Les chercheurs en cybersécurité ont identifié deux groupes criminels - connus dans de multiples rapports comme Araignée cordiale et Snarky Spider- qui conduisent à un changement inquiétant dans l'industrie : attaques à grande vitesse et à faible vitesse fonctionnant presque exclusivement dans des environnements SaaS fiables. Ces bandes combinent des techniques d'ingénierie sociale (vishing) basées sur la voix avec des pages d'hameçonnage adverses dans le milieu (AiTM) visant à capturer des références et des codes MFA, leur permettant de pivotant directement sur les fournisseurs d'identité et les applications SaaS connectées sans devoir engager chaque service séparément.
Le mode d'opération décrit par les analystes est simple et efficace : d'abord, ils convainquent un employé - souvent en tant que personnel de soutien technique - de visiter une URL malveillante qui intercepte l'authentification SSO; ensuite, ils utilisent ces identifiants pour enregistrer un nouvel appareil, supprimer les appareils légitimes et supprimer les alertes créant insidieusement des règles dans la boîte de réception qui supprime les messages de notification. Après avoir grimpé les privilèges en grattant les répertoires internes, les attaquants cherchent des documents et des rapports de grande valeur sur des plateformes telles que Google Workspace, Microsoft SharePoint, HubSpot ou Salesforce, pour exfilter et parfois extorquer la victime. Des recherches publiques récentes ont permis d'obtenir des résultats dans ces opérations en utilisant des techniques de « living-off-the-land » et des procurations résidentielles afin d'entraver l'attribution et d'échapper aux filtres de réputation IP de base.
Les implications sont claires: le fournisseur d'identité (ID) devient un seul point d'échec. Si les attaquants y obtiennent des sessions valides, ils peuvent se déplacer latéralement dans tout l'écosystème de SaaS avec une seule authentification, réduisant leur empreinte légale et accélérant le temps d'impact. Pour les organisations moyennes et grandes, cela entraîne des risques directs pour la confidentialité des données sensibles, la continuité opérationnelle et l'exposition réglementaire dans la protection des données et la communication des lacunes.
Compte tenu de ce scénario, les mesures défensives devraient donner la priorité à la protection du périmètre d'identité et à la capacité de détecter une activité anormale au sein de SaaS. Les pratiques les plus efficaces comprennent l'adoption de méthodes d'authentification résistant au phishing (par exemple FIDO2 / WebAuthn et clés de sécurité physique), des politiques d'accès conditionnel qui évaluent le risque par contexte de session (emplacement, appareil, comportement) et l'élimination ou la restriction des méthodes MFA basées sur les codes SMS ou TOTP si elles ne sont pas évaluées par des contrôles supplémentaires. Il est également essentiel d'avoir des comptes en « verre cassé » avec un contrôle et une vérification rigoureux, et de permettre la conservation et l'exportation des logiciels IPP et SaaS pour l'analyse médico-légale.
La détection de ces campagnes nécessite une observation spécifique : surveillance des enregistrements de nouveaux appareils, modification de la configuration du MFA, création de règles de boîte de réception, octroi de jetons inhabituels et de schémas d'accès différenciés entre plusieurs services dans une fenêtre courte. L'intégration des capacités de détection et d'intervention de la menace d'identité (ITDR), de la BCSA et de la DLP permet de corréler des signaux qui peuvent sembler bénins mais qui, ensemble, indiquent un engagement. En outre, le blocage ou l'étiquetage du trafic à partir des procurations résidentielles et l'enrichissement des événements par l'intelligence sur les infrastructures malveillantes réduisent les faux négatifs.
Sur le plan humain et sur le plan procédural, il convient de renforcer les mesures de lutte contre le harcèlement : établir des procédures de vérification pour les appels de soutien (par exemple, codes de vérification des appels sortants ou autres canaux de confirmation), simuler les attaques contre le harcèlement dans les programmes de sensibilisation et préparer des exercices de table comprenant le rétablissement des identités engagées et la coordination avec les fournisseurs SaaS pour révoquer les sessions et les pouvoirs concernés. Le maintien de canaux de communication avec des groupes d'échanges sectoriels tels que RH-ISAC et avec des équipes d'intervention externes accélère la détection et le confinement dans les cas réels; voir les ressources générales de réponse et d'analyse dans CrowdStrike et Mandiant, et des notes de renseignement d'unités comme l'unité 42 Réseaux Palo Alto.
Pour les dirigeants, la priorité est de comprendre que la sécurité ne se limite plus à protéger les terminaux et les réseaux : l'identité est le nouveau périmètre. Investir dans les contrôles d'identité, la visibilité au sein de la pile SaaS et les plans d'intervention qui envisagent l'exfiltration et l'extorsion rapides réduira la probabilité et l'impact de ces attaques. Enfin, la documentation et l'essai des flux de rapports aux clients et aux organismes de réglementation face à une fuite possible et ayant un soutien juridique et des communications sont aussi importants que la médiation technique.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...