCha8 + RSA-4096, sans la moindre primitive post-quantique. Le gang a donc menti sur une partie de son arsenal.
Opérationnellement, le ransomware reste redoutable. Les fichiers de moins d'1 Mo sont chiffrés en intégralité et renommés avec l'extension .xhsyw. Ceux entre 1 et 4 Mo ne voient que leur premier méga-octet touché, tandis que les gros fichiers subissent un chiffrement intermittent configurable. Avant de frapper, le binaire efface les clichés instantanés, désactive la réparation de démarrage, tue les services SQL, Exchange et les agents de sauvegarde, purge les journaux d'événements et vide la corbeille.
Pourquoi c'est important
L'arrivée d'un ransomware se revendiquant post-quantique marque un basculement symbolique plus qu'une rupture technique. Kyber1024 sur Windows n'apporte aucun avantage face à une victime qui n'a pas la clé : AES-256 ou ChaCha20 suffisaient déjà largement. En revanche, le message envoyé aux défenseurs est clair : les groupes criminels adoptent, parfois avant les éditeurs légitimes, les primitives issues des travaux de standardisation NIST.
L'écart entre le discours et l'implémentation réelle rappelle aussi une évidence : il faut systématiquement vérifier les affirmations des notes de rançon et des blogs de leak avant de négocier ou d'évaluer le risque. La double cible Windows + ESXi, dans la droite ligne des opérations The Gentlemen ou Akira, confirme que l'hyperviseur reste le point de détresse maximal pour les DSI françaises mal segmentées.
Ce qu'il faut retenir
- Kyber est le premier ransomware mainstream à inclure une primitive post-quantique fonctionnelle dans sa variante Windows (Kyber1024 + AES-CTR).
- La revendication post-quantique sur Linux / ESXi est fausse : le moteur utilise en réalité ChaCha8 et RSA-4096.
- Priorité défensive : durcir l'accès ESXi, cloisonner les backups hors ligne et tester immédiatement la restauration des machines virtuelles critiques.
Un chiffrement post-quantique rend-il la récupération des fichiers plus difficile ?
Non. Que le chiffrement soit post-quantique ou classique, sans la clé privée du pirate la victime ne peut rien déchiffrer. Kyber1024 protège contre un adversaire équipé d'un ordinateur quantique capable de casser RSA — une menace qui reste théorique. Sur le terrain, la vraie ligne de défense demeure la segmentation, les sauvegardes immuables et la détection précoce des exfiltrations.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Colorado AI Act : refonte et report au 1er janvier 2027
Le Colorado a profondément révisé sa loi pionnière sur l'IA : SB 26-189, signé le 14 mai 2026, repousse l'entrée en vigueur au 1er janvier 2027 et abandonne les obligations les plus contraignantes au profit d'une simple obligation de notification.
DiffusionGemma : la diffusion de texte open-weight selon Google
Google DeepMind publie DiffusionGemma, son premier modèle de langage open-weight basé sur la diffusion de texte : 4x plus rapide qu'un modèle autorégressif de taille comparable, 18 Go de VRAM, fenêtre de 256 000 tokens et licence Apache 2.0.
Agentjacking : les agents IA de codage dans le viseur
Tenet Security documente l'Agentjacking, une nouvelle classe d'attaque capable de détourner des agents IA de codage (Cursor, Devin, GitHub Copilot Workspace) pour exécuter du code arbitraire sur les machines des développeurs via de faux rapports d'erreur Sentry.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire