C’est une triste réalité que de nombreuses victimes de ransomware connaissent : rien n’assure qu’après le paiement de la rançon, les hackers déchiffrent réellement les systèmes verrouillés.
Mais dans cette affaire, nulle place au doute. Même s’ils le voulaient, les hackers du groupe Nitrogen seraient en réalité incapables de procéder au déchiffrement. La faute à une erreur de programmation relevée par les équipes de Coveware le 2 février 2026.
En analysant le code du malware développé par les pirates, les chercheurs en cybersécurité ont en effet découvert une bourde dans la façon dont était générée la clé publique, censée rendre les accès à la victime.
Une clé publique erronée
Pour comprendre d’où vient le problème, il faut dans un premier temps analyser comment le ransomware est censé fonctionner.
Dans les plans initiaux, le malware génère pour chaque fichier ciblé, une clé privée et sa clé publique correspondante. Cette paire de clés produit ainsi un secret partagé qui sert à chiffrer le document. Le logiciel malveillant enregistre ensuite la clé publique dans le pied de page du fichier.
Pour procéder au déchiffrement, les hackers utilisent alors la clé privée initiale, précieusement conservée. Et pour chaque fichier, l’outil de déchiffrement échange la clé privée principale avec la clé publique enregistrée dans le pied de page, ce qui produit le même secret partagé que celui utilisé pour le chiffrement. C’est le lien mathématique entre les deux clés qui rend le déchiffrement possible.
Problème : dans le cas de Nitrogen, une erreur de programmation fait que le malware écrase accidentellement les 4 premiers octets de la clé publique avec une autre variable en mémoire.
Résultat : les fichiers chiffrés avec cette clé corrompue sont définitivement perdus. Même si la victime paie la rançon, l’outil de déchiffrement que les criminels fourniraient échouerait systématiquement.
Ne payez jamais les rançons des hackers
Pour les chercheurs, il ne s’agit pas d’un sabotage intentionnel mais bien d’une « erreur manifeste du développeur du logiciel malveillant. »
Pourtant, les pirates de Nitrogen ne sont pas des nouveaux venus dans le paysage cybercriminel. Le groupe est actif depuis 2023 et fait partie de ceux qui ont exploité le code source du ransomware Conti 2, divulgué publiquement.
Pour les experts en cybersécurité, cette erreur servira d’exemple parfait pour illustrer un conseil toujours plus précieux : ne payez jamais les rançons des hackers. Il est d’ailleurs possible qu’ils ne sachent même pas comment vous rendre vos fichiers.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !