TheGentleman frappe deux acteurs viticoles français
Le groupe de cybercriminels ajoute deux acteurs majeurs de la viticulture à sa plateforme de fuite le 17 juillet
Vignobles Toutigeac et Terra Vitis rejoignent la liste des victimes du groupe RaaS apparu mi-2025.
Les enjeux
Ce qu'il faut comprendre
Modèle RaaS ultra-rémunérateur
90% de la rançon pour les affiliés : TheGentleman propose la meilleure part du marché pour attirer les hackers les plus compétents.
Secteur viticole exposé
Depuis 2020, les ransomwares ciblent producteurs, distributeurs et certificateurs du vin en Europe et aux États-Unis.
Infrastructure neutralisée avant chiffrement
GentleKiller désactive les antivirus et systèmes de détection avant l'attaque, laissant les victimes sans défense.
Silence des victimes
Ni Toutigeac ni Terra Vitis n'ont communiqué. Le silence protège les négociations mais expose au risque juridique : notification RGPD sous 72h.
L'essentiel
Ce qu'il faut retenir
- TheGentleman ajoute Vignobles Toutigeac et Terra Vitis à sa plateforme de fuite le 17 juillet 2026.
- 0,5% des données de Toutigeac ont été divulguées, confirmant l'exfiltration mais laissant le reste en suspens.
- Terra Vitis centralise les données de près de 2 000 viticulteurs certifiés en France.
- L'ANSSI a recensé 128 attaques de ransomware en France en 2025, contre 141 en 2024.
Le leak site de TheGentleman s’actualise vers midi. Deux lignes s’ajoutent à la liste: Vignobles Toutigeac, Terra Vitis. Découvert le 16 juillet 2026. Le domaine familial d’Oriane et Philippe Mazeau - 42 hectares de vignes à Targon - et l’association créée en 1998 rejoignent les victimes revendiquées par le groupe apparu mi-2025.
Les attaquants n’ont divulgué qu’un faible volume: 0,5% des données exfiltrées chez Vignobles Toutigeac. Une fuite limitée qui confirme l’intrusion mais ne dit rien de la négociation en cours. Aucune communication officielle des deux victimes. Le modèle de TheGentleman repose sur la pression: publier un échantillon, menacer du reste, négocier dans l’ombre.
Un groupe qui promet 90% aux exécutants
TheGentleman fonctionne comme une franchise. Le modèle s’appelle Ransomware-as-a-Service (RaaS). Les administrateurs fournissent l’infrastructure, les outils, la plateforme de négociation. Les affiliés, les hackers qui pénètrent les systèmes, exécutent les intrusions. La répartition des gains: 90% pour l’affilié, 10% pour la maison. Une part jamais vue dans le secteur. De quoi attirer les meilleurs.
Le groupe s’est formalisé en septembre 2025 après avoir émergé comme cellule privée à la mi-2025. En juillet-août 2025, il revendiquait déjà plus de 320 victimes dans plus de 17 pays. Les sources divergent légèrement sur le décompte: certaines mentionnent 576 victimes totales - d’autres 580 - écart probablement lié aux mises à jour du leak site entre les deux relevés. Début 2026, TheGentleman représentait environ 10% de toutes les revendications mondiales de ransomware.
GentleKiller neutralise les défenses avant le chiffrement
Les affiliés déploient une suite d’outils baptisée GentleKiller avant toute attaque. Sa fonction: désactiver les antivirus, les systèmes de détection et de réponse (EDR) et les outils de monitoring avant que le ransomware ne chiffre les fichiers. La neutralisation se fait en amont, rendant les victimes aveugles à l’intrusion jusqu’au moment où les fichiers sont déjà inaccessibles. L’infrastructure centralisée est mise à disposition par les administrateurs du groupe.
En mai 2026, une brèche dans les serveurs de TheGentleman a exposé des journaux de discussion internes, des listes d’affiliés et des détails opérationnels. L’administrateur principal opère sous les pseudonymes Zeta88 et Hastalamuerte.
Le secteur manufacturier concentre le plus grand nombre de victimes: 103 entreprises touchées. Mais TheGentleman ne fait pas de tri sectoriel strict. Les vignobles français rejoignent une liste qui compte déjà la maison italienne Marchesi di Barolo, attaquée en avril 2026.
Le vin dans le viseur depuis 2020
La viticulture attire les groupes de ransomware. En avril 2026, la Confédération Nationale des Producteurs de Vins et Eaux-de-Vie d’Appellation d’Origine Contrôlée (CNAOC) a subi une attaque du groupe Lamashtu. Les attaquants ont volé près de 30 ans d’archives internes - incluant des documents de gouvernance et des correspondances avec l’État.
Au Royaume-Uni, Cult Wines, spécialiste de l’investissement dans les grands crus, a été ciblée par DragonForce en mai 2026. En Suisse, le distributeur Vennerhus Weine a subi une attaque majeure de RansomHouse en novembre 2025. Aux États-Unis, Banville Wine Merchants a vu ses systèmes paralysés par le ransomware Play en août 2025. On se souvient de Brown-Forman, propriétaire de Jack Daniel’s, frappé par REvil en 2020.
Pourquoi les victimes gardent le silence
Ni Vignobles Toutigeac ni Terra Vitis n’ont communiqué publiquement sur l’attaque. Ce silence est courant: les victimes évitent toute déclaration tant que les négociations avec les attaquants sont en cours, par crainte d’aggraver les demandes de rançon ou de provoquer une divulgation immédiate. L’absence de communication protège aussi temporairement la réputation, mais elle laisse les partenaires, clients et membres dans l’incertitude.
Pour Terra Vitis, le silence pose un problème juridique. L’association centralise les coordonnées de près de 2 000 membres - leurs certifications, potentiellement leurs échanges avec des instances officielles. Selon plusieurs sources, le RGPD impose une notification à l’autorité de contrôle dans les 72 heures suivant la découverte d’une violation de données personnelles, et exige d’informer les personnes concernées si le risque pour leurs droits est élevé. En cas de manquement, le Code pénal prévoit des sanctions pouvant inclure l’emprisonnement et des amendes importantes pour atteinte à la sécurité des données.
Ce que les sources ne disent pas
Aucune source ne précise le montant des rançons exigées à Toutigeac et Terra Vitis. Aucune ne détaille la nature exacte des données exfiltrées chez Terra Vitis au-delà des coordonnées de membres. Aucune ne documente le vecteur d’intrusion initial: phishing, faille VPN, compromission d’un sous-traitant. Les deux victimes gardent le silence.
En 2025 - une attaque similaire contre un producteur de vin a donné lieu à une action en justice: 26 000 clients dont les données avaient été compromises - mise en cause pour manquement à la sécurité et notification tardive. Le précédent existe. Terra Vitis, en tant qu’association reconnue, pourrait faire face aux mêmes questions.
Des attaques en baisse en France
L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a recensé 128 attaques de ransomware signalées en France en 2025, contre 141 en 2024. Une baisse légère, en partie attribuée à des opérations policières. Mais le nombre de revendications publiques ne reflète qu’une fraction des intrusions réelles. Beaucoup de victimes paient sans signaler. D’autres négocient en silence.
Le leak site de TheGentleman reste actif. Les deux lignes ajoutées le 17 juillet 2026 attendent leur suite: divulgation complète, retrait négocié, ou enlisement dans les semaines qui viennent. Oriane et Philippe Mazeau ne répondent pas. Terra Vitis non plus.
Sources
- SocRadar - TheGentlemen Ransomware Victims
- Ransomware.live - Terra Vitis
- Galaxy Warden - Terra Vitis Breach
- Cybereason - The Gentlemen Ransomware
- Palo Alto Unit 42 - The Gentlemen Analysis
- Trend Micro - Unmasking The Gentlemen
- Agro-Mundi - Cybersécurité agroalimentaire
- Microsoft Security Blog - TheGentlemen Ransomware
- Cyberattaque.org - CNAOC piratée
