En bref

  • Deux anciens professionnels de la cybersécurité américains ont plaidé coupable pour leur participation aux attaques du ransomware BlackCat/ALPHV.
  • Ryan Goldberg (ex-Sygnia) et Kevin Martin (ex-DigitalMint) ont ciblé plusieurs entreprises américaines entre mai et novembre 2023.
  • Ils risquent jusqu'à 20 ans de prison chacun, un signal fort contre les menaces internes dans le secteur cyber.

Ce qui s'est passé

Ryan Clifford Goldberg, 33 ans, ancien responsable de la réponse aux incidents chez Sygnia, et Kevin Tyler Martin, 28 ans, ancien négociateur de rançons chez DigitalMint, ont plaidé coupable de conspiration en vue d'extorsion devant un tribunal fédéral américain. Les deux hommes opéraient comme affiliés du groupe de ransomware BlackCat (aussi connu sous le nom ALPHV), l'un des gangs de rançongiciels les plus prolifiques de ces dernières années, selon BleepingComputer et SecurityWeek.

Entre mai et novembre 2023, Goldberg et Martin, accompagnés d'un troisième complice, ont compromis les réseaux de plusieurs entreprises américaines. Ils reversaient 20 % des rançons obtenues aux opérateurs de BlackCat en échange de l'accès à la plateforme de ransomware et aux outils d'extorsion. L'ironie est saisissante : Goldberg était censé aider les entreprises à se remettre d'attaques par ransomware dans le cadre de son travail chez Sygnia, tandis que Martin négociait des paiements de rançon pour le compte de victimes chez DigitalMint.

Goldberg est en détention fédérale depuis septembre 2023. Les deux accusés risquent jusqu'à 20 ans de prison. Cette affaire met en lumière le risque posé par les professionnels ayant accès aux systèmes les plus sensibles de leurs clients et une connaissance intime des défenses en place.

Pourquoi c'est important

Cette affaire illustre un angle mort majeur de la cybersécurité : la menace interne provenant de professionnels de confiance. Les entreprises de réponse aux incidents et de négociation de rançons disposent d'accès privilégiés aux réseaux de leurs clients au moment où ceux-ci sont les plus vulnérables. Un ancien incident responder qui connaît les failles, les procédures de réponse et les capacités de détection d'une organisation représente une menace particulièrement redoutable. Cette condamnation envoie un message dissuasif, mais elle soulève aussi des questions sur le contrôle des habilitations et la supervision des prestataires de sécurité.

Ce qu'il faut retenir

  • Des professionnels de la cybersécurité disposant d'accès privilégiés ont exploité leur position de confiance pour mener des attaques par ransomware.
  • Le risque d'insider threat est particulièrement élevé dans les sociétés de réponse aux incidents, qui accèdent aux systèmes critiques de leurs clients.
  • Les entreprises doivent renforcer les contrôles sur les prestataires de sécurité : vérification des antécédents, cloisonnement des accès, et journalisation systématique des actions des intervenants externes.

Comment se protéger contre les menaces internes dans la cybersécurité ?

Plusieurs mesures réduisent le risque : appliquer le principe du moindre privilège aux prestataires externes, journaliser toutes les actions réalisées sur les systèmes critiques, effectuer des vérifications d'antécédents approfondies, et mettre en place une rotation régulière des intervenants. Il est également recommandé d'utiliser des solutions PAM (Privileged Access Management) pour contrôler et enregistrer les sessions d'accès des consultants en réponse aux incidents.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact