ILS SONT PARTOUT, ILS VOIENT TOUT : COMMENT PRESERVER VOTRE ENTREPRISE DE L'INVASION ?

In partnership with

​🤖​ Chers internautes et les amis Cyber-défenseurs,

Alerte rouge dans le cyberspace ! Trois cents infrastructures critiques sont tombées. GitHub est devenu un champ de ruines numériques, où plus de 23 000 projets ont été compromis. Des escrocs, sans vergogne, usurpent l’identité de groupes de rançongiciels connus pour semer la peur sans même écrire une ligne de code malveillant.

Ce que nous affrontons désormais n’est plus une menace unidimensionnelle : c’est une hydre, polymorphe, invisible, évolutive. Et elle est déjà dans vos systèmes.

Les batailles ne se gagnent plus avec des firewalls et des scans antivirus. L’ennemi infiltre vos workflows CI/CD, joue avec vos vulnérabilités humaines, détourne les logos, les mots et les signaux faibles pour faire tomber vos défenses.

Des IA plus intelligentes que jamais scrutent vos comportements, anticipent vos réponses, adaptent leurs attaques à vos moindres gestes. Le champ de bataille ? Ce sont vos terminaux, vos collaborateurs, vos décisions.

Accrochez-vous. Ce n’est pas une veille technologique, c’est une cartographie du champ de bataille. Une alerte tactique. Un kit de survie stratégique. Et si vous n’êtes pas encore abonné, il est temps de choisir votre camp.

Les grandes lignes :

👉 L’armée fantôme qui terrorise les infrastructures critiques 🧟‍♂️

👉 23 000 projets GitHub exposés à cause d’une simple action 🐛

👉 Le gang Clop… ou pas : les escrocs singent les maîtres du ransomware 🎭

👉 L’IA multimodale voit ce que l’analyste ne perçoit pas 🧠

👉 DSI, CFO, juristes : les nouveaux visages du cyberleadership 👔

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

🗞️​Vous savez quoi ?

Ready to level up your work with AI?

HubSpot’s free guide to using ChatGPT at work is your new cheat code to go from working hard to hardly working

HubSpot’s guide will teach you:

• How to prompt like a pro

• How to integrate AI in your personal workflow

• Over 100+ useful prompt ideas

All in order to help you unleash the power of AI for a more efficient, impactful professional life.

Get the free guide and level up your AI game today!

🤓​ Vous voulez en savoir plus ?

1️⃣ Medusa : l’armée fantôme qui terrorise les infrastructures critiques

Résumé : Depuis son apparition en juin 2021, le ransomware Medusa s’impose comme l’une des menaces les plus agressives du moment. Sa récente vague d’attaques, documentée par la CISA, le FBI et le MS-ISAC, a déjà touché plus de 300 cibles dans des secteurs critiques comme la santé, l’éducation, ou encore la tech. Plus qu’un simple logiciel de chiffrement, Medusa incarne un modèle RaaS sophistiqué, fondé sur la double extorsion et un usage avancé d’outils de contournement.

Les détails :

1. Vecteurs d’intrusion bien rodés : Medusa infiltre les réseaux en exploitant des vulnérabilités non patchées ou via des campagnes de phishing ciblées. Deux failles critiques sont particulièrement mises à profit : CVE-2024-1709, qui permet un contournement d'authentification dans ScreenConnect, et CVE-2023-48788, une injection SQL affectant Fortinet EMS. Jouant sur l'agilité et l'opportunité, le groupe s'attaque aux brèches les plus accessibles pour maximiser son impact.

2. Tactiques de discrétion et de persistance : Une fois infiltrés, les acteurs de Medusa s’appuient sur des outils d’administration légitimes comme PowerShell, WMI, AnyDesk, Atera ou ConnectWise pour passer inaperçus. Cette approche, connue sous le nom de "living off the land", complique leur détection. Pour assurer leur persistance sans déclencher d’alerte, ils neutralisent également les systèmes de sécurité endpoint.

3. Tunnels et communications chiffrées : Pour exfiltrer des données ou établir une communication avec leurs serveurs, les attaquants s’appuient sur Ligolo et Cloudflared, deux solutions de tunneling inversé. Ces techniques contournent firewalls et proxies, rendant la surveillance réseau inefficace sans l’appui de solutions NDR avancées.

4. Extorsion psychologique : Medusa exploite un système de pression psychologique via un portail de négociation sur le dark web, avec compte à rebours de 48h. Si la victime ne paie pas, les données sont mises en vente. Des cas ont même montré des demandes supplémentaires après un premier paiement, multipliant l'effet destructeur.

5. Critiques sur les recommandations officielles : Si le FBI préconise l’application des patchs, l’activation du MFA et la segmentation réseau, certains experts, comme Roger Grimes, estiment que l’ingénierie sociale, principal vecteur d’intrusion, reste trop négligée. L’absence de recommandations sur la sensibilisation représente un angle mort stratégique dans la lutte contre ces attaques.

Que faut-il en retenir ?

Medusa illustre la professionnalisation extrême du modèle RaaS : automatisé, furtif, psychologiquement brutal. L’enjeu dépasse la simple réponse technique. Les attaques récentes révèlent l’urgence d’une stratégie défensive holistique : patch management rigoureux, EDR/NDR synchronisés, mais surtout une culture interne de cybersécurité active. Ne pas payer reste une règle d’or, mais cela doit être soutenu par une véritable anticipation. L’impact sectoriel est majeur : santé, éducation et infrastructures vitales doivent désormais envisager Medusa comme une menace de niveau stratégique.

2️⃣ GitHub piégé : 23 000 projets exposés à cause d’une simple action

Résumé : Une simple action sur GitHub compromise a suffi à compromettre plus de 23 000 dépôts. L’affaire, révélée par StepSecurity et analysée par Sysdig, démontre la fragilité des pipelines CI/CD face à des attaques de type « supply chain ». La compromission de tj-actions/changed-files a exposé à des risques majeurs des projets open source, dont certains appartiennent à de grandes organisations.

Les détails :

1. Le vecteur d’attaque : une action populaire et vulnérable : L’action tj-actions/changed-files permet de détecter les fichiers modifiés dans un dépôt. Elle est utilisée massivement dans les workflows DevOps. Le 14 mars, il a été découvert que le script avait été modifié pour exfiltrer les secrets de build CI/CD via un script Python injecté de manière furtive en Node.js, codé en base64.

2. Des secrets exposés dans les logs publics : Le code malveillant détournait les secrets du Runner Worker (tokens, clés API, identifiants) vers les logs de build. Or, dans les dépôts publics, ces logs sont accessibles à tous. Les attaquants misaient sur la négligence des mainteneurs pour collecter des secrets valides à très grande échelle, sans avoir besoin de compromettre les comptes eux-mêmes.

3. Origine : un jeton d’accès de bot piraté : Le point d’entrée a été un PAT (Personal Access Token) appartenant au bot @tj-actions-bot. Ce jeton a été volé via une méthode encore inconnue, et utilisé pour injecter le code malveillant. Depuis, toutes les permissions du bot ont été restreintes, les clés renouvelées et les commits désormais signés.

4. Répercussions critiques sur des entreprises majeures : Selon Wiz, les secrets exposés comprennent des accès AWS, GitHub PAT, jetons npm, et même des clés RSA privées. Plusieurs dépôts de grandes entreprises ont été affectés. Le plus inquiétant : aucune preuve directe d’exfiltration externe, mais maintenant que l’incident est public, la ruée vers les logs compromis est enclenchée.

5. Mesures urgentes recommandées : Il est crucial pour les projets touchés d’auditer leurs logs, de révoquer tous les secrets liés à l’Action, et de bannir l’usage de tj-actions/changed-files. GitHub recommande également d’épingler les Actions sur des SHA fixes plutôt que des versions, pour éviter les attaques par mise à jour furtive.

Que faut-il en retenir ?

Cette attaque est un signal d’alarme pour la communauté DevSecOps : les dépendances CI/CD sont la nouvelle surface d’attaque critique. Le fait qu’un projet aussi simple ait pu servir de cheval de Troie démontre à quel point l’écosystème est fragile. Désormais, auditer ses workflows, restreindre les permissions des bots et épingler les Actions sont des bonnes pratiques vitales. Cette affaire pourrait aussi redéfinir les standards de confiance dans le monde open source. La chaîne d’approvisionnement logicielle devient l’un des champs de bataille clés de la cybersécurité moderne.

3️⃣ ​Le gang Clop… ou pas : attention aux escrocs !

Résumé : Dans un contexte où la notoriété d’un groupe APT devient une arme en soi, des cybercriminels opportunistes se font passer pour le gang Clop afin d’extorquer de l’argent. L’analyse de Barracuda Networks met en lumière une campagne d’e-mails frauduleux bien orchestrée, mais dénuée des éléments caractéristiques des vraies attaques Clop. Une tendance inquiétante où la peur remplace la compromission réelle.

Les détails :

1. Leurre basé sur une attaque réelle : Les escrocs affirment avoir exploité Cleo, une plateforme de transfert de fichiers, en s’appuyant sur un fait réel : Clop a attaqué 66 clients Cleo. L’e-mail d’extorsion inclut un lien vers un article vérifié pour donner de la crédibilité, mais ne fournit ni preuve d’exfiltration, ni canal sécurisé de communication.

2. Absence des marqueurs typiques de Clop : Contrairement aux vraies campagnes Clop, les e-mails frauduleux n’incluent pas de canal sur Tor, pas de compte à rebours, ni de noms d’entreprises piratées. Aucun hash de fichier volé, aucun échantillon, ni même de note de rançon structurée. Tout repose sur la peur d’être associé à une attaque publique.

3. Après Clop, BianLian : Des arnaques similaires, cette fois en se faisant passer pour le groupe BianLian, ont été identifiées par le FBI et GuidePoint Security. Ces campagnes cherchent à capitaliser sur la réputation des groupes APT sans en avoir les moyens techniques. Une simple adresse e-mail suffit à initier la pression.

4. Techniques avancées de phishing en parallèle : Le rapport de Barracuda pointe aussi une montée des attaques via LogoKit, une plateforme de phishing-as-a-service active depuis 2022. Elle permet une interaction dynamique avec les victimes, adaptant en temps réel les pages de phishing selon les identifiants saisis. Couplée à des fichiers SVG malicieux, elle échappe souvent aux antivirus classiques. 

5. Recommandations : vérification, patience, communication : Les experts conseillent de ne pas céder à la panique : en cas de doute, faire appel à une équipe de réponse à incident avant de répondre ou de payer quoi que ce soit. Vérifier les canaux utilisés, les preuves fournies, et croiser avec les IOC connus. Une réaction hâtive face à une fausse menace peut coûter très cher.

Que faut-il en retenir ?

Ce type d’escroquerie marque une évolution dans le phishing : le « ransomware sans ransomware ». Désormais, il n’est plus nécessaire de compromettre un réseau pour extorquer – il suffit de faire croire à une compromission. Cela impose aux entreprises une montée en maturité : savoir faire la différence entre une réelle attaque et une tentative de bluff devient un enjeu majeur. Cela nécessite des outils de threat intelligence, mais aussi une coordination étroite entre les équipes IT, juridiques et communication. Le facteur humain, encore une fois, est la première ligne de défense.

4️⃣ ​Quand l’algorithme voit ce que l’analyste ne perçoit pas

Résumé : Lors de la conférence Virus Bulletin 2024, Sophos a levé le voile sur un pan encore peu exploré de la cyberdéfense : l’IA multimodale. En combinant les analyses textuelles, visuelles et comportementales dans un même cadre, cette approche marque une rupture technologique dans la détection des menaces complexes comme le phishing et les contenus web malveillants. L’ère de la perception artificielle globale est en marche.

Les détails :

1. Fusion des flux textuels et visuels : Contrairement aux modèles traditionnels qui traitent indépendamment le texte ou les images, l’IA multimodale croise ces sources. Exemple : un faux mail Costco est analysé à la fois pour ses logos douteux, son langage manipulateur, et ses URL masquées. L’algorithme détecte les incohérences sémantiques et visuelles, impossible à capter en mode silo.

