Introduction
En matière de cyberattaques, la tendance récente se passe de malware sophistiqué ou de zero-day : un simple appel téléphonique suffit. Depuis janvier 2026, un groupe d'extorsion bien documenté intensifie ses opérations contre les cabinets d'avocats et les prestataires de services professionnels américains, avec une méthode qui inquiète autant par son efficacité que par son escalade inattendue.
Un scénario rodé en trois temps
Tout commence par un email anodin — souvent une fausse facture expédiée depuis une messagerie grand public — sans lien ni pièce jointe malveillants. Son seul rôle : créer un prétexte à l'appel qui suit.
Un prétendu technicien du support IT contacte alors l'employé, cite l'email reçu pour asseoir sa crédibilité, et lui demande de rejoindre une session de partage d'écran via Teams, Zoom ou Quick Assist. L'accès obtenu, il installe discrètement un outil de prise en main à distance légitime — AnyDesk, Zoho Assist ou Bomgar — qui lui garantit un accès persistant, même après avoir raccroché.
L'exfiltration démarre aussitôt : contrats clients, dossiers de fusion-acquisition, données fiscales, informations personnelles. Les outils WinSCP et Rclone assurent le transfert silencieux vers des serveurs distants. La demande de rançon suit dans les trente minutes.
Une escalade jusqu'à l'intrusion physique
Ce qui distingue les campagnes de 2026, c'est un franchissement de seuil rarement documenté : le groupe a commencé à envoyer des opérateurs directement dans les locaux de certaines cibles. Se présentant comme des techniciens mandatés, ces individus branchent des clés USB sur des postes de travail pour exfiltrer des données sans passer par le réseau. La barrière numérique seule ne suffit plus.
Le FBI a émis une alerte de niveau FLASH — son second avertissement en douze mois sur ce groupe, et le premier à ce niveau de sévérité — en coordination avec les équipes Threat Intelligence de Google. Plus de cent organisations auraient été attaquées entre janvier et mai 2026, avec les données d'au moins trente-huit cabinets publiées sur un site de fuite après refus de payer.
Ce que cela impose concrètement
Les cabinets d'avocats, experts-comptables et sociétés de conseil concentrent des informations à très haute valeur — données non publiques sur des opérations M&A, secrets industriels, données personnelles — avec une maturité cybersécurité historiquement inférieure à celle des banques ou des opérateurs d'importance vitale.
Le problème posé par le vishing est fondamentalement humain. Aucun EDR ni pare-feu ne détecte un employé qui partage de bonne foi son écran avec un faux technicien. Les réponses sont donc organisationnelles :
Rappel systématique : tout appel entrant se réclamant du support IT doit donner lieu à un rappel sur un numéro officiel connu, jamais sur le numéro fourni par l'appelant.
Restriction des accès distants : limiter les outils de prise en main à distance aux seuls prestataires référencés, avec authentification forte préalable.
Sensibilisation ciblée : les cibles prioritaires de ces attaques ne sont pas les équipes IT — ce sont souvent les assistants, collaborateurs juniors et personnels administratifs.
Contrôle d'accès physique renforcé : la montée des intrusions en personne impose de revoir les politiques d'accueil des prestataires extérieurs, avec vérification d'identité systématique et accompagnement obligatoire.
La confiance, une surface d'attaque à part entière
Ce que ces groupes exploitent avant tout, c'est la confiance institutionnelle : celle qu'un employé accorde naturellement à quelqu'un qui connaît son prénom, cite un email récent et parle le vocabulaire du support informatique. Bâtir des routines de vérification rigoureuses sans paralyser les équipes, c'est le défi immédiat de tous les prestataires de services manipulant des données sensibles — en France comme ailleurs, où des campagnes similaires progressent régulièrement depuis deux ans.