Le ransomware sans chiffrement : pourquoi le pire est devant

En 2026, les groupes les plus dangereux ne chiffrent plus rien. Ils volent, menacent, publient. Et c'est précisément ce qui les rend redoutables : on ne peut pas restaurer ce qu'on n'a pas perdu, et on ne peut pas négocier ce qui est déjà publié.

La fin du modèle "pay or restore"

Pendant cinq ans, le ransomware a suivi un schéma stable. L'attaquant pénétrait, se déplaçait latéralement, désactivait les sauvegardes, chiffrait les données, et présentait sa note. La victime avait alors un choix binaire : payer pour la clé, ou restaurer depuis des backups. Tout le débat sécurité s'est construit autour de cette équation : sauvegardes immutables, segmentation, détection précoce, plan de continuité. Et globalement, ça a marché. Les organisations matures ont appris à ne plus payer, à restaurer en quelques jours, à absorber le coup.

En 2026, ce modèle est en train de mourir. Pas parce que les attaquants ont perdu, mais parce qu'ils ont changé de jeu. Quand on regarde les leaks récents — ShinyHunters sur Instructure (275 millions d'utilisateurs), Cushman & Wakefield (500 000 enregistrements Salesforce), Match Group, Adelante en Colombie — un pattern frappe : aucun chiffrement. Juste de l'exfiltration, et la menace de publication.

Ce n'est pas un détail technique. C'est une mutation stratégique qui rend l'ensemble de notre arsenal défensif partiellement obsolète.

Pourquoi les attaquants abandonnent le chiffrement

Le chiffrement, pour un attaquant, c'est cher. Il faut développer (ou louer) un payload résistant aux EDR, bypasser les protections kernel, gérer la propagation latérale, contrôler le timing. C'est aussi détectable : les comportements de chiffrement massif déclenchent énormément d'alertes, les modèles MLs des EDR modernes sont très entraînés là-dessus. Et c'est risqué : si le chiffrement échoue partiellement, la victime restaure, ne paye pas, et l'attaquant a brûlé ses outils pour rien.

L'extorsion-only, c'est l'inverse. L'empreinte technique est minimale : l'attaquant utilise des intégrations légitimes (OAuth, jetons API, comptes de service compromis) pour exfiltrer. Pas de payload, pas de chiffrement, pas de propagation. Côté détection, tout passe par des canaux normaux — Salesforce vers Salesloft, c'est du flux légitime, sauf que les volumes ont explosé. Et côté monétisation, la pression est plus efficace : il n'y a pas de "restauration" possible. Les données sont déjà dehors. Soit la victime paye pour empêcher la publication, soit elle assume la fuite.

Le calcul économique est imbattable pour l'attaquant. Coût marginal d'attaque divisé par cinq, surface de détection réduite, taux de paiement comparable voire supérieur sur certains segments (services financiers, santé, éducation où le risque réputationnel est extrême).

Les défenses traditionnelles deviennent partiellement inutiles

Tout ce qu'on a construit ces dernières années est calibré pour le ransomware classique. Les sauvegardes immutables ? Inutiles si rien n'est chiffré. La segmentation réseau ? Contournée par des canaux SaaS-to-SaaS qui passent par Internet, pas par le réseau interne. Les EDR ? Aveugles sur les jetons OAuth qui s'authentifient légitimement. Les playbooks de réponse à incident ? Construits autour du chiffrement, du PRA, de la communication de crise post-encryption.

Concrètement, j'ai vu des RSSI fiers d'avoir investi 800k€ dans une solution de backup immutable et un PRA testé tous les 6 mois. Ils sont protégés contre le ransomware d'il y a deux ans. Pas contre ShinyHunters de mai 2026. La question n'est pas "combien de temps pour restaurer", mais "comment empêcher l'exfiltration en premier lieu, et comment détecter qu'elle s'est produite avant de voir nos données sur un leak site".

Ce qu'il faut commencer à faire

D'abord, accepter que la chaîne d'attaque a basculé du périmètre vers les identités et les SaaS. Le maillon faible n'est plus le firewall ou le poste utilisateur — c'est le compte Salesforce, le jeton Salesloft, l'intégration OAuth oubliée depuis 2023. Tant qu'on raisonne "réseau interne sécurisé", on rate l'attaque.

Concrètement, ça veut dire :

Inventaire exhaustif des intégrations SaaS-to-SaaS

Combien d'applications OAuth ont accès à votre tenant Microsoft 365, votre Google Workspace, votre Salesforce ? La plupart des organisations sous-estiment ce chiffre d'un facteur 5 à 10. Pour chaque intégration, vérifiez le périmètre de droits accordés, la dernière utilisation effective, et le propriétaire interne. Toute intégration sans propriétaire identifié ou non utilisée depuis 6 mois doit être révoquée.

