LES DONNEURS DE LEÇONS EN CYBERSÉCURITÉ PRENNENT UNE CLAQUE . . . QUI SONT-ILS ?

​🤖​ Chers internautes et les amis Cyber-défenseurs,

3.3 millions de données volées chez DISA, un botnet de 130 000 appareils qui s’attaque aux comptes Microsoft 365, Orange victime d’un ransomware… La cybercriminalité n’a jamais été aussi déchaînée !

Les cyberattaques se multiplient et frappent aussi bien les entreprises que les infrastructures critiques. Alors que Skybox Security ferme brutalement ses portes et revend sa technologie à Tufin, un partenariat stratégique entre CrowdStrike et Orange Cyberdefense tente de renforcer la sécurité des entreprises européennes et africaines face aux menaces.

Mais la vraie question est : sommes-nous réellement prêts à affronter l’évolution ultra-rapide des cyberattaques ? Les botnets se perfectionnent, les ransomwares ciblent des infrastructures stratégiques, et même les plus grandes entreprises peinent à contenir les brèches. Dans la dernière newsletter, nous parlions de la vulnérabilité du Fortune 500. Dans cette édition, nous traiterons d'une attaque ayant spécifiquement ciblé l'une de ces entreprises. 

Une chose est certaine : la cybercriminalité ne fait que se renforcer, et le combat ne fait que commencer…

Les grandes lignes :

👉 Orange piraté : 380 000 emails et des données clients volés ! 🔥

👉 Un botnet chinois de 130 000 appareils cible Microsoft 365 🖥️

👉 3,3 millions de dossiers de vérification d’antécédents exposés ches DISA 📂

👉 Skybox Security ferme brutalement ses portes et revend à Tufin 💀

👉 CrowdStrike & Orange Cyberdefense unissent leurs forces ⚔️

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

🤓​ Vous voulez en savoir plus ?

1️⃣ Orange piraté : 380 000 emails et des données clients volées !

Résumé : Un groupe de hackers a réussi à compromettre les systèmes d’Orange Roumanie, filiale du géant français des télécoms. L’attaque, menée par un membre du groupe HellCat, a permis aux assaillants d’infiltrer le réseau et de voler 6,5 Go de données internes incluant des dossiers d’utilisateurs et des dossiers d’employés. Malgré une note de rançon laissée sur les serveurs, Orange n’a pas répondu aux tentatives d’extorsion.

Les données volées incluent 380 000 adresses emails, des factures, des codes sources et des contrats, ainsi que des informations sur les clients du service Yoxo (offre mobile sans engagement). Orange a confirmé à BleepingComputer que la faille s'était produite sur une application non critique. L'entreprise a lancé une enquête et s'efforce de minimiser l'impact de l'incident.

Les détails :

1. Un accès prolongé et une exfiltration rapide : Les attaquants ont pénétré le réseau d’Orange pendant plus d’un mois avant de commencer l’exfiltration des données. Une fois l’opération lancée, ils ont réussi à extraire l’ensemble des fichiers en seulement trois heures, sans être détectés.

2. Des informations sensibles compromises : Parmi les fichiers volés, on retrouve des adresses emails de clients et employés, des contrats signés avec des partenaires, des factures et des extraits de données bancaires (bien que certaines soient expirées).

3. Une attaque facilitée par des identifiants volés et une faille Jira : Le pirate, connu sous le pseudonyme "Rey", affirme avoir exploité des identifiants compromis et des vulnérabilités dans Jira, le système de gestion de tickets utilisé en interne par Orange. L'acteur malveillant affirme avoir laissé une demande de rançon sur le système compromis, mais Orange n'a engagé aucune négociation.

4. HellCat impliqué, mais sans ransomware : Rey a déclaré avoir piraté Orange de manière indépendante tout en appartenant au groupe de ransomware HellCat, déjà impliqué dans des attaques contre Schneider Electric et l’opérateur télécom espagnol Telefónica. 

5. Orange tente de minimiser l’impact : L’opérateur a confirmé l’incident, mais assure que l’attaque a touché uniquement une application non critique. Pourtant, la fuite de données clients et employés pourrait exposer les victimes à des attaques de phishing et d’usurpation d’identité.

Que faut-il en retenir ?

L'attaque contre Orange a permis aux attaquants d'exfiltrer rapidement des données sensibles, grâce à des identifiants volés et une vulnérabilité dans Jira. Bien que l'attaque ait été menée par un membre du groupe HellCat, aucun ransomware n’a été utilisé. Orange minimise l'incident en affirmant que seule une application non critique a été touchée, mais la fuite expose les victimes à des risques de phishing et d'usurpation d'identité. 