2. Détection des signaux faibles d’ingénierie sociale : Le modèle identifie des tactiques comme l’urgence induite ou les demandes inhabituelles. Il conserve une base dynamique de récits frauduleux et de modèles d’hameçonnage. Chaque nouveau mail est évalué dans une matrice de cohérence linguistique et d’intentions sous-jacentes, au-delà du simple matching de mots-clés.

3. Vérification avancée de l’identité visuelle : La fidélité des logos, la conformité des polices et la cohérence des mises en page sont analysées via des signatures numériques et métadonnées d’image. Les différences subtiles dans les couleurs ou les tailles de police sont détectées, même si elles échappent à l’œil humain, ce qui permet de repérer des contrefaçons élaborées.

4. Analyse comportementale des URL et typosquatting : L’IA évalue le lien entre l’ancre affichée et la véritable destination d’une URL. Elle repère également les domaines usurpés (homographes, typosquatting) et les tentatives de masquage via HTML/CSS. Cela permet de détecter des campagnes sophistiquées comme celles basées sur LogoKit.

5. Résultats expérimentaux sans appel : Comparée aux modèles XGBoost ou Random Forest, l’IA multimodale (basée sur GPT-4o) explose les scores F1 : jusqu’à 0,97 sur du phishing inconnu, contre 0,53 pour les modèles classiques. Idem sur le contenu NSFW, avec des performances atteignant 0,96. L’algorithme s’adapte en temps réel aux nouveaux scénarios d’attaque.

Que faut-il en retenir ?

L’IA multimodale représente une révolution conceptuelle dans la détection des cybermenaces. Elle permet une compréhension contextuelle, holistique et dynamique, là où les modèles classiques peinent à suivre l’évolution rapide des tactiques adverses. Dans un monde où les signaux faibles sont devenus la norme, cette technologie offre une perception "sixième sens" aux outils de défense. Son intégration dans les SOC modernes pourrait bien redéfinir les standards de prévention, en remplaçant la logique binaire par une vision systémique et adaptative. La cyberdéfense entre dans l’ère de la cognition augmentée.

5️⃣ Les nouveaux visages du leadership cyber

Résumé : La cybersécurité n’est plus un enjeu purement technique : elle devient un levier stratégique. Alors que les attaques menacent directement les opérations et les finances, de nouveaux profils émergent à la tête des directions cybersécurité. Des experts en risques, juristes, ou dirigeants passés par la finance prennent désormais les commandes, insufflant une vision business à la sécurité des systèmes. Un changement de paradigme profond s’opère.

Les détails :

1. De la conformité à la résilience : Pendant longtemps, la cybersécurité s’est concentrée sur la conformité : cocher les cases pour être dans les clous réglementaires. Aujourd’hui, la vraie question est « Sommes-nous résilients ? ». Une entreprise peut-être 100 % conforme… et totalement vulnérable. Le shift vers une culture de la résilience continue devient central. 

2. Des profils hybrides au pilotage cyber : Les nouveaux responsables cybersécurité viennent du droit, des fusions acquisitions ou de la gestion des risques. Leur force : comprendre l’impact opérationnel et financier d’une attaque. Leur capacité à dialoguer avec les comex, à arbitrer entre ROI, compliance et innovation, leur donne un avantage stratégique dans un contexte de menaces permanentes.

3. Vision transversale et pilotage des priorités : Le RSSI moderne doit travailler main dans la main avec les directions juridiques, RH, finances et IT. Il doit savoir expliquer un incident en termes de risque réputationnel, de continuité d’activité et de pertes financières. La sécurité devient un langage partagé entre experts et dirigeants. 

4. Surveillance continue plutôt qu’audits périodiques : Finis les audits annuels statiques : place à une surveillance continue, des indicateurs en temps réel, et des tableaux de bord orientés risque. L’automatisation devient une nécessité pour lutter contre la fatigue des alertes. La sécurité se gère comme une performance financière, avec KPI, revue et ajustement continus.

