🗓️ Contexte

Source : Ars Technica, publié le 23 avril 2026 par Dan Goodin. L’article s’appuie sur une analyse technique publiée le même jour par la société de sécurité Rapid7, portant sur la famille de ransomware Kyber.

🦠 Description du malware

Kyber est une famille de ransomware active depuis au moins septembre 2025. Elle tire son nom de l’algorithme cryptographique ML-KEM (Module Lattice-based Key Encapsulation Mechanism), également connu sous le nom de Kyber, standardisé par le NIST.

La variante Windows utilise :

  • ML-KEM1024 (niveau de sécurité le plus élevé du standard PQC) pour chiffrer la clé AES
  • AES-256 pour chiffrer les fichiers des victimes

Une variante ciblant VMware prétend utiliser ML-KEM, mais l’analyse de Rapid7 révèle qu’elle utilise en réalité RSA avec des clés de 4096 bits.

🔐 Mécanisme de chiffrement

Le schéma de chiffrement hybride fonctionne ainsi :

  1. Génération d’une clé AES aléatoire
  2. Chiffrement des fichiers victimes avec cette clé AES (rapide)
  3. Chiffrement de la clé AES avec ML-KEM1024 (seul l’attaquant peut déchiffrer)

Des bibliothèques Kyber1024 en Rust sont disponibles publiquement, rendant l’implémentation peu coûteuse pour les développeurs.

📣 Motivation : marketing, pas sécurité

Selon Anna Širokova, chercheuse senior chez Rapid7, l’usage de ML-KEM est un gimmick marketing :

  • Les ordinateurs quantiques capables d’exécuter l’algorithme de Shor (cassant RSA/ECC) sont estimés à au moins 3 ans dans le futur
  • La note de rançon accorde une semaine aux victimes pour répondre — aucun avantage pratique au PQC
  • L’objectif est de impressionner les décideurs non techniques (avocats, dirigeants) pour les inciter à payer

🏷️ Type d’article

Article de presse spécialisée combinant analyse technique et contextualisation CTI, visant à informer la communauté sécurité sur une nouvelle tendance d’ingénierie sociale via la cryptographie post-quantique.

🧠 TTPs et IOCs détectés

TTP

  • T1486 — Data Encrypted for Impact (Impact)
  • T1027 — Obfuscated Files or Information (Defense Evasion)

Malware / Outils

  • Kyber (ransomware)

🔴 Indice de vérification factuelle : 33/100 (basse)

  • ⬜ arstechnica.com — source non référencée (0pts)
  • ✅ 4524 chars — texte complet (fulltext extrait) (15pts)
  • ⬜ aucun IOC extrait (0pts)
  • ⬜ pas d’IOC à vérifier (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://arstechnica.com/security/2026/04/now-even-ransomware-is-using-post-quantum-cryptography/