2️⃣ Un botnet chinois de 130 000 appareils cible Microsoft 365​

Résumé : Un botnet massif, composé de 130 000 appareils compromis, a été identifié en train de mener des attaques de password spraying à grande échelle contre des comptes Microsoft 365. Cette opération a été détectée par SecurityScorecard, qui suspecte un groupe de hackers affilié à la Chine.

Contrairement aux attaques classiques de force brute, les cybercriminels ont exploité les connexions non-interactives de Microsoft 365, un mécanisme permettant aux systèmes d’accéder aux comptes sans nécessiter d’intervention humaine. Cette technique permet de contourner la multi-authentification (MFA) et rend la détection extrêmement difficile pour les équipes de sécurité.

Les détails :

1. Une attaque furtive difficile à détecter : Les connexions non interactives sont souvent utilisées par des applications ou des processus automatisés pour accéder aux services Microsoft 365. Ces sessions ne déclenchent ni demande de validation MFA, ni alerte de connexion inhabituelle. Par conséquent, les hackers peuvent tester des mots de passe sans être détectés par les systèmes de surveillance classiques.

2. Un botnet de 130 000 appareils sous contrôle des attaquants : L’ampleur de cette attaque est impressionnante. En effet, 130 000 machines infectées ont été repérées en communication avec des serveurs de command and control (C2) basés aux États-Unis. Ces appareils, probablement compromis par des malwares, ont été utilisés pour tester massivement des identifiants volés sur Microsoft 365, afin de prendre le contrôle de comptes sensibles.

3. La Basic Authentication encore active dans certaines organisations : Bien que Microsoft ait annoncé la suppression progressive de la Basic Authentication, certaines entreprises n’ont pas encore désactivé cette fonctionnalité obsolète. Cela facilite l’attaque des pirates, car les identifiants peuvent être envoyés en clair sans chiffrement renforcé, permettant aux hackers d’essayer un grand nombre de mots de passe sans blocage.

4. Un danger pour les entreprises et leurs données sensibles : Une fois un compte compromis, les attaquants peuvent accéder aux emails, aux fichiers OneDrive, aux outils collaboratifs et à des informations confidentielles. Cela ouvre la porte à des attaques plus avancées, comme le phishing interne, le vol de propriété intellectuelle et les mouvements latéraux dans le réseau.

5. Une attribution chinoise probable, mais non confirmée : SecurityScorecard estime que cette campagne est pilotée par un groupe de hackers chinois, bien que l’identité exacte des attaquants reste encore à confirmer. En octobre 2024, Microsoft a rapporté que plusieurs acteurs de la menace chinois avaient exploité des identifiants issus d'une attaque par pulvérisation de mots de passe. Cette opération impliquait un réseau d'appareils compromis, identifiés sous les noms de CovertNetwork-1658, Xlogin et Quad7. 

Que faut-il en retenir ?

Les entreprises doivent désactiver immédiatement la Basic Authentication et activer la surveillance des connexions non-interactives.  Par ailleurs, chaque structure ne doit plus se contenter de la MFA, car les cybercriminels exploitent des méthodes invisibles pour s’introduire dans les systèmes. De plus, il faut miser sur l’analyse des journaux de connexion et la restriction des accès automatisés pour bloquer ces attaques furtives.

3️⃣ ​DISA : 3,3 millions de dossiers de vérification d’antécédents exposés​

Résumé : DISA Global Solutions, un prestataire américain spécialisé dans la vérification d'antécédents et les tests de dépistage de drogues, a subi une cyberattaque massive. Pendant plus de deux mois, les hackers ont eu un accès prolongé et non détecté aux systèmes de DISA, compromettant les données de plus de 3,3 millions d’individus. Cette fuite touche de nombreux employés de grandes entreprises du Fortune 500, augmentant considérablement les risques d’usurpation d’identité et de fraude.

Les détails :

1. Un accès prolongé aux systèmes sans alerte : L’attaque a débuté le 9 février 2024, et n’a été détectée que le 22 avril 2024, laissant aux cybercriminels plus de deux mois pour naviguer librement dans les infrastructures de DISA. Cette longue période d’intrusion souligne un manque de surveillance efficace des accès internes et une probable absence de détection comportementale des anomalies.

2. Des données ultra-sensibles exposées : Les informations volées incluent numéros de Sécurité sociale (SSN), historique bancaire et numéros de cartes de crédit, antécédents criminels, résultats de dépistage de drogues ou encore dossiers médicaux liés aux examens d’aptitude professionnelle. La compromission de ces données place les victimes en situation de vulnérabilité extrême, car elles peuvent être utilisées pour des fraudes bancaires, des campagnes de phishing ciblées ou même des attaques d’ingénierie sociale visant à infiltrer des entreprises.

