FAILLES INVISIBLES : LA LIGNE DE DEFENSE EST PLUS PROCHE QU'ON NE LE CROIS !

In partnership with

​🤖​ Chers internautes et les amis Cyber-défenseurs,

Deux mois se sont écoulés, et l’année 2025 a démarré avec des menaces de cybersécurité toujours plus redoutables. Les cybercriminels ne se contentent plus d'utiliser des logiciels malveillants classiques ; ils exploitent désormais des outils de collaboration populaires et des logiciels de contrôle à distance, créant ainsi des attaques d'une sophistication sans précédent.

Dans cette édition, nous explorons un ensemble d'incidents où des ransomwares, des attaques par DDoS et des compromissions de dispositifs sont au cœur des nouvelles tendances. Ces menaces sont alimentées par une gestion inappropriée des identités, des failles dans les configurations d’accès, et l’exploitation de systèmes IoT vulnérables.

Les entreprises sont confrontées à une menace omniprésente et multidimensionnelle qui se propage rapidement dans les infrastructures critiques. De l'attaque complexe exploitant Microsoft Teams et Quick Assist, jusqu'à l'acquisition stratégique d'Identity Automation pour renforcer la gestion des accès, les entreprises doivent adapter leurs stratégies pour répondre aux menaces de plus en plus dynamiques et ciblées.

Les articles de cette édition vous fourniront une vue d'ensemble des dernières tactiques employées par les cybercriminels, des réponses stratégiques des entreprises, et des outils innovants développés pour contrer ces attaques. Découvrez aussi comment les réseaux botnets DDoS grandissent en taille et en complexité, comment des ransomwares ciblent des secteurs variés, et pourquoi la gestion des identités est désormais au centre des stratégies de cybersécurité.

Les grandes lignes :

👉 Microsoft Teams et Quick Assist exploités pour pénétrer vos systèmes 🔒

👉 350 Go de données volées : le gang Qilin revendique l’attaque contre Lee Enterprises 💼

👉 80 000 appareils piratés par le botnet Eleven11bot, êtes-vous à l’abri ? 📡

👉 Les graphes d’attaques pour révolutionner l’approche de la cybersécurité 📊

👉 Jamf rachète Identity Automation pour sécuriser vos identités et dispositifs 🔑

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

Looking for unbiased, fact-based news? Join 1440 today.

Join over 4 million Americans who start their day with 1440 – your daily digest for unbiased, fact-centric news. From politics to sports, we cover it all by analyzing over 100 sources. Our concise, 5-minute read lands in your inbox each morning at no cost. Experience news without the noise; let 1440 help you make up your own mind. Sign up now and invite your friends and family to be part of the informed.

Subscribe to 1440 today.

🤓​ Vous voulez en savoir plus ?

1️⃣ Les attaquants exploitent Microsoft Teams et Quick Assist pour pénétrer les systèmes : une menace persistante

Résumé : Depuis octobre 2024, des chercheurs de Trend Micro ont observé une série d'attaques sophistiquées ciblant principalement l'Amérique du Nord et l'Europe. Ces attaques ont utilisé des outils légitimes comme Microsoft Teams et Quick Assist pour infiltrer les réseaux, exploitant des techniques d'ingénierie sociale pour tromper les utilisateurs et obtenir des informations d'identification. 

Les détails :

1. Une attaque par social Engineering : Les cybercriminels utilisent des techniques d’ingénierie sociale pour duper les victimes et obtenir leurs informations d’identification. Ces attaques ont ciblé principalement les États-Unis, avec 17 incidents signalés, soit près de 80 % des cas observés par Trend Micro, principalement entre octobre 2024 et février 2025. Le Canada et le Royaume-Uni suivent, avec cinq incidents chacun, tandis que l'Europe en a enregistré un total de 18. 

2. Le mécanisme de l’attaque : Les attaquants utilisent dans un premier temps pour obtenir un accès initial. Par la suite, ils exploitent Microsoft Teams et Quick Assistant. Ils utilisent d’abord Microsoft Teams pour se faire passer pour des collègues ou des partenaires de confiance. Par ailleurs, Quick Assist et d'autres logiciels d'accès à distance permettent aux attaquants d'escalader leurs privilèges. Plus précisément, pour pénétrer plus profondément dans les systèmes internes. Cette technique a permis une escalade rapide des attaques, car les outils sont couramment utilisés dans les environnements professionnels.

3. Exploitation de OneDriveStandaloneUpdater.exe : Cetoutil de mise à jour légitime de OneDrive a également été détourné par les attaquants lors de ces dernières attaques pour charger des DLL malveillantes. C’est ce qui a permis aux attaquants d’accéder au réseau des entreprises cibles.

4. Lien entre Black Basta et Cactus Ransomware : Une fois l’accès initial établi, les attaquants déploient des malwares comme le BackConnect, qui leur permet de maintenir un accès persistant tout en exfiltrant des données sensibles. Le BackConnect est lié au malware QakBot, une menace bien connue associée à de nombreuses campagnes de ransomware, notamment celles qui ont ciblé des infrastructures critiques aux États-Unis et en Europe.

5. Exploitation du Cloud Storage : Les fichiers malveillants sont stockés et distribués via des services cloud mal configurés, ce qui permet une distribution à grande échelle. Les attaquants profitent de la mauvaise configuration des "buckets" de stockage cloud pour rendre les fichiers malveillants accessibles et faciliter la propagation du malware sur un grand nombre de systèmes.

Que faut-il en retenir ?

Les attaques utilisant des outils légitimes comme Microsoft Teams et Quick Assist illustrent la sophistication des menaces actuelles. La gestion des identités et des accès doit être repensée, avec des contrôles renforcés et l'utilisation de l'authentification multifacteur pour protéger les données sensibles contre ces attaques furtives.

2️⃣ Le gang Qilin revendique l’attaque de Lee Enterprises : vol de 350 Go de données !

Résumé : En février 2025, le groupe de ransomware Qilin a revendiqué une attaque contre Lee Enterprises, un groupe médiatique important aux États-Unis. Les hackers ont exfiltré 350 Go de données, comprenant des informations sensibles telles que des dossiers d'investisseurs et des paiements à des journalistes. L'attaque a affecté la distribution des journaux et les opérations en ligne de l'entreprise, menaçant de publier les données volées si une rançon n'est pas payée.

Les détails :

1. 350 Go de données volées : Qilin a volé une quantité importante de données sensible. Dans le tas : des dossiers d’investisseurs, des accords financiers qui soulèvent des questions, des paiements aux journalistes et aux éditeurs, des financements pour des reportages sur mesure et des approches pour obtenir des informations confidentielles. 

2. Rançon exigée : Les données volées ont été stockées et menacées d’être divulguées si une rançon de 215 millions de dollars n'était pas payée avant le 5 mars 2025. D’ailleurs, ce type de chantage devient de plus en plus courant parmi les groupes de ransomware, en particulier après la prise de conscience que la menace de publier des données peut exercer une pression plus grande que simplement crypter les fichiers.

3. Exploitation des médias : L'attaque a ciblé spécifiquement Lee Enterprises, un groupe de presse, impactant la publication de 75 journaux à travers les États-Unis. La perturbation a affecté non seulement les opérations de distribution de journaux, mais également les activités en ligne et les applications d’affaires. 

4. Techniques de ransomwares avancées : En plus du chiffrement des fichiers, les attaquants ont intégré des méthodes de divulgation publique, publiant des extraits de données pour étayer leurs menaces. Cette stratégie a pour objectif d’amplifier la pression sur les victimes. Elle s'accompagne de l'utilisation de techniques de chiffrement et de vol de données très avancées.

5. Implication de groupes russes : Qilin est un groupe de ransomware associé à des acteurs russes et a été responsable de nombreuses attaques similaires, dont une attaque notoire contre des hôpitaux londoniens en 2023. L’établissement a été forcé d'annuler des opérations et des rendez-vous à cause de l'attaque. Cela ne fait que confirmer la portée globale de ce groupe et son implication dans des attaques de grande envergure contre des infrastructures critiques.

Que faut-il en retenir ?

Le ransomware Qilin représente une menace grandissante pour les entreprises médiatiques, en particulier dans un environnement où les informations sensibles peuvent être utilisées pour nuire à la réputation d'une organisation. Il est crucial que les entreprises du secteur de l’information mettent en place des stratégies de protection renforcées, notamment en matière de gestion des données et de cybersécurité.

3️⃣ ​Le botnet Eleven11bot explose avec 80 000 appareils piratés pour lancer des attaques DDoS massives

Résumé : Baptisé Eleven11bot, ce nouveau botnet a récemment été identifié par l'équipe d'intervention d'urgence Deepfield de Nokia, qui a détecté des attaques DDoS hypervolumétriques orchestrées par ses. Selon un rapport de Nokia publié le 28 février, Eleven11bot aurait compromis environ 30 000 appareils, principalement des caméras de sécurité et des enregistreurs vidéo en réseau (NVR).

Les détails :

1. Expansion rapide : Eleven11bot a infecté plus de 86 000 appareils, principalement des caméras de sécurité et des enregistreurs vidéo en réseau. D’ailleurs, c’est devenu l'un des plus vastes botnets DDoS recensés récemment. Son impact est particulièrement notable dans des secteurs comme le gaming et les services de communication. Il est aussi capable de lancer des attaques DDoS massives qui peuvent atteindre des centaines de millions de paquets par seconde. Il est même parvenu à provoquer des interruptions de service pouvant durer plusieurs jours.

2. Appareils IoT ciblés : Les caméras de sécurité et les NVRs sont des cibles privilégiées pour les botnets DDoS en raison de leur nombre et de leurs vulnérabilités fréquentes. Environ 25 000 appareils compromis se trouvent aux États-Unis, 10 000 au Royaume-Uni, 3 000 en Australie et 4 000 au Canada.

3. Attaques DDoS massives : Le botnet a mené des attaques DDoS qui ont causé de lourdes perturbations dans les services. L'intensité de ces attaques a varié de quelques centaines de milliers à plusieurs centaines de millions de paquets par seconde (pps), impactant gravement des services critiques, avec des interruptions qui ont duré plusieurs jours.

4. Attaque par force brute et failles de sécurité : Selon GreyNoise, Eleven11bot a compromis de nouveaux appareils en utilisant des attaques par force brute. Pour ce faire, le botnet a exploité des mots de passe faibles ou par défaut sur les appareils IoT et a effectué des analyses de réseau visant les ports SSH et Telnet exposés. C’est ce qui lui a permis de s’étendre rapidement à de nouveaux appareils vulnérables à travers le monde.

5. Activité géopolitique : Censys a repéré 1 400 adresses IP associées au botnet en analysant les configurations et les bannières des terminaux, tandis que GreyNoise a identifié plus de 1 000 adresses IP attaquant ses honeypots. Par ailleurs, 61 % des 1 000 adresses IP associées au botnet proviennent d'Iran. 

Que faut-il en retenir ?

Les botnets DDoS, comme Eleven11bot, sont devenus des outils puissants et largement accessibles pour perturber des services critiques. Les entreprises doivent sécuriser leurs appareils IoT et adopter des stratégies de surveillance des réseaux afin de se protéger contre ces attaques massives et prolongées.

4️⃣ ​Les graphes d'attaques : une nouvelle méthode pour anticiper et neutraliser les menaces cybernétiques

Résumé : Les graphiques d’attaque offrent une vue d’ensemble des chemins qu’un attaquant pourrait emprunter pour exploiter des failles de sécurité et atteindre des ressources critiques. Contrairement aux modèles traditionnels qui classent les vulnérabilités selon leur gravité, ces graphiques intègrent l'exploitabilité et l'impact réel sur l’entreprise, apportant un contexte essentiel. Ils assurent également une surveillance continue, à l’inverse des évaluations ponctuelles comme les tests de pénétration.

En cartographiant les différentes voies d’attaque, ils aident les organisations à identifier et à corriger les points faibles stratégiques pour réduire le risque global.

Les détails :

1. Vue d'ensemble des vulnérabilités : Contrairement aux approches traditionnelles, les graphes d'attaques ne se concentrent pas uniquement sur les vulnérabilités individuelles mais offrent une vue d'ensemble de la façon dont ces vulnérabilités peuvent être combinées par un attaquant pour compromettre des actifs critiques. Ils permettent d'identifier les "points de congestion" où plusieurs failles se croisent. Cela offre ainsi des opportunités de réduction du risque en corrigeant ces points stratégiques.