5. Investissements proactifs en hausse : Une étude Omdia montre que 70 % des entreprises ont augmenté leurs budgets en cybersécurité proactive sur l’année écoulée. Moins de firewall, plus d’anticipation. Cette tendance confirme que les entreprises ne veulent plus survivre aux attaques, mais les prévenir – et surtout en tirer avantage concurrentiel.

Que faut-il en retenir ?

Le leadership cyber entre dans une nouvelle ère, où l’expertise technique ne suffit plus. Pour répondre aux menaces hybrides actuelles, les entreprises ont besoin de profils capables d’intégrer la cybersécurité à la stratégie globale. Le RSSI devient un chef d’orchestre transversal, orienté résilience, ROI et gouvernance. La sécurité ne protège plus seulement les serveurs, elle protège la mission même de l’entreprise. Ce repositionnement transforme la perception de la cybersécurité : non plus un coût, mais un pilier de croissance et d’innovation.

LIEUTENANT AU RAPPORT 🏆

Filigran : le jeune commandant qui sécurise les géants

Filigran est une pépite française de la cybersécurité, fondée en 2022 par Samuel Hassine et Julien Richard. En moins de deux ans, cette startup a séduit des entités prestigieuses comme le FBI, la Commission européenne, Hermès ou encore le Cyber Command de l’État de New York.

Sa plateforme open source OpenCTI, spécialisée dans la connaissance des menaces cyber, est déjà utilisée par plus de 6 000 organisations publiques et privées à travers le monde. Avec 83 salariés et une levée de fonds cumulée de 60 millions de dollars, Filigran s’impose comme un nouvel acteur incontournable du renseignement cyber..

Faits marquants : 

L’histoire de Filigran est née dans les coulisses de l’ANSSI. Samuel Hassine, alors responsable de l’analyse des menaces, développe sur son temps libre un projet open source destiné à centraliser et à structurer l’information sur les cybermenaces. 

Le projet rencontre rapidement un succès fulgurant. La plateforme OpenCTI devient le socle technologique du consortium français piloté par Thales, et une référence mondiale dans la veille stratégique.

Grâce à ce « vaisseau amiral », Filigran décline aujourd’hui plusieurs outils dont OpenBAS, une plateforme de simulation d’attaques et de gestion de crise, et planche sur une solution d’analyse de risque en temps réel.

Mais au-delà de la technologie, c’est l’exécution qui impressionne : une levée de 35 millions $ en moins de 9 mois, une expansion rapide aux États-Unis et en Australie, et des alliances stratégiques avec des géants comme Crowdstrike ou Palo Alto. 

L’entreprise mise désormais sur l’IA pour automatiser la structuration des rapports de menace, affiner les corrélations internes à sa plateforme et renforcer la réactivité des équipes cyber. Filigran n’est plus une promesse : c’est une démonstration concrète que l’innovation française peut, elle aussi, imposer ses standards à l’échelle mondiale.

CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔

Saviez-vous que le mot de passe des ordinateurs chargés de contrôler les missiles nucléaires de l'armée américaine était, pendant des années, tout simplement "00000000" ?

Dans les années 1960, en pleine guerre froide, la priorité était donnée à la capacité de riposte rapide en cas d'attaque nucléaire. Pour garantir une réaction immédiate, les systèmes de lancement de missiles Minuteman étaient équipés de verrous de sécurité appelés PAL (Permissive Action Links).

Cependant, pour s'assurer que ces verrous n'entravent pas une réponse rapide, les codes de sécurité ont été simplifiés au maximum. Ainsi, le code "00000000" était utilisé et partagé parmi le personnel autorisé, souvent noté sur des papiers pour être facilement mémorisé.​

Cette simplification extrême des mesures de sécurité exposait les systèmes à des risques majeurs. Si une personne non autorisée avait eu connaissance de ce code, elle aurait pu, en théorie, déclencher une attaque nucléaire. Heureusement, aucune exploitation malveillante de cette vulnérabilité n'a été recensée.​

Ce n'est qu'après plusieurs années que l'armée américaine a pris conscience de la gravité de cette faille de sécurité. Des mesures ont alors été mises en place pour renforcer la protection des systèmes d'armement nucléaire, notamment en complexifiant les codes d'accès et en améliorant les protocoles de sécurité.​