3. Un possible paiement de rançon : Un document interne, aujourd’hui supprimé, laisse entendre que DISA aurait payé une rançon pour tenter de récupérer les données ou limiter leur diffusion. Toutefois, rien ne garantit que les cybercriminels aient réellement détruit les informations. Cette situation rappelle un problème récurrent dans le monde de la cybersécurité : payer une rançon ne garantit jamais que les hackers respectent leur parole.

4. Les entreprises de vérification d’antécédents, des cibles de choix : Les sociétés comme DISA stockent d’énormes volumes de données sensibles, ce qui en fait une cible privilégiée pour les cybercriminels. Contrairement aux banques ou aux entreprises technologiques, ces prestataires sont moins surveillés et bénéficient de moins de régulations strictes, les rendant plus vulnérables.

5. Une réponse jugée insuffisante : DISA a réagi en proposant 12 mois de surveillance de crédit gratuite et de protection contre le vol d’identité aux victimes, mais cette mesure est largement critiquée. Beaucoup estiment que cette simple mesure de réparation ne compense pas les risques à long terme encourus par les personnes concernées.

Que faut-il en retenir ?

Cette cyberattaque rappelle que les prestataires de services RH et de vérification d’antécédents sont aujourd’hui des maillons faibles dans la cybersécurité des grandes entreprises. Il devient impératif pour ces sociétés d’adopter des standards de sécurité plus stricts et de renforcer leurs mécanismes de surveillance des intrusions pour éviter ce type d’attaques à l’avenir.

4️⃣ ​Skybox Security ferme brutalement ses portes et revend à Tufin

Résumé : L’un des acteurs majeurs de la gestion des politiques de sécurité réseau, Skybox Security, a annoncé sa fermeture immédiate, surprenant à la fois ses employés et ses clients. Cette décision brutale survient après des années de difficultés financières malgré des levées de fonds importantes. En parallèle, l’entreprise a revendu ses actifs à Tufin, une autre société israélienne spécialisée dans la cybersécurité.

Avec plus de 335 millions de dollars levés, Skybox Security semblait bien positionnée sur le marché. Pourtant, l’entreprise n’a jamais réussi à atteindre une rentabilité durable.

Les détails :

1. Une fermeture brutale et immédiate : L’annonce a été faite le 24 février 2025, lors d’une réunion interne dirigée par le PDG, Mordecai (Mo) Rosen. Tous les employés ont appris le jour même que l’entreprise cessait immédiatement toutes ses activités. Aucun plan de transition n’a été prévu, ni pour les salariés, ni pour les clients utilisant encore les solutions Skybox.

2. 300 employés licenciés sans préavis : La fermeture impacte 100 employés en Israël et 200 aux États-Unis, qui se retrouvent sans emploi du jour au lendemain. Le manque d’anticipation et de communication de la direction a été largement critiqué, notamment sur les réseaux professionnels comme LinkedIn, où plusieurs salariés ont partagé leur stupéfaction.

3. Tufin rachète les actifs technologiques mais pas les employés : Tufin, qui évolue dans le même secteur que Skybox, a décidé de récupérer uniquement les actifs technologiques et commerciaux, sans absorber les effectifs de son ancien concurrent. Ce rachat lui permet de consolider sa position sur le marché en intégrant certaines des innovations développées par Skybox.

4. Des clients dans l’incertitude : Pour tenter de limiter les dégâts, Tufin a annoncé un programme de transition appelé "Tufin ExpressPath", destiné aux entreprises qui utilisaient les solutions Skybox. Cependant, de nombreux clients s’inquiètent d’un risque de rupture de service et d’une migration forcée vers d’autres solutions, ce qui peut représenter des coûts et des défis techniques non négligeables.

Que faut-il en retenir ?

L’arrêt soudain de Skybox Security est un rappel brutal des incertitudes qui pèsent sur les startups en cybersécurité. Il montre aussi qu’il est essentiel pour les entreprises clientes de prévoir des stratégies de migration et de diversifier leurs fournisseurs pour éviter d’être prises au dépourvu en cas de fermeture d’un prestataire clé.

5️⃣ CrowdStrike & Orange Cyberdefense unissent leurs forces pour contrer les cybermenaces​

Résumé : Face à la montée en puissance des cyberattaques, Orange Cyberdefense a annoncé un partenariat stratégique avec CrowdStrike, l’un des leaders mondiaux de la protection des endpoints et des charges de travail cloud. L’objectif de cette alliance est d’améliorer les capacités de détection et de réponse aux menaces (MDR) et de renforcer son SOCaaS (Security Operations Center-as-a-Service).

Cette collaboration se concentre particulièrement sur la protection des PME et des petites structures (SOHO) en Europe et en Afrique. Ces entreprises sont souvent les plus vulnérables aux cyberattaques en raison d’un manque de ressources dédiées à la cybersécurité.

