TL;DR : L’essentiel
- Le cybercriminel connu sous le pseudonyme Zestix a compromis une cinquantaine d’organisations majeures, dont la compagnie aérienne Iberia, en utilisant des identifiants volés par des malwares comme RedLine ou Vidar sur des postes d’employés.
- Selon les analyses du cabinet israélien Hudson Rock, toutes les victimes partageaient une faille critique : aucune n’avait activé l’authentification multifacteur (MFA) sur ses portails de partage de fichiers comme ShareFile ou Nextcloud.
- Le butin est colossal et inclut des secrets militaires d’Intecro Robotics, des dossiers médicaux de la police brésilienne et même des rapports de tests délibérément dissimulés sur des systèmes ferroviaires du constructeur CRRC MA.
- L’attaquant monétise déjà ces accès, proposant par exemple 139 Go de données d’ingénierie sensibles volées au cabinet Pickett and Associates pour un montant de 6,5 bitcoins, soit environ 585 000 dollars.
Une fuite de données massive frappe actuellement plusieurs secteurs économiques mondiaux, allant de l’ingénierie de pointe aux infrastructures gouvernementales. Ce n’est pas le fruit d’une vulnérabilité « zéro-day » complexe ou d’une attaque par force brute, mais la conséquence directe d’une hygiène numérique défaillante. L’acteur malveillant, identifié comme Zestix ou Sentap, opère en tant que courtier d’accès initial depuis 2021. Sa méthode est d’une simplicité désarmante : il récupère des identifiants valides via des « infostealers », ces logiciels malveillants qui aspirent les historiques de navigation et mots de passe enregistrés, pour ensuite se connecter légitimement aux portails d’entreprise. Comme le souligne un rapport de sécurité récent, le pirate n’a eu besoin ni d’exploit ni de cookies, se contentant d’entrer par la porte principale avec un simple mot de passe.
Cette situation met en lumière l’importance cruciale de l’authentification multifacteur (MFA) pour protéger les données sensibles et éviter de telles violations.
Quand le cybercriminel se connecte au lieu de pirater
L’ampleur des dégâts illustre la dangerosité des accès « cloud » non sécurisés. Parmi les victimes, on retrouve des entités gérant des informations d’une sensibilité extrême. Le cabinet d’avocats Burris & Macomber a ainsi vu fuiter des stratégies de défense juridique et des milliers de dossiers clients contenant des numéros de châssis (VIN) et des adresses personnelles. Plus inquiétant encore, des documents techniques confidentiels concernant la sécurité ferroviaire, incluant des coordonnées GPS de salles de contrôle et des rapports de tests sur des systèmes de propulsion et de CVC (chauffage, ventilation et climatisation) du fabricant CRRC MA, filiale du plus grand constructeur mondial de matériel roulant, sont désormais dans la nature.
L'essentiel Cybersécurité, IA & Tech
Rejoignez la communauté. 3 fois par semaine, recevez l'analyse des tendances par Marc Barbezat. Pas de spam, juste de l'info.
Cette campagne met en lumière la fragilité des plateformes de synchronisation de fichiers (EFSS) lorsqu’elles ne sont protégées que par une authentification simple. Un porte-parole de l’éditeur Progress, dont la solution ShareFile est concernée, a confirmé à The Register que les compromissions résultaient de l’utilisation d’identifiants valides dans des environnements dépourvus de couches de sécurité supplémentaires. Le vol de 2,3 To de données médicales appartenant à la police militaire brésilienne via une instance Nextcloud démontre qu’aucun secteur n’est épargné par cette négligence.
Verrouiller l’accès : pourquoi l’authentification forte est non négociable
L’incident Zestix prouve que le mot de passe seul est une protection obsolète. L’authentification simple repose sur un facteur unique : « ce que je sais » (le mot de passe). Dès lors que ce secret est partagé ou volé par un infostealer, la barrière tombe. L’authentification forte (MFA pour Multi-Factor Authentication) impose de valider l’identité de l’utilisateur via au moins deux preuves distinctes parmi trois catégories : ce que je sais (mot de passe), ce que je possède (un smartphone, une clé USB de sécurité) et ce que je suis (biométrie).
Activer l’authentification forte transforme une compromission d’identifiants en simple tentative échouée. Même si un pirate possède le mot de passe d’un employé, il restera bloqué devant la demande de validation du second facteur. C’est une mesure d’hygiène vitale, d’autant que les méthodes actuelles se diversifient pour allier sécurité et fluidité : applications d’authentification générant des codes temporaires (TOTP) ou notifications « push » à valider sur mobile. L’absence de ce filet de sécurité transforme chaque poste de travail infecté en une porte ouverte sur l’intégralité du réseau d’entreprise.
