Silent Ransom Group : le FBI alerte sur 38 cabinets d'avocats déjà victimes du ransomware silencieux

19/4/26
👈 les autres actualités

Le FBI tire la sonnette d'alarme : depuis mai 2025, un groupe cybercriminel baptisé Silent Ransom Group cible méthodiquement les cabinets d'avocats à travers le monde. Trente-huit structures ont déjà été identifiées comme victimes, avec un point commun : leurs données les plus confidentielles — dossiers clients, secrets professionnels, pièces de procédure — se sont retrouvées entre les mains de maîtres-chanteurs. Pour toute organisation qui traite des données sensibles au titre d'un mandat, l'épisode est un signal à prendre au sérieux.

Ce qui s'est passé

Silent Ransom Group (également référencé comme « Luna Moth » ou « Chatty Spider » par certains analystes) est un acteur spécialisé dans l'exfiltration-extorsion. Contrairement aux groupes traditionnels qui chiffrent les systèmes, SRG privilégie une approche plus silencieuse : il vole les données, puis menace de les publier ou de les revendre si la rançon n'est pas payée. Dans un Private Industry Notification diffusé en mars 2026 par le FBI, le groupe est désigné comme la menace la plus active contre le secteur juridique américain et international.

Le mode opératoire repose sur l'ingénierie sociale. SRG procède par callback phishing : un email frauduleux se fait passer pour une facture impayée, un renouvellement d'abonnement ou un service de support technique, et invite la victime à rappeler un numéro de téléphone. Au bout du fil, un opérateur humain guide la victime jusqu'à l'installation d'un logiciel d'accès à distance (souvent un outil légitime comme AnyDesk ou Zoho Assist), qui devient le cheval de Troie de l'exfiltration.

Une fois dans le système d'information, le groupe cartographie les ressources, identifie les dossiers clients les plus sensibles et extrait silencieusement des volumes de données parfois considérables — avant d'envoyer sa demande de rançon par email, généralement en cryptomonnaie. Trente-huit cabinets ont été nommés publiquement par le FBI, mais les enquêteurs estiment le chiffre réel bien supérieur, faute de notifications.

Pourquoi c'est important pour les cabinets et leurs clients

Un cabinet d'avocats, un cabinet de conseil juridique ou une direction juridique d'entreprise concentre une densité exceptionnelle de données sensibles : identité des parties, correspondances protégées par le secret professionnel, stratégies contentieuses, éléments de preuve, informations personnelles de témoins, contrats commerciaux confidentiels. Sur le plan du RGPD, la plupart de ces données relèvent de l'article 9 (données sensibles au sens strict quand il s'agit de santé, d'opinions, d'infractions) ou du moins d'un traitement à haut risque.

Une exfiltration de ce type déclenche mécaniquement les obligations de l'article 33 (notification à la CNIL sous 72 heures) et, si le risque pour les droits et libertés des personnes est élevé, celles de l'article 34 (information individuelle des personnes concernées). Notre guide sur la réaction à une violation de données détaille la procédure étape par étape.

Au-delà du RGPD, le cabinet victime engage sa responsabilité civile professionnelle vis-à-vis de ses clients et s'expose à un risque disciplinaire devant son ordre. Et lorsque les données volées concernent un contentieux en cours, leur divulgation peut compromettre directement les intérêts d'un client — un dommage qui ne se répare pas par un paiement en cryptomonnaie.

Ce que ça change pour votre organisation

La réalité que l'affaire SRG met en lumière est simple : les attaquants savent que les avocats et juristes traitent leurs dossiers par email, rappellent rapidement quand un fournisseur relance, et disposent rarement d'une équipe IT dédiée. C'est précisément sur ce terrain que se joue la protection.

Trois axes d'action immédiats pour les cabinets et directions juridiques :

  • Durcir l'authentification et la télédistribution. Activer l'authentification multifacteur sur l'ensemble des comptes (email, VPN, outils métiers), bannir les outils d'accès à distance non approuvés par l'IT, et surveiller toute installation nouvelle d'AnyDesk, TeamViewer ou équivalent. Notre guide des bonnes pratiques cybersécurité 2026 liste les dix contrôles minimaux à mettre en place.
  • Sensibiliser spécifiquement au callback phishing. La plupart des programmes de sensibilisation forment encore à détecter les liens piégés — pas les appels téléphoniques initiés par la victime elle-même. Il faut intégrer des scénarios de callback phishing aux formations et aux simulations. Voir notre sélection d'outils de sensibilisation pour démarrer.
  • Préparer votre réponse à incident avant d'en avoir besoin. Cartographier les données, définir qui appelle la CNIL, qui prévient les clients, qui pilote la communication. Le compte à rebours des 72 heures démarre dès la découverte de la violation, pas quand le plan est prêt. Notre guide complet sur la sécurité des données couvre la préparation juridique et organisationnelle.

Enfin, pour les DPO et RSSI qui suivent l'évolution des modes opératoires, notre récente analyse des EDR Killers montre que les groupes ransomware industrialisent désormais la neutralisation des solutions de détection avant l'attaque : le modèle SRG, plus artisanal mais tout aussi efficace, n'en est qu'une des variantes.

Ce que Leto pense de cette décision

L'épisode SRG rappelle une vérité inconfortable : le secret professionnel n'a pas de valeur technique par lui-même. Ce qui le protège, ce sont des contrôles concrets — authentification forte, hygiène numérique des collaborateurs, procédures de réponse testées. Chez Leto, nous voyons trop de cabinets et de directions juridiques investir massivement dans la formation déontologique tout en laissant l'infrastructure email et les pratiques d'accès à distance à un niveau datant de 2015. Les attaquants, eux, ont fait leur transformation numérique. Il est temps que la profession rattrape son retard — non par zèle réglementaire, mais parce que la confidentialité due aux clients l'exige.

Sources : DataBreaches.net — A Silent Threat, Loud Consequences · FBI Internet Crime Complaint Center

Restez connecté(e).

Téléchargez notre application mobile de veille RGPD, Intelligence Artificielle et Cybersécurité. 
100% gratuite. 
Je télécharge

Discutons ensemble — et voyons comment Leto peut vous simplifier votre quotidien

Demander une démo
Produits
Logiciel RGPDLogiciel Sensibilisation RGPD, Cyber, IAQuestionnaires Sécurité & DataLogiciel AI ActApplication mobile veille RGPD
Leto
Nous rejoindreContactÀ proposPresseYoutubeConnexion
Légal
Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2026