Surveillance volumétrique des exfiltrations légitimes

Salesforce Shield, Microsoft Purview, Google DLP — les outils existent pour détecter les volumes anormaux d'API calls et de download. Le problème, c'est que personne ne configure les seuils correctement. Une exfiltration ShinyHunters classique télécharge 500 000 à 5 millions d'enregistrements en quelques heures. C'est détectable. Mais seulement si les seuils sont configurés et les alertes routées vers une équipe qui les traite.

Détection de l'abus de jetons OAuth

Les jetons OAuth qui s'authentifient depuis une géographie inhabituelle, ou qui appellent une API peu utilisée auparavant, sont des signaux faibles à exploiter. Microsoft Defender for Cloud Apps, par exemple, le permet de manière native. Encore faut-il l'activer et router les alertes correctement.

Gestion des secrets et rotation des jetons

La compromission de Salesloft Drift en août 2025 a révélé que beaucoup d'organisations utilisaient encore des jetons OAuth créés plusieurs années auparavant, jamais rotés. La rotation périodique des jetons (90 jours maximum) doit devenir une norme, au même titre que la rotation des mots de passe administrateur.

Préparer la communication de crise post-fuite

Le scénario "nos données sont sur un leak site" doit être joué en exercice. Qui prend la parole ? Comment annoncer aux clients, aux salariés, aux régulateurs ? Quelle est la position juridique sur le paiement de la rançon ? Les organisations qui n'ont pas répété ce scénario réagissent mal et amplifient le dommage réputationnel.

L'angle régulatoire qui change la donne

NIS2 et DORA imposent maintenant la déclaration des incidents même sans chiffrement, dès qu'il y a "atteinte à la disponibilité, l'intégrité ou la confidentialité". Les régulateurs commencent à comprendre que l'exfiltration sans chiffrement est aussi grave — voire plus — qu'un chiffrement classique. La CNIL a déjà sanctionné des organisations qui avaient minimisé des fuites de données massives parce qu'il n'y avait "pas de ransomware au sens strict".

Pour les organisations relevant de NIS2 (transposée en France par le décret du 17 octobre 2025), une exfiltration majeure non détectée pendant plusieurs semaines constitue un manquement caractérisé aux obligations de surveillance. Les sanctions vont jusqu'à 10 millions d'euros ou 2 % du chiffre d'affaires mondial — autant que le RGPD. Et contrairement au RGPD, NIS2 sanctionne aussi le défaut de mesures techniques préventives, pas seulement le défaut de notification.

Conclusion

Le ransomware sans chiffrement n'est pas une mode passagère. C'est l'aboutissement logique d'une trajectoire que les attaquants ont entamée il y a deux ans, accélérée par la disponibilité des chaînes d'intégration SaaS et par l'industrialisation des compromissions OAuth. ShinyHunters n'est que la version visible de ce qui devient le standard.

La question n'est plus "comment restaurer après chiffrement", mais "comment empêcher que mes données ne soient publiées sur un leak site la semaine prochaine". Les défenses doivent suivre. Et le timing est court : les organisations qui auront fait ce pivot en 2026 absorberont les attaques. Celles qui resteront focalisées sur le périmètre et les sauvegardes paieront — au sens propre comme au sens figuré.

Les nouvelles techniques d'exfiltration silencieuse : bypasser DLP et CASB

Les groupes spécialisés dans l'extorsion pure ont développé des techniques d'exfiltration de plus en plus sophistiquées pour contourner les solutions de prévention des pertes de données (DLP) et les Cloud Access Security Brokers (CASB). L'enjeu est central : si l'exfiltration est détectée et bloquée, tout le modèle économique de l'extorsion sans chiffrement s'effondre.

Les techniques observées en 2025-2026 incluent :