Les détails :

1. L’intelligence artificielle au cœur du dispositif : Orange Cyberdefense va intégrer la plateforme Falcon de CrowdStrike dans ses services de sécurité managés. Cette solution repose sur une intelligence artificielle avancée, capable d’identifier et de neutraliser les menaces en temps réel. Grâce à une analyse continue des données et à un moteur de corrélation sophistiqué, l’IA permet de réduire le temps de détection et de réponse aux incidents.

2. Un renforcement de la cybersécurité des PME et TPE : Aujourd’hui, plus de 66 % des victimes de cyber extorsion sont des PME ou des petites structures, qui disposent rarement d’un budget suffisant pour investir dans des outils de sécurité avancés. Grâce à cette alliance, ces entreprises pourront bénéficier d’une protection de niveau entreprise à un coût réduit, en accédant à une solution clé en main.

3. Un remède contre la pénurie de talents en cybersécurité : Le déficit de compétences en cybersécurité est une problématique majeure, et il devient de plus en plus difficile de recruter des experts pour surveiller et analyser les incidents en permanence.  En unifiant la protection des terminaux, des identités, du cloud et des données, cette plateforme garantit une sécurisation complète tout en optimisant l'infrastructure de défense.

4. Une expansion stratégique pour CrowdStrike en Europe et en Afrique :  Avec ce partenariat, CrowdStrike renforce sa présence sur le marché européen et africain, où Orange Cyberdefense est déjà un acteur dominant. Cela représente une opportunité de croissance majeure pour le leader américain, qui continue d’étendre son influence hors des États-Unis.

5. Un marché en plein essor pour le SOCaaS et le MDR : Les solutions SOCaaS et MDR connaissent une croissance fulgurante en raison de l’augmentation du nombre et de la complexité des cyberattaques. Selon les projections, le marché du MDR devrait atteindre plusieurs milliards de dollars dans les prochaines années. Avec ce partenariat, Orange Cyberdefense et CrowdStrike se positionnent comme des acteurs clés pour répondre à cette demande croissante.

Que faut-il en retenir ?

L’association entre Orange Cyberdefense et CrowdStrike marque une étape importante dans l’évolution des services de cybersécurité managés. Grâce à l’intelligence artificielle et à l’automatisation, cette alliance vise à offrir une protection avancée aux entreprises de toutes tailles, tout en réduisant leur dépendance aux experts humains. Dans un contexte où les cybermenaces sont de plus en plus sophistiquées, ce partenariat pourrait bien être un modèle pour l’avenir de la cybersécurité managée.

LIEUTENANT, AU RAPPORT !

BforeAI est une startup française spécialisée dans la cybersécurité prédictive. Fondée en 2020, elle utilise l'intelligence artificielle pour anticiper et prévenir les cyberattaques avant qu'elles ne se produisent. Grâce à des algorithmes avancés, BforeAI analyse en temps réel les menaces émergentes et fournit des solutions proactives pour protéger les entreprises contre les cybermenaces.

Fait marquant : 

En janvier 2025, BforeAI a levé 10 millions de dollars lors d’un tour de financement mené par Titanium Ventures. Ce tour porte l’investissement total à 30 millions de dollars depuis 2022. Basée à New York depuis avril 2024, la startup sans bureaux (modèle "no office") emploie 92 personnes dans 34 pays. Avec un chiffre d'affaires de 5 millions d'euros en 2024, BforeAI prévoit de dépasser les 20 millions de dollars en 2025, grâce à une expansion renforcée dans les secteurs des services publics, pharmaceutiques et de la santé.

CYBERTRIVIA - LE SAVIEZ-VOUS ?

Lors d’un exercice inédit à Paris, Thales a réussi à pirater un satellite de l'Agence spatiale européenne (ESA), dévoilant des vulnérabilités majeures dans les systèmes spatiaux. En prenant le contrôle d'un nano-satellite de moins de 10 kg, Thales a accédé aux systèmes de géolocalisation et à la caméra embarquée, insérant un code malveillant qui aurait pu altérer les images captées.

Mais saviez-vous que le premier satellite piraté de l’histoire remonte à 1998 ? Le satellite allemand ROSAT a été compromis par des hackers qui ont exploité une faille dans une station terrestre. Cette attaque a perturbé l'orientation des panneaux solaires du satellite, causant une surcharge et, finalement, la fin de sa mission.

Après avoir été mis hors service en 1999, ROSAT est retombé sur Terre le 23 octobre 2011, plus de 10 ans plus tard. Bien que la majorité de ses débris aient brûlé lors de la rentrée dans l’atmosphère, certains morceaux sont tombés dans l’océan Pacifique, sans causer de dommages.