LockBit 5.0 frappe 15 notaires espagnols via Notin

Les faits

En mai 2026, Notin.es — prestataire informatique spécialisé dans les services numériques pour les notaires espagnols — a subi une attaque par ransomware menée par le groupe Crypto24, qui a utilisé LockBit 5.0 pour chiffrer les données de l'entreprise. L'incident a été découvert lorsque le site de Notin a affiché une erreur 523 (serveur injoignable) et que les services de messagerie électronique fournis aux clients notariaux ont cessé de fonctionner. D'après le média espagnol EscudoDigital, au moins 15 offices notariaux ont été directement impactés. Il ne s'agit pas de la première attaque contre Notin : le prestataire avait déjà été victime d'un ransomware environ cinq mois auparavant.

Cette répétition illustre un phénomène documenté dans la communauté cybersécurité : les organisations ayant survécu à une première attaque sans renforcement substantiel de leur posture deviennent des cibles de choix pour d'autres groupes, voire pour le même acteur sous une identité différente. Les forums underground partagent activement des listes de cibles "réceptives" — c'est-à-dire ayant payé ou subi une attaque récente — réduisant ainsi le temps de prospection des groupes ransomware.

Le groupe Crypto24 opère selon un modèle de double extorsion : en plus du chiffrement des données avec l'extension .crypto24 ajoutée aux fichiers compromis, les attaquants exfiltrent préalablement les données sensibles et menacent de les publier sur leur site de fuite si la rançon n'est pas versée. Pour des offices notariaux, les données concernées peuvent inclure des actes notariés, des contrats immobiliers, des successions, des procurations et des informations d'identification personnelle des clients — données soumises à des obligations légales de confidentialité strictes en Espagne sous le RGPD et la réglementation notariale.

Crypto24 est détecté dans le paysage des menaces depuis fin 2023. Les analyses de chercheurs en sécurité suggèrent que le groupe comprend probablement d'anciens membres ou affiliés de l'écosystème LockBit, ce qui expliquerait leur accès au builder LockBit 5.0. LockBit 5.0, analysé par Help Net Security et Check Point Research en début 2026, a introduit des capacités cross-platform significatives permettant de cibler simultanément des environnements Windows, Linux et VMware ESXi dans une même campagne coordonnée. La variante Windows intègre des mécanismes d'évasion avancés : obfuscation du code, techniques anti-analyse pour contourner les sandboxes, résistance aux outils de détection comportementale.

Sur le plan des composants chiffrés, la variante Linux de LockBit 5.0 cible en priorité les systèmes de fichiers NFS et CIFS utilisés dans les environnements professionnels pour les partages réseau, maximisant l'impact du chiffrement sur les données partagées entre utilisateurs. Pour les environnements VMware ESXi, le ransomware chiffre directement les fichiers VMDK des machines virtuelles sans nécessiter d'accès aux systèmes invités individuels — une approche particulièrement dévastatrice pour les prestataires IT hébergeant des infrastructures virtualisées mutualisées.

L'attaque contre Notin illustre une stratégie bien rodée : cibler un prestataire de services informatiques mutualisé (MSP) plutôt que les victimes finales individuelles. Cette approche permet de toucher simultanément de multiples organisations clientes avec une seule intrusion, démultipliant l'impact et le levier de négociation pour la rançon. Les offices notariaux, en tant que petites structures juridiques dépendant d'un prestataire externalisé pour leur informatique, sont particulièrement vulnérables à ce vecteur d'attaque par chaîne d'approvisionnement. Le secteur notarial espagnol, comme son homologue français, s'est massivement numérisé ces dernières années sans que les exigences de sécurité des prestataires aient toujours suivi.

Du côté de la réponse à l'incident, les offices notariaux touchés ont dû interrompre leurs activités numériques et revenir à des processus manuels. Des notifications ont été transmises à l'Agencia Española de Protección de Datos (AEPD) conformément aux obligations RGPD qui imposent une notification dans les 72 heures suivant la découverte d'une violation de données personnelles. La plateforme ransomware.live confirme l'activité récente de LockBit 5.0 avec plusieurs victimes revendiquées par des affiliés utilisant ce builder en mai 2026.

En France, des structures équivalentes dans les secteurs juridique, notarial et comptable devraient prendre connaissance de cet incident : les vecteurs d'attaque — compromission d'un MSP partagé, double extorsion, LockBit 5.0 cross-platform — sont directement transposables à tout prestataire IT mutualisé ne disposant pas d'une segmentation réseau stricte entre ses clients et d'une protection des sauvegardes contre le chiffrement.

Impact et exposition

Tout prestataire IT mutualisé (MSP) servant des professions réglementées présente un profil de risque élevé pour ce type d'attaque chaîne d'approvisionnement. Les données notariales compromises engagent la responsabilité civile et pénale des titulaires d'office et exposent à des sanctions RGPD pouvant atteindre 4 % du chiffre d'affaires annuel mondial. Le risque de divulgation publique de données confidentielles représente un préjudice juridique et réputationnel difficile à quantifier. LockBit 5.0 étant cross-platform (Windows/Linux/ESXi), les environnements sans EDR couvrant l'ensemble des couches sont particulièrement exposés.

Recommandations

• Auditer immédiatement les prestataires IT externalisés : quelles données hébergent-ils, quels accès ont-ils au SI, quelle est leur posture de sécurité ?
• Exiger des contrats de sous-traitance avec clauses de sécurité et audits périodiques conformément à l'article 28 du RGPD
• Mettre en place des sauvegardes hors ligne (offline/air-gapped) testées régulièrement, non accessibles depuis le réseau principal ou les systèmes du prestataire
• Déployer une solution EDR cross-platform (Windows, Linux, ESXi) capable de détecter les comportements de chiffrement massif
• Former les équipes à la détection des signaux précurseurs ransomware : activité anormale sur les partages réseau, désactivation des sauvegardes, création de comptes, trafic réseau inhabituel vers des IP externes