BlackCat : 4 ans pour les négociateurs devenus attaquants

Ce qui s'est passé

Le département de la Justice américain a annoncé le 1er mai 2026 la condamnation de Ryan Goldberg, 40 ans (Géorgie), et Kevin Martin, 36 ans (Texas), à quatre années de prison fédérale chacun. Les deux hommes ont reconnu avoir conspiré avec Angelo Martino, 41 ans (Floride), pour déployer le ransomware ALPHV BlackCat contre au moins cinq victimes américaines entre avril et décembre 2023. Le dossier est instruit par le bureau de l'Attorney General du district sud de la Floride et la Computer Crime and Intellectual Property Section du DOJ.

Le profil des trois hommes rend l'affaire particulièrement embarrassante pour l'industrie. Ryan Goldberg occupait à l'époque le poste d'incident response manager chez Sygnia, une société israélo-américaine de réponse à incident reconnue. Kevin Martin et Angelo Martino travaillaient pour DigitalMint, l'un des principaux brokers de paiement crypto et négociateurs de rançons aux États-Unis. Tous trois disposaient donc d'une connaissance fine des procédures internes des victimes, des outils de détection, et surtout du processus de négociation côté assureur cyber.

Selon les éléments présentés au tribunal, les conspirateurs ont obtenu un accès affilié à la plateforme d'extorsion ALPHV BlackCat en s'engageant à reverser 20 % des rançons collectées aux administrateurs du gang. Ils ont ensuite ciblé des entreprises américaines dont la liste reste partiellement scellée mais inclut, d'après les documents publics, une entreprise de technologie médicale de Floride, un cabinet d'ingénierie californien, un fabricant de pompes à drogue de Maryland, un fournisseur de services à Virginie et un opérateur de drone industriel. Les rançons demandées variaient de 300 000 à 10 millions de dollars selon les cibles.

Le rôle d'Angelo Martino fait l'objet d'une charge supplémentaire. En tant que négociateur, il était mandaté par les victimes pour discuter avec les opérateurs ransomware et tenter de réduire la rançon. Le DOJ a démontré que Martino transmettait en réalité aux affiliés BlackCat des informations confidentielles obtenues dans le cadre de son mandat — niveau de cyber-assurance, pression réglementaire, urgence opérationnelle, capacité financière de la victime — pour faire monter les rançons. Cette pratique constitue, selon les procureurs, une trahison du devoir fiduciaire envers les clients et a eu un impact direct sur le montant payé.

L'investigation a remonté la piste à partir de logs de wallets crypto reliés à plusieurs paiements BlackCat. Les analystes du FBI et de Chainalysis ont identifié des transferts récurrents vers une adresse non documentée dans la base interne de l'opération ALPHV, qui s'est avérée être une side-pocket utilisée par les trois conspirateurs pour se répartir leur part. Couplé à des écarts dans les rapports d'incident officiels rédigés par Goldberg, le dossier a permis l'inculpation en avril 2025, puis le plaider-coupable en avril 2026.

Les juges ont retenu plusieurs circonstances aggravantes : abus de fonction, exploitation d'une expertise professionnelle au détriment des victimes, et organisation préméditée. Les peines prononcées (48 mois) sont relativement sévères au regard des plafonds fédéraux pour conspiration à l'extorsion, mais restent en-deçà du maximum théorique de 20 ans. Goldberg et Martin devront également verser une restitution dont le montant n'a pas été rendu public, ainsi qu'une amende et trois ans de liberté conditionnelle. Martino, qui a coopéré plus tardivement, attend sa condamnation prévue en juillet 2026.

Les deux employeurs ont publié des communiqués séparés. Sygnia a précisé avoir licencié Goldberg dès l'ouverture de l'enquête fédérale et avoir lancé un audit interne sur l'intégralité de ses dossiers d'incident traités sous sa direction. DigitalMint a indiqué avoir mis en place de nouveaux contrôles internes — séparation des rôles, journalisation des communications avec les opérateurs ransomware, audit indépendant des transactions crypto — pour prévenir un cas similaire. Aucune des deux sociétés n'est mise en cause directement par le DOJ.