• Exfiltration via services cloud légitimes : plutôt qu'un C2 sur IP fixe facilement bloquable, les données sont exfiltrées via GitHub (dépôts privés), Google Drive, OneDrive ou des buckets S3. Le trafic est indiscernable du trafic légitime pour la plupart des CASB qui ne font pas d'inspection profonde des contenus
• Staging par tranches : les données ne sont pas exfiltrées en bloc mais en petites tranches sur plusieurs semaines — 1 à 5 GB par jour — pour rester sous les seuils d'alerte des outils DLP (qui se déclenchent généralement sur des transfers volumineux et rapides)
• Living-off-the-land exfiltration : utilisation de rclone (outil de synchronisation cloud légitime), MEGAsync, ou du client Git natif plutôt que des outils d'attaque connus. Ces binaires sont rarement bloqués et leur utilisation est difficile à distinguer de l'activité légitime
• Chiffrement de l'exfiltration elle-même : les données sont chiffrées côté client avec une clé contrôlée par l'attaquant avant d'être uploadées — même si vous bloquez l'upload et récupérez les fichiers, vous ne pouvez pas lire ce qui a été transmis pour évaluer le périmètre de la fuite
• Exfiltration via API SaaS : dans les environnements où les équipes utilisent Slack, Teams, Notion, Airtable — des scripts automatisés peuvent extraire des données via les APIs officielles de ces services. Ces appels API ressemblent à du trafic utilisateur normal

La détection de ces techniques repose sur des patterns comportementaux plutôt que des signatures. Un utilisateur qui synchronise 50 GB vers un bucket S3 qu'il n'a jamais utilisé auparavant à 3h du matin est suspect même si l'outil utilisé est aws s3 sync. L'anomalie comportementale (volume, heure, destination) est le seul signal disponible.

Construire une défense contre l'extorsion sans chiffrement

La défense contre l'extorsion pure requiert de repenser le modèle de sécurité au-delà de la protection des données en transit et au repos. Le périmètre à défendre est votre capacité à détecter une exfiltration avant qu'elle ne soit complète — et à réduire l'impact si elle se produit quand même.

Cartographie et classification des données

Vous ne pouvez pas défendre ce que vous ne connaissez pas. La première étape est une cartographie exhaustive des données sensibles :

• Données personnelles (RGPD) : où sont-elles stockées, qui y a accès, via quels chemins ?
• Données confidentielles business : propriété intellectuelle, données clients, contrats, informations financières
• Données de sécurité : credentials, certificats, configurations réseau — la fuite de ces données facilite des attaques ultérieures

Cette cartographie doit être automatisée (outils comme Microsoft Purview, Varonis, BigID) et maintenue à jour — les données sensibles se déplacent continuellement dans les organisations modernes.

Zero Trust pour les données

• Principe du moindre privilège : chaque utilisateur et chaque service ne doit avoir accès qu'aux données strictement nécessaires à sa fonction. Un compromis de compte ne doit pas donner accès à l'ensemble de votre data lake
• Segmentation des données : isoler les données les plus sensibles dans des enclaves avec accès contrôlé et journalisé — même un accès légitime aux données RH ou R&D doit être logué et analysé
• MFA contextuelle : accès aux données les plus sensibles derrière une couche MFA supplémentaire, même pour des utilisateurs déjà authentifiés — pas seulement à la connexion initiale

Détection comportementale (UEBA)

Les solutions UEBA (User and Entity Behavior Analytics) sont particulièrement adaptées à la détection d'exfiltration silencieuse :

• Baseline comportementale par utilisateur : volume typique de données accédées, destinations habituelles, plages horaires
• Détection d'anomalies : accès massif à des fichiers inhabituels, téléchargements vers des services cloud non utilisés habituellement, connexions depuis des IPs inconnues
• Corrélation multi-sources : un utilisateur qui accède à plus de données que d'habitude + synchronise vers un service cloud externe + depuis une nouvelle localisation géographique = score de risque élevé

Réponse aux incidents spécifique à l'extorsion pure

Si vous recevez une demande d'extorsion avec preuve d'exfiltration, le processus de réponse diffère fondamentalement de la réponse ransomware classique :

1. Identifier le périmètre exact des données exfiltrées (logs DLP, CASB, UEBA) pour évaluer le niveau de risque réel
2. Évaluer la crédibilité de la menace de publication (les groupes sérieux publient sur des sites .onion vérifiables)
3. Consulter immédiatement le DPO et le service juridique — une fuite RGPD a des obligations de notification à 72h vers la CNIL
4. Ne pas payer sans avoir évalué (avec l'aide d'un PRIS) si le paiement garantit réellement la non-publication — aucune garantie n'existe
5. Notifier les personnes concernées si des données personnelles ont été exposées — exigé par le RGPD

Cas d'étude : l'évolution de Cl0p vers l'extorsion sans chiffrement

Cl0p est le cas d'étude le plus documenté de la transition vers l'extorsion sans chiffrement. Groupe actif depuis 2019, Cl0p a progressivement abandonné le chiffrement des fichiers pour se concentrer sur l'exfiltration massive et la menace de publication. Cette évolution est instructive car elle démontre comment un groupe mature optimise son modèle économique.

