Ces dernières semaines, un phénomène particulièrement inquiétant a été observé: les acteurs malveillants profitent du service légitime d'Amazon Simple Email Service (SES) comme infrastructure pour des campagnes de phishing de haute qualité. La valeur stratégique de SES pour les attaquants n'est pas accidentelle: en utilisant une plate-forme d'expédition fiable et vérifiée, les emails malveillants peuvent supprimer les contrôles réguliers et atteindre les plateaux d'entrée avec des en-têtes et des signatures qui semblent légitimes.
La racine du problème est la présentation des références dans un texte plat.. Les dépôts publics, les fichiers .env, les images Docker et les sauvegardes mal protégées continuent de filtrer les clés d'accès AWS, et les criminels ont automatisé leur recherche avec des outils qui scannent de grands volumes de données publiques. Ce même processus, une fois automatisé, vous permet de vérifier les autorisations, de valider les limites d'expédition et d'utiliser le compte compromis pour diffuser des milliers de messages en peu de temps.
Le résultat technique est clair : lorsque l'expéditeur est Amazon SES, les protocoles tels que SPF, DKIM ou DMARC ne constituent plus un obstacle pratique au distributeur d'escroqueries, et l'option de bloquer les adresses IP devient inefficace car elle impliquerait de bloquer une partie du courrier légitime qui traverse la même infrastructure dans le cloud. De plus, les attaquants hébergent des pages d'hameçonnage dans les services AWS, ajoutant une couche supplémentaire de crédibilité et rendant difficile à détecter par les listes noires traditionnelles.
Les attaques observées ont déjà dépassé le phishing générique : les criminels fabriquent des fils de courrier complets, des modèles HTML qui reproduisent de vrais flux de connexion et de faux documents pour tromper les services financiers avec des factures frauduleuses. Cette évolution vers la BEC (engagement vers le courrier d'affaires) et les pages supplantées hébergées dans le cloud nécessite de repenser la défense, qui ne peut pas compter uniquement sur des filtres basés sur la réputation.
Que doit faire immédiatement l'équipement technique: supprimer les clés d'accès à longue utilisation, les faire tourner fréquemment et les remplacer par des rôles temporaires lorsque cela est possible; appliquer le principe du privilège mineur pour chaque identité; forcer l'authentification multifacteurs (AMF) dans tous les comptes avec des permis administratifs; et restreindre l'accès par adresse IP ou des plages spécifiques pour les opérations sensibles. En parallèle, activez les enregistrements et alertes dans CloudTrail et CloudWatch pour détecter les habitudes anormales d'utilisation de ES, et fixez des limites opérationnelles qui nécessitent un examen humain avant d'augmenter brusquement le volume d'expédition.
Au niveau du cycle de développement, il est essentiel d'intégrer le balayage secret dans les pipelines et d'empêcher la publication accidentelle de clés. Les outils de détection dans le dépôt lui-même - comme la solution publique qui inspire beaucoup de ces campagnes - aident à la fois à éviter les fuites et à réagir rapidement lorsqu'elles se produisent. Pour plus de contexte sur cet outil de détection, vous pouvez consulter votre dépôt officiel dans https: / / github.com / sécurité des truffes / truffes Porcs et pour les recommandations de la gestion de l'identité dans les SSFE, il convient de consulter les bonnes pratiques de l'AMI dans https: / / docs.aws.amazon.com / IAM / latest / UserGuide / best-practices.html.
Il existe aussi des mesures organisationnelles qui réduisent l'impact : établir des processus de vérification secondaires pour les paiements et les commandes (confirmation téléphonique ou canaux de messagerie), former les équipes de services financiers et de service à la clientèle à la détection des signaux d'ingénierie sociale, et déployer des solutions de sécurité du courrier qui effectuent une analyse dynamique du lien et du contenu en cliquant (scanner l'URL à temps de clic) plutôt que de ne compter que sur des signatures statiques.
Responsabilité partagée et pression sur les fournisseurs sont deux éléments clés: les entreprises doivent resserrer leurs pratiques internes, mais les fournisseurs de cloud peuvent aussi atténuer les abus en améliorant la détection des anomalies dans l'utilisation de services tels que ES et en appliquant des contrôles automatiques lorsqu'un ensemble d'identificateurs montre un comportement atypique. Un rapport technique récent documente ce type d'abus et fournit des traces qui illustrent la sophistication actuelle; pour poursuivre cette recherche, l'analyse publiée par Kaspersky peut être consultée sur https: / / securelist.com / amazon-ses-physical-and-bec-attacks / 119623 /.
En bref, la facilité avec laquelle un service légitime peut être recyclé pour des campagnes malveillantes nécessite la combinaison de contrôles techniques ( rotation clé, MFA, moindre privilège, surveillance), de pratiques de développement sécuritaires (analyse secrète, examen des appareils) et de politiques opérationnelles (vérification des paiements, formation). Ignorer l'une de ces couches laisse les organisations et les utilisateurs exposés à la fraude qui compte aujourd'hui sur la crédibilité de l'infrastructure cloud.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...