Vers le « Passwordless » : l’avenir des clés de passe (Passkeys)
Si le MFA classique est un rempart efficace, il n’est pas infaillible face aux attaques de « phishing » sophistiquées qui tentent d’intercepter les codes SMS. L’industrie s’oriente désormais vers le « Passwordless » et l’utilisation des clés de passe (Passkeys). Cette technologie, basée sur les standards FIDO, supprime totalement le mot de passe transmissible. L’authentification repose sur une paire de clés cryptographiques : une clé privée stockée de manière sécurisée sur l’appareil de l’utilisateur (téléphone ou ordinateur) et une clé publique sur le serveur.
Pour se connecter, l’utilisateur déverrouille simplement sa clé privée via un geste local (FaceID, empreinte digitale ou code PIN de l’appareil). Contrairement à un mot de passe, une Passkey ne peut pas être devinée, ni volée sur un serveur (puisque seule la clé publique y est stockée), ni phishée (car elle est liée cryptographiquement au nom de domaine légitime du site). Si les 50 entreprises victimes avaient adopté cette technologie, les identifiants dérobés par les infostealers auraient été totalement inutilisables pour l’attaquant.
En attendant la généralisation du sans mot de passe, l’utilisation d’un gestionnaire de mots de passe reste le socle de toute stratégie de défense. Ces coffres-forts numériques sont indispensables pour générer des identifiants complexes, uniques pour chaque site, et stocker vos clés de passe en toute sécurité. C’est l’outil essentiel pour éviter l’effet domino d’une fuite de données.
Proton Pass
Gérez vos mots de passe et identités en toute simplicité. Chiffrement de bout en bout pour une sécurité maximale de vos accès.
🔐 Protéger mes mots de passe 🛒 Lien affilié : en commandant via ce lien, vous soutenez la veille DCOD sans frais supplémentaires 🙏Il est impératif pour les organisations de cesser de traiter la gestion des accès comme une commodité pour la considérer comme la ligne de front de leur défense. L’affaire Zestix n’est pas une prouesse technique, mais un rappel brutal que la technologie la plus avancée ne peut compenser l’absence des fondamentaux de sécurité.
FAQ : Le lexique pour tout comprendre
Qu’est-ce qu’un courtier d’accès initial ?
Un courtier d’accès initial (Initial Access Broker ou IAB) est un cybercriminel qui se spécialise dans l’intrusion. Il ne mène pas l’attaque finale (vol de données massif ou ransomware) lui-même. Son rôle est de fracturer la porte du réseau, de vérifier qu’elle fonctionne, puis de revendre cet accès « clé en main » à d’autres groupes criminels sur le dark web.
Qu’est-ce qu’un infostealer ?
C’est un type de logiciel malveillant (malware) conçu spécifiquement pour la discrétion et le vol. Une fois installé sur un ordinateur (souvent via un téléchargement piégé), il aspire les données sensibles comme les mots de passe enregistrés dans le navigateur, les cookies de session ou les portefeuilles de cryptomonnaies, pour les envoyer au pirate.
C’est quoi les codes temporaires (TOTP) ?
TOTP signifie « Time-based One-Time Password ». C’est un code à 6 chiffres qui change automatiquement toutes les 30 secondes. Contrairement au code reçu par SMS, il est généré directement par une application sur votre téléphone, même sans réseau.
Exemples de solutions gratuites : Google Authenticator, Microsoft Authenticator, Authy, 2FAS.
Comment fonctionnent les notifications « push » ?
C’est une méthode d’authentification plus rapide que le code à recopier. Lorsque vous tentez de vous connecter sur votre ordinateur, vous recevez une notification instantanée sur votre smartphone via l’application de sécurité. Il vous suffit d’appuyer sur « Approuver » ou « Refuser » pour valider votre identité.
Que sont les standards FIDO ?
FIDO (Fast Identity Online) est un ensemble de normes de sécurité mondiales visant à remplacer le mot de passe. Ces standards permettent une authentification forte « incassable » par phishing, en utilisant la biométrie (empreinte, visage) ou des clés de sécurité physiques (comme les YubiKeys) pour prouver votre identité sans jamais transmettre de secret sur le réseau.
Serveurs, API, outils de veille.
DCOD est un projet indépendant sans revenu. L'infra a un coût. Participez aux frais.