2. Proactivité : Ces graphes offrent une vision dynamique et continue de la sécurité d’un environnement, contrairement aux tests de pénétration ponctuels qui peuvent rapidement devenir obsolètes. En intégrant des informations sur les vulnérabilités, les menaces et les comportements des attaquants, les graphes permettent une évaluation en temps réel et une anticipation des attaques avant qu’elles ne se produisent.

3. Amélioration de la gestion des risques : Grâce à la capacité d’analyser l’exploitabilité et l’impact commercial, les graphes d'attaques aident à prioriser les vulnérabilités les plus critiques. Cette méthode réduit les risques en évitant de se concentrer uniquement sur des scores CVSS élevés sans contexte. De plus, les équipes de sécurité peuvent détecter rapidement les points d’étranglement critique. Plus précisément, identifier les failles essentielles dont la correction permet de réduire significativement les risques sur plusieurs vecteurs d'attaque.

4. Types de graphes : Il existe plusieurs types de graphes d'attaques, chacun ayant ses avantages et ses limitations. Les graphes de sécurité, par exemple, offrent une vue des relations entre les composants, mais ne montrent pas comment un attaquant pourrait les exploiter. Les graphes holistiques, plus avancés, analysent l’évolution des attaques et modélisent des scénarios d'attaques réelles, offrant une visibilité continue sur les menaces.

5. Convergence entre identité et sécurité : En combinant la gestion des identités avec les graphes d'attaques, les entreprises peuvent non seulement comprendre les chemins d'attaque possibles, mais aussi ajuster les contrôles d'accès en fonction des risques identifiés. Ce processus permet une sécurité plus granulaire et adaptative, réduisant ainsi les risques d'intrusion tout en améliorant l'efficacité des remédiations..

Que faut-il en retenir ?

Les graphes d'attaques transforment la manière dont les entreprises évaluent et gèrent les menaces. Ces solutions permettent une approche plus stratégique et intégrée de la cybersécurité. Leur adoption devient essentielle pour les organisations cherchant à réduire les risques de manière proactive.

5️⃣ Jamf acquiert Identity Automation pour renforcer la sécurité des identités et des dispositifs

Résumé : Jamf, un leader dans la gestion des appareils mobiles Apple, a acquis Identity Automation pour intégrer une gestion dynamique des identités et des accès dans un seul produit. Cette acquisition vise à répondre à la croissance des attaques basées sur les identités, en permettant une gestion fluide des accès aux dispositifs et aux applications.

Les détails :

1. Acquisition stratégique : Jamf a acquis Identity Automation pour 215 millions de dollars afin de renforcer ses capacités en matière de gestion des identités et des accès (IAM). Cette acquisition permet à Jamf d’intégrer des solutions IAM dynamiques dans ses produits. Elle lui permettra aussi de créer une offre unifiée qui combine la gestion des identités et des dispositifs dans un seul environnement sécurisé.

2. Dynamic Identity : La plateforme d'Identity Automation ajuste dynamiquement les rôles et les permissions en fonction des changements de statut, comme ceux des étudiants ou des employés, dans des secteurs où les rôles sont fréquemment modifiés, tels que l’éducation. Cela permet une gestion fine des accès et une sécurité améliorée, en particulier pour des environnements mobiles complexes.

3. Réduction de la friction : Grâce à cette acquisition, Jamf peut simplifier les processus d’onboarding et d’offboarding des utilisateurs. Les employés ou étudiants peuvent commencer à utiliser leurs dispositifs dès qu'ils se connectent, ce qui améliore la productivité tout en maintenant des contrôles de sécurité stricts.

4. Sécurisation des environnements mobiles : Jamf prévoit d’intégrer cette technologie dans des secteurs sensibles comme l’éducation et la santé, où la gestion des identités et des dispositifs est essentielle pour protéger les données sensibles. L’intégration des solutions IAM d’Identity Automation avec les dispositifs Apple renforce la sécurité dans des environnements où les appareils mobiles sont utilisés par un grand nombre de personnes.

