En 2023, une affaire aussi troublante que symbolique a secoué le monde de la cybersécurité américaine. Deux anciens employés de sociétés spécialisées dans la lutte contre le cybercrime ont reconnu leur culpabilité pour avoir mené eux-mêmes une série d’attaques par ransomware. L’annonce a été faite par le département de la justice américain, mettant en avant une dérive inquiétante. Ceux qui étaient censés protéger les entreprises se sont transformés en agresseurs numériques.
Les faits concernent Ryan Goldberg, 40 ans, et Kevin Martin, 36 ans. Selon les autorités américaines, les deux hommes ont extorqué environ 1,2 million de dollars en Bitcoin à une entreprise de dispositifs médicaux, tout en ciblant plusieurs autres organisations à travers les États-Unis. Les attaques ont été menées à l’aide du ransomware ALPHV, également connu sous le nom de BlackCat, un outil tristement célèbre dans l’écosystème cybercriminel. L’acte d’accusation, rendu public en octobre, révèle un paradoxe glaçant. Kevin Martin et un troisième complice non identifié travaillaient comme négociateurs spécialisés dans les rançongiciels pour Digital Mint, une société de réponse aux incidents et de gestion de crises cyber. De son côté, Ryan Goldberg occupait le poste de responsable de la réponse aux incidents chez Sygnia Cybersecurity Services. Autrement dit, ces professionnels connaissaient parfaitement les mécanismes de défense, les failles organisationnelles et les stratégies de négociation des victimes.
Le ransomware ALPHV / BlackCat fonctionne selon un modèle dit de « ransomware-as-a-service ». Les développeurs du logiciel malveillant fournissent l’outil à des affiliés, qui l’utilisent pour attaquer des cibles en échange d’un pourcentage des rançons collectées. Cette industrialisation du cybercrime a permis à des groupes comme ALPHV de multiplier les attaques à grande échelle, touchant aussi bien des PME que des multinationales. En 2023, le FBI a toutefois marqué un coup important en développant un outil de déchiffrement permettant à certaines victimes de récupérer leurs données sans payer de rançon. ALPHV / BlackCat a en effet été associé à des attaques très médiatisées contre des entreprises telles que Bandai Namco, MGM Resorts, Reddit ou encore UnitedHealth Group.
Selon le ministère de la justice américain toujours, Goldberg, Martin et leur complice ont tenté d’extorquer des millions de dollars à diverses victimes: une entreprise pharmaceutique, un cabinet médical, une société d’ingénierie et même un fabricant de drones. Les attaques combinaient chiffrement des systèmes et vol de données, une double menace destinée à accroître la pression sur les organisations visées. Dans un communiqué, un procureur chargé de l'affaire a souligné la gravité morale de la situation. Il a rappelé que les accusés avaient utilisé leur formation et leur expertise avancées en cybersécurité pour commettre précisément le type de crimes qu’ils étaient censés empêcher. La justice américaine entend donc poursuivre sans relâche les auteurs d’attaques par ransomware, quels que soient leur parcours ou leur niveau de compétence.
Ryan Goldberg et Kevin Martin ont plaidé coupables d’un chef d’accusation de complot visant à entraver le commerce par l’extorsion. Leur condamnation est prévue pour le 12 mars 2026. Ils encourent chacun jusqu’à vingt ans de prison. Au-delà de la sanction pénale, cette affaire pose une question essentielle pour le secteur, comment prévenir les abus internes et restaurer la confiance dans un domaine où l’expertise peut, lorsqu’elle est détournée, devenir une arme redoutable.