Le rançongiciel a longtemps fonctionné sur un principe simple, consistant à chiffrer les fichiers d’une victime avant de réclamer une rançon pour les libérer. Les groupes les plus organisés y ont ajouté une étape, celle qui consiste à neutraliser d’abord les défenses censées les repérer. Beaucoup fonctionnent aujourd’hui comme une franchise du crime, où des pirates indépendants, les affiliés, louent l’outillage du gang pour mener leurs propres attaques en échange d’une commission. Un groupe baptisé Gentlemen a poussé le modèle plus loin, en fournissant à ces affiliés des outils prêts à l’emploi pour désactiver les antivirus professionnels.
À lire aussi : 100 000 dollars si vous avez été piraté – la promesse étonnante de cette société française
Comment un gang en arrive-t-il à désarmer les antivirus ?
La plupart des groupes laissent leurs affiliés se débrouiller pour contourner les protections. Gentlemen a fait le choix inverse, en centralisant cette fonction et en la livrant clé en main. Son outil principal, surnommé GentleKiller, existe déjà en huit variantes, chacune se faisant passer pour un logiciel légitime afin d’exploiter un pilote vulnérable et de couper les défenses de l’intérieur. À lui seul, il vise plus de 400 processus de sécurité répartis sur 48 produits, des suites de CrowdStrike à celles de SentinelOne ou Microsoft.
Le procédé détourne des pilotes pourtant signés et reconnus comme légitimes, une faille connue que les éditeurs peinent à refermer faute de pouvoir révoquer tous les composants concernés. Le modèle économique, lui, tient en un chiffre, le gang reversant 90 % des rançons à ses affiliés, qui louent en échange son arsenal de chiffrement. En abaissant autant la barrière d’entrée, Gentlemen attire des pirates moins aguerris, désormais dispensés de développer leurs propres outils. La double extorsion complète la mécanique, le groupe menaçant de divulguer les données volées si la victime refuse de payer.
Pourquoi l’Europe se retrouve-t-elle visée ?
Là où les grands gangs concentrent d’ordinaire leurs attaques sur les États-Unis, Gentlemen suit une trajectoire opposée. Ses affiliés frappent surtout en Europe de l’Ouest, en Asie du Sud-Est et en Amérique du Sud. Cette géographie place la France et ses voisins dans la ligne de mire, même si aucune victime française n’a pour l’heure été nommée publiquement. L’ascension du groupe, elle, a de quoi inquiéter les responsables de la sécurité.
Apparu fin 2025, Gentlemen est né de la dissidence d’un ancien affilié du gang Qilin, parti après un différend financier. Autour de lui s’est agrégée une équipe de transfuges venus de LockBit, Medusa ou Embargo, qui ont reconstitué un savoir-faire redoutable. Le groupe a déjà revendiqué plus de 200 victimes sur le seul premier trimestre 2026, ce qui en fait le deuxième acteur le plus actif de la planète, juste derrière Qilin. Une fuite dans ses propres rangs au printemps a confirmé son fonctionnement, et un journaliste spécialisé affirmait début juin avoir identifié son chef présumé.
Pour les entreprises européennes, la leçon est rude, car un antivirus haut de gamme ne garantit plus grand-chose dès lors que c’est précisément lui que ces pirates apprennent à éteindre en premier. La vraie défense se joue désormais en amont, bien avant que le rançongiciel ne touche le moindre fichier.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Bleeping Computer