La chronologie de la transition Cl0p :

• 2019-2021 : ransomware classique chiffrement + demande de rançon, ciblage d'entreprises de taille intermédiaire
• 2022 : premiers cas de "double extorsion" où l'exfiltration de données devient aussi importante que le chiffrement
• 2023 — MOVEit (CVE-2023-34362) : exploitation massive d'une vulnérabilité dans le logiciel de transfert de fichiers MOVEit. Cl0p exfiltre des données de 2000+ organisations en quelques semaines, sans déployer de ransomware chiffrant sur les systèmes. La rançon est demandée uniquement sur la non-publication des données exfiltrées via la faille SQL injection
• 2024-2026 : consolidation du modèle "exfiltration via supply chain + extorsion pure". Les victimes incluent des entreprises qui n'ont jamais eu de ransomware déployé sur leur SI — juste des données exfiltrées via un tiers compromis

L'exploitation de MOVEit par Cl0p a démontré l'efficacité dévastatrice de ce modèle :

• Les victimes n'ont aucun système chiffré à déchiffrer — le paiement est motivé uniquement par la crainte de publication
• Le délai entre l'exploitation initiale et la demande de rançon peut être de plusieurs semaines, pendant lesquelles l'attaquant collecte silencieusement des preuves de la valeur des données volées
• Les organisations sans cartographie de leurs données n'ont aucun moyen rapide d'évaluer l'impact réel
• Le modèle est scalable : une seule vulnérabilité supply chain touche des milliers de victimes simultanément

Les enseignements pour la défense :

• Cartographier les tiers qui traitent vos données : dans un monde où Cl0p peut accéder à vos données via un prestataire qui utilise MOVEit, vous devez connaître toutes les chaînes de traitement
• Surveiller les publicités Cl0p : le groupe annonce ses victimes par communiqués sur son site .onion avant de commencer à publier — ce délai (généralement 7-10 jours) est votre fenêtre pour évaluer et répondre
• Exiger les certifications de sécurité de vos prestataires : SOC 2 Type II, ISO 27001, tests de pénétration annuels — et vérifier qu'ils patchent leurs logiciels de transfert de fichiers

Négociation face à un groupe d'extorsion pure : ce qui se passe réellement

Contrairement au ransomware chiffrant où le paiement libère théoriquement une clé de déchiffrement, la négociation avec un groupe d'extorsion pure est fondamentalement différente. Il n'y a aucun actif récupérable — seulement une promesse de ne pas publier.

Les réalités que les groupes d'extorsion ne vous disent pas :

• La promesse de non-publication n'a aucune valeur juridique : le groupe peut republier ou revendre vos données dans 6 mois, peut-être après un changement de branding ou un démantèlement partiel. Les forces de l'ordre récupèrent régulièrement des données de victimes ayant "acheté" leur non-publication lors de takedowns
• Les données peuvent déjà avoir été vendues : avant même de vous contacter, le groupe a peut-être déjà vendu vos données sur des marketplaces clandestines. Le paiement ne peut pas annuler ce qui a déjà eu lieu
• Le paiement vous classe comme "payeur" : cette information circule sur les forums cybercriminels. Vous devenez une cible prioritaire pour les prochaines campagnes — vous avez prouvé votre volonté et capacité de payer
• Les données personnelles exigent une notification CNIL indépendamment du paiement : même si vous payez et que le groupe "promet" de ne pas publier, vous avez l'obligation légale de notifier la CNIL si des données personnelles ont été compromises. Le paiement ne vous exempts pas de cette obligation

L'approche recommandée par les experts IR et les autorités françaises :

1. Évaluer rapidement le périmètre réel des données exfiltrées (avec l'aide d'un PRIS)
2. Notifier simultanément : assureur cyber, CNIL (si données personnelles), ANSSI/CERT-FR, service juridique
3. Ne pas entamer de négociation directe — si négociation il doit y avoir, elle doit passer par des professionnels spécialisés
4. Porter plainte auprès du COMCYBER-MI pour alimenter les enquêtes en cours
5. Préparer une communication transparente vers les personnes concernées si nécessaire

La transparence proactive — notifier vos clients avant que le groupe ne publie — est souvent la meilleure stratégie d'image à long terme. Les organisations qui découvrent la fuite via les médias plutôt que de leur prestataire souffrent d'un impact reputationnel bien plus important que celles qui ont communiqué directement.

Pour comprendre l'écosystème de la menace ransomware dans son ensemble : Panorama Ransomware France Q2 2026, les techniques d'identification de souche (Forensics ransomware), et la stratégie de backup résistante (Backup anti-ransomware).