Sur le fond, ALPHV BlackCat lui-même a été démantelé partiellement fin 2023 par une opération internationale FBI-Europol, avant un exit scam spectaculaire en mars 2024 contre Change Healthcare. La marque a été reprise en sous-marin par plusieurs affiliés sous des bannières dérivées (Cicada3301, RansomHub puis désormais DragonForce). L'écosystème reste très actif en 2026 — selon BleepingComputer, la France comptabilise déjà plus de 80 victimes ransomware sur le premier trimestre.

Pourquoi c'est important

Cette affaire pose une question structurelle pour le marché de la réponse à incident et de la négociation cyber, qui pèse aujourd'hui plusieurs milliards de dollars à l'échelle mondiale. Les sociétés comme Sygnia, Mandiant, CrowdStrike, Palo Alto Unit 42 ou DigitalMint disposent par construction d'un accès privilégié aux infrastructures les plus sensibles de leurs clients : credentials d'urgence, cartographie réseau, journaux SIEM, plans de continuité, et — côté négociateur — le détail intime des couvertures cyber-assurance et de la solvabilité de la victime. Ce niveau d'accès en fait des cibles d'infiltration et, comme le démontre le cas Goldberg-Martin, des vecteurs de compromission interne possibles.

L'industrie n'a longtemps pas pris la mesure du risque. Contrairement aux banques ou aux opérateurs télécoms, beaucoup de prestataires DFIR opèrent sans cloisonnement strict, sans rotation systématique des accès, et avec une journalisation interne légère. La traçabilité des wallets crypto utilisés par les négociateurs est rarement auditée par un tiers indépendant. Le DOJ profite d'ailleurs de cette affaire pour pousser plusieurs recommandations à destination du secteur : double validation des transactions de rançon, séparation entre l'équipe forensique et l'équipe de négociation, et audit annuel par un cabinet externe spécialisé.

Pour les RSSI et les directions juridiques, le message est immédiat : le contrat-cadre avec un prestataire DFIR ne suffit plus. Il faut désormais auditer les pratiques internes du prestataire, exiger une traçabilité granulaire des accès aux environnements compromis, et envisager une dual-track où négociation et investigation sont confiées à deux entités distinctes. Plusieurs assureurs cyber, notamment Beazley et AIG, ont indiqué qu'ils intégreraient ces critères dans leurs prochains panels de prestataires recommandés. Côté français, l'ANSSI publie depuis 2024 un référentiel PRIS (Prestataires de Réponse aux Incidents de Sécurité) qui pourrait être renforcé pour intégrer explicitement ce type de garde-fous, sur le modèle des PASSI.

L'affaire alimente aussi le débat sur la criminalisation du paiement de rançons. Plusieurs États américains et certains régulateurs européens (notamment le ROC du Royaume-Uni) plaident pour interdire purement et simplement les paiements aux ransomware, en partant du constat que l'écosystème de négociation crée un canal d'argent gris difficile à contrôler. Le cas Martino — où le négociateur officiel travaillait en réalité contre sa propre cliente — devient un argument central pour ce courant. À l'inverse, les tenants du paiement encadré soutiennent que ce sont précisément des règles strictes (KYC des opérateurs, déclaration OFAC, audit indépendant) qui auraient permis de détecter plus tôt les flux suspects.

Ce qu'il faut retenir

• Goldberg (Sygnia) et Martin (DigitalMint) prennent 4 ans pour avoir déployé BlackCat contre des victimes US — Martino sera condamné en juillet pour avoir trahi des clients-victimes en tant que négociateur.
• Les prestataires DFIR et les négociateurs de rançon disposent d'un accès privilégié qui en fait des cibles et, parfois, des vecteurs internes de compromission. La séparation négociation/investigation et l'audit indépendant des wallets crypto deviennent des exigences crédibles.
• Pour les RSSI : auditer les pratiques internes des prestataires d'incident, exiger une journalisation granulaire, et envisager le découplage entre l'équipe forensique et l'équipe qui négocie la rançon.