5. Expansion des capacités IAM : Identity Automation offre également des fonctionnalités telles que l’authentification multi-facteurs (MFA), l’accès basé sur les rôles, l’authentification unique (SSO), la gestion des plannings, la gestion du cycle de vie des identités et la gouvernance des accès. Ses solutions peuvent être utilisées de façon autonome ou intégrées à d'autres systèmes d'authentification uniques, comme Okta, Clever et ClassLink. Elles prennent en charge Microsoft Active Directory (AD) pour l'authentification et l'authentification multifacteur (MFA) et permettent la fédération ainsi que l'accès SSO aux applicatifs. Ces capacités permettent à Jamf de proposer une solution plus complète pour la gestion des identités et des accès dans des environnements d’entreprise complexes.

Que faut-il en retenir ?

L’acquisition de Identity Automation par Jamf marque une étape importante vers une gestion unifiée des identités et des appareils, ce qui est crucial pour sécuriser les environnements mobiles de plus en plus complexes.

LIEUTENANT, AU RAPPORT !

Hackuity : Une solution française révolutionnaire pour la gestion des vulnérabilités

Hackuity est une startup française fondée en 2019, spécialisée dans la gestion des vulnérabilités en temps réel. Sa plateforme, en mode SaaS, permet aux entreprises, principalement des grands comptes, de prioriser et remédier aux vulnérabilités de manière proactive. Hackuity propose une solution permettant de centraliser les vulnérabilités issues de plusieurs outils, comme les scanners de vulnérabilité et les tests d'intrusion, et d’appliquer un algorithme de priorisation pour réduire le volume de menaces à traiter.

La solution se positionne également comme un véritable cockpit pour les RSSI, offrant une vue d’ensemble de toutes les vulnérabilités et permettant de piloter les actions de remédiation. Hackuity s'intègre aux outils de patching, de ticketing et d’ITSM, facilitant ainsi la collaboration entre les équipes de cybersécurité et les services informatiques.

Fait marquant : 

Hackuity a remporté plusieurs prix, dont le Prix du Jury du FIC 2021, et continue de se renforcer en cybersécurité avec des solutions de modélisation des chemins d’attaque basées sur l'IA, redéfinissant ainsi la gestion des vulnérabilités pour les grandes entreprises.

En décembre 2024, une entreprise du Fortune 500 a découvert, grâce à Hackuity, une faille critique non détectée par ses outils traditionnels. Le graphe d'attaque développé par Hackuity a révélé une chaîne de vulnérabilités qui permettait à un attaquant de passer d’un serveur exposé à un accès total aux données financières. Suite à cette révélation, l’entreprise a pu mettre en place des correctifs en urgence, évitant ainsi une catastrophe potentielle.

Hackuity représente aujourd’hui l’une des solutions émergentes les plus prometteuses dans le domaine de la cybersécurité, en proposant une approche proactive pour la gestion des vulnérabilités. Grâce à sa plateforme innovante, elle aide les entreprises à anticiper et à neutraliser les menaces avant qu'elles ne deviennent des problèmes majeurs.

CYBERTRIVIA - LE SAVIEZ-VOUS ?

Saviez-vous que QakBot, le célèbre malware bancaire, a survécu pendant plus de 15 ans avant son démantèlement ?

QakBot, alias "Qbot", est l'un des malwares les plus persistants de l’histoire de la cybersécurité. Conçu à l’origine en 2007 comme un cheval de Troie bancaire, il a évolué au fil des ans pour devenir un outil multifonction utilisé par les ransomwares et d'autres groupes criminels.

Voici 4 faits que vous ignorez peut-être sur QakBot :

• Un acteur clé des ransomwares : QakBot a permis à des groupes comme Black Basta d’infiltrer les réseaux d’entreprises et d’exfiltrer des millions de dollars.

• Un virus aux multiples visages : Il s'adapte aux nouvelles défenses en utilisant des techniques avancées d’évasion, telles que l’injection de code dans des processus Windows légitimes.

• Une neutralisation tardive : Malgré plusieurs tentatives de démantèlement, ce n’est qu’en août 2023, grâce à une opération internationale menée par le FBI et Europol, que QakBot a été supprimé des systèmes de milliers de victimes.

• Un héritage qui perdure : Suite à sa chute, les cybercriminels ont rapidement adopté des alternatives, comme BackConnect et d'autres loaders malveillants, poursuivant la menace avec de nouvelles méthodes d’infection.

Les malwares ne meurent jamais vraiment, ils évoluent ! 🚨