Le groupe TeamPCP a annoncé la vente exclusive de l'archive Mistral (5 Go, 450 dépôts) sur le forum Breached, à 25 000 $, avec menace de diffusion publique en cas d'absence d'acheteur. Mistral n'a pas payé. Le prix interroge : pour le code interne d'une boîte valorisée plusieurs milliards, 25 000 $ paraît dérisoire. C'est volontaire, et la mécanique mérite d'être comprise.
Le pricing n'est pas le prix de la donnée
Dans le ransomware classique (chiffrement, double extorsion, demande à 7 chiffres), le prix est calé sur la capacité de payer de la victime, mesurée par OSINT (CA, valorisation, taille des effectifs). Ici, on n'est pas dans ce schéma.
On est dans une logique de vente d'archive sur forum criminel. Le prix vise :
- Un acheteur unique (concurrent, autre groupe criminel, État) prêt à payer pour l'exclusivité.
- Ou, à défaut, la pression réputationnelle sur la victime, pour l'obliger à racheter discrètement.
- Et toujours, le bruit médiatique qui crédibilise le groupe pour ses prochaines opérations.
25 000 $ est suffisamment bas pour rendre l'achat plausible — assez d'individus ont ce budget. Suffisamment haut pour ne pas paraître bluff. Et infiniment plus bas que le coût pour Mistral de réagir publiquement à la fuite. Le calcul de l'attaquant est : "même si personne n'achète, la menace force la victime à dépenser bien plus que 25k en communication et en remédiation".
La grille de décision côté victime
Quand une demande de rançon arrive — qu'il s'agisse de ransomware, de DDoS extorsion ou de vente de données comme ici — la décision payer / ne pas payer se prend en 24-72h, idéalement avec un cadre prévu en amont. Les quatre questions à se poser :
1. Que prouve l'attaquant ?
Demander un proof of life : un échantillon, vérifiable, qui prouve la possession réelle. Beaucoup d'extorsions sont bluff ou recyclage d'une fuite antérieure publique. Si le proof échoue ou si les données sont déjà publiques, la pression retombe.
2. Quelle valeur réelle pour l'attaquant à publier ?
Si l'attaquant publie, il perd son levier. Il n'a aucun intérêt rationnel à le faire sauf pour crédibiliser ses futures opérations. C'est exactement pour ça qu'il publiera dans 100% des cas où vous ne payez pas : son business model dépend de cette crédibilité. Payer ne réduit donc pas le risque de publication ultérieure — il y a documenté plusieurs cas où des groupes ont publié après paiement.
3. Quelle valeur réelle pour vous à éviter la publication ?
Cette question est plus dure qu'elle n'en a l'air. Le réflexe est : "on ne veut pas que ça sorte". Mais une fois la donnée hors de vos murs, la publication est statistiquement quasi certaine (forum, dark web, dump public dans 1 à 24 mois). La vraie question est donc : "combien gagnons-nous en retardant la publication ?". Souvent : peu, parce que la communication, le travail réglementaire et le travail de remédiation doivent commencer aujourd'hui indépendamment du payment.
4. Quel cadre légal ?
Payer une rançon n'est pas illégal en France en soi, mais :
- Le paiement à un acteur sanctionné (OFAC, sanctions UE) l'est.
- L'article L. 12-10-1 du code des assurances (loi LOPMI, 2023) conditionne l'indemnisation par l'assurance au dépôt de plainte sous 72h.
- Côté RGPD, l'obligation de notification à la CNIL sous 72h existe indépendamment du paiement.
Refuser de payer reste la position par défaut recommandée par l'ANSSI et la plupart des CERT européens, pour des raisons systémiques : payer alimente l'écosystème.
Ce que je conseille de cadrer avant l'incident
L'erreur la plus fréquente : découvrir au moment de la crise qu'on n'a pas de mandat clair, pas d'avocat dédié, pas de relation avec un négociateur, pas de plan de comm prêt. Trois pages écrites avant valent dix réunions pendant.
- Mandat de décision rançon : qui décide ? CEO seul, board, comité crise ? Documenté, signé par le board.
- Liste de contacts d'urgence : avocat cyber, négociateur (spécialiste type GroupSense, Coveware), CERT-FR, autorité sectorielle, DPO.
- Modèle de communiqué : trois versions (cas mineur, cas significatif, cas majeur), pré-validées juridique.
- Politique d'assurance : ce qu'elle couvre, ce qu'elle exclut, les conditions de déclenchement.
Pour la méthode complète de réponse à incident, voir Gérer un incident cyber : 7 étapes. Pour les attendus assureurs en 2026, Cyber-assurance 2026.
Pourquoi Mistral n'a (probablement) rien à gagner à payer
Dans le cas Mistral spécifiquement, le calcul est lisible :
- Le code exfiltré n'est pas chiffré chez eux : pas de blocage opérationnel.
- Les secrets actifs peuvent être tournés : un secret rotation propre annule la valeur d'usage immédiate.
- L'image de marque souffre du leak, pas du paiement : un paiement révélé ferait probablement plus de mal qu'une publication.
- Le précédent industriel : payer encouragerait les groupes à viser systématiquement les autres acteurs IA européens.
La bonne réponse industrielle, c'est : rotation immédiate de tout ce qui a pu fuiter, audit complet, communication propre, et refus du paiement. C'est ce qu'on observe.
Ce que les PME doivent retenir
Vous n'êtes pas Mistral. Une PME face à une demande à 25 000 $ pour des données client peut être tentée de payer, "par sécurité". C'est presque toujours la mauvaise décision si le cadre n'a pas été préparé :
- Le paiement ne garantit ni la suppression ni la non-publication.
- Il fait de vous une cible récurrente (les groupes se repassent les listes des "payeurs").
- Il complique l'indemnisation assurance si le dépôt de plainte n'a pas été fait dans les temps.
Avoir un mandat clair, un contact négociateur, et accepter à froid que la publication peut être inévitable — c'est ce qui transforme une crise en gestion de crise.
Pour la lecture technique du vecteur d'entrée TanStack, La compromission supply chain en détail.