Résumer l'article

C’est une triste réalité que de nombreuses victimes de ransomware connaissent : rien n’assure qu’après le paiement de la rançon, les hackers déchiffrent réellement les systèmes verrouillés.

Mais dans cette affaire, nulle place au doute. Même s’ils le voulaient, les hackers du groupe Nitrogen seraient en réalité incapables de procéder au déchiffrement. La faute à une erreur de programmation relevée par les équipes de Coveware le 2 février 2026.

En analysant le code du malware développé par les pirates, les chercheurs en cybersécurité ont en effet découvert une bourde dans la façon dont était générée la clé publique, censée rendre les accès à la victime.

Votre vie privée doit rester privée.

Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.

En décembre 2025, dans une toute autre affaire, des hackers avaient laissé la clé déchiffrement aux yeux de tous // Source : montage numerama

Une clé publique erronée

Pour comprendre d’où vient le problème, il faut dans un premier temps analyser comment le ransomware est censé fonctionner.

Dans les plans initiaux, le malware génère pour chaque fichier ciblé, une clé privée et sa clé publique correspondante. Cette paire de clés produit ainsi un secret partagé qui sert à chiffrer le document. Le logiciel malveillant enregistre ensuite la clé publique dans le pied de page du fichier.

Pour procéder au déchiffrement, les hackers utilisent alors la clé privée initiale, précieusement conservée. Et pour chaque fichier, l’outil de déchiffrement échange la clé privée principale avec la clé publique enregistrée dans le pied de page, ce qui produit le même secret partagé que celui utilisé pour le chiffrement. C’est le lien mathématique entre les deux clés qui rend le déchiffrement possible.

Problème : dans le cas de Nitrogen, une erreur de programmation fait que le malware écrase accidentellement les 4 premiers octets de la clé publique avec une autre variable en mémoire.

Résultat : les fichiers chiffrés avec cette clé corrompue sont définitivement perdus. Même si la victime paie la rançon, l’outil de déchiffrement que les criminels fourniraient échouerait systématiquement.

Ne payez jamais les rançons des hackers

Pour les chercheurs, il ne s’agit pas d’un sabotage intentionnel mais bien d’une « erreur manifeste du développeur du logiciel malveillant. »

Pourtant, les pirates de Nitrogen ne sont pas des nouveaux venus dans le paysage cybercriminel. Le groupe est actif depuis 2023 et fait partie de ceux qui ont exploité le code source du ransomware Conti 2, divulgué publiquement.

Pour les experts en cybersécurité, cette erreur servira d’exemple parfait pour illustrer un conseil toujours plus précieux : ne payez jamais les rançons des hackers. Il est d’ailleurs possible qu’ils ne sachent même pas comment vous rendre vos fichiers.