La récente alerte du FBI sur l'utilisation de Telegram comme une infrastructure de commandement et de contrôle par les acteurs iraniens montre à nouveau quelque chose que les experts en cybersécurité avertissent depuis des années : les plateformes de messagerie, conçues pour la communication quotidienne, peuvent également devenir un canal pour des opérations offensives complexes. Dans son avis public, l'agence souligne que des campagnes ciblant des journalistes critiques avec le gouvernement iranien, des dissidents et d'autres groupes d'opposition ont utilisé des liens et des fichiers malveillants pour exercer une pression sur les équipes Windows et, de là, extraire des pantings, des documents et d'autres informations précieuses.
Ce n'est pas seulement du phishing : c'est une collection d'intelligence masquée.. Selon le FBI, les intrusions ont non seulement cherché l'interruption, mais elles ont cherché à accumuler des données qui ont ensuite été filtrées ou utilisées pour nuire à la réputation des victimes. Dans de nombreux cas, les attaquants ont combiné l'ingénierie sociale avec des outils qui permettent de contrôler à distance les équipes engagées, une technique qui fait que la victime remarque à peine la présence de l'adversaire jusqu'à ce qu'il soit trop tard. La déclaration technique du FBI, publiée dans son bulletin IC3, fournit des détails sur les indicateurs d'engagement et les recommandations d'atténuation des risques : Voir FBI IC3 PDF.
Le rapport du FBI relie ces campagnes à des groupes d'affinité iranienne, dont le groupe hackertiviste connu sous le nom de Handala et un groupe soutenu par l'État appelé Homeland Justice. En outre, les chercheurs mentionnent un acteur distinct nommé Karma Below, tous liés à l'exfiltration de données et aux publications du site Web qui ont servi de boîtes aux lettres publiques pour les documents volés. En réponse à ces opérations, les autorités américaines ont récemment confisqué plusieurs domaines utilisés par ces groupes, bloquant temporairement l'un des canaux utilisés pour diffuser des documents volés.
Un cas qui illustre la mesure dans laquelle ces campagnes peuvent endommager les infrastructures critiques est l'incident contre le secteur médical multinational Stryker. Dans cette intrusion, les attaquants ont obtenu des privilèges administratifs dans un domaine Windows et ont lancé un ordre distant pour supprimer ou restaurer plusieurs appareils gérés par Microsoft Intune. Le résultat a été la perte massive de données dans l'équipement de l'entreprise et des travailleurs dont la direction était dans le système de l'entreprise. Pour mieux comprendre la capacité d'Intune à effectuer des effacements distants (une fonctionnalité légitime que les attaquants peuvent abuser s'ils obtiennent des identifiants avec des privilèges), Microsoft documente comment l'action de "wipe" fonctionne sur son portail: plus d'informations sur la suppression à distance dans Intune.
Un autre sujet de préoccupation est la réutilisation des plateformes de messagerie non seulement en tant que vecteur passif (liens ou fichiers), mais en tant qu'infrastructure active de commande et de contrôle. Telegram, pour sa nature de canaux et de robots, offre des mécanismes que les adversaires peuvent utiliser pour envoyer des instructions pour maltraiter ou recevoir des données exfiltrées sans passer par leurs propres serveurs de traçabilité difficile. Cela complique la détection, car le trafic vers Telegram peut sembler légitime et crypté, et de nombreuses organisations permettent l'utilisation de ces applications pour des raisons professionnelles ou personnelles.
Parallèlement à l'activité iranienne, les autorités ont également mis en garde contre des campagnes orchestrées par des acteurs russes du renseignement ciblant des utilisateurs de messages tels que Signal et WhatsApp. Ces attaques sont souvent fondées sur des techniques d'hameçonnage conçues pour enlever des comptes en obtenant des codes de vérification ou une tromperie pour que la victime puisse y accéder. Les certificats nationaux et les agences européennes ont publié des avis décrivant des régimes similaires, confirmant que le risque s'étend au-delà d'une plate-forme ou d'une géographie unique; un exemple d'alerte émise par les autorités françaises se trouve ici: Avis CERT-FR sur les campagnes contre la messagerie.
Que peut faire une personne ou une équipe de travail pour réduire les risques? Tout d'abord, supposons que les plateformes de messagerie sont un vecteur légitime : méfiance envers les liens ou les fichiers inattendus, même s'ils proviennent de contacts connus dont le compte peut être compromis. Deuxièmement, protéger les comptes avec une authentification multifactorielle robuste et éviter de recevoir des codes d'accès SMS si possible, car ce canal est susceptible d'enlèvement. Troisièmement, appliquer le principe de moins de privilège dans la gestion du système : tous les utilisateurs ne devraient pas avoir le droit de créer des administrateurs ou de lancer des actions d'effacement à distance. En outre, le maintien de systèmes et d'applications à jour réduit la zone d'exploitation dont les attaquants cherchent à profiter.
Pour les organisations, il est essentiel de mettre en œuvre la détection de comportements anormaux (par exemple, le trafic inhabituel vers les services de messagerie à partir de serveurs qui ne devraient jamais y accéder) et d'examiner les politiques relatives à l'utilisation d'applications personnelles dans le matériel d'entreprise. Les sauvegardes vérifiées et isolées sont un autre élément essentiel : si un adversaire réussit à supprimer des appareils ou des données de chiffrement, une récupération fiable limite l'impact opérationnel et de réputation.
L'image qui dessine ces alertes est celle d'une guerre d'information où l'échange de messages et l'authenticité des comptes sont des armes et des objectifs. La convergence entre les techniques d'ingénierie sociale, l'abus de services légitimes et les opérations géopolitiques signifie que ces menaces ne diminuent pas avec un seul patch. Au contraire, elle exige une combinaison d'hygiène numérique individuelle, de contrôles techniques et de coopération internationale entre les entreprises et les autorités pour identifier, bloquer et démanteler l'infrastructure utilisée par les agresseurs.
La recommandation finale doit être tenue informée de sources officielles et spécialisées et agir avec prudence : consulter le rapport technique du FBI sur ces campagnes peut aider les équipes de sécurité et les utilisateurs à reconnaître les indicateurs d'engagement et à prendre des mesures concrètes avant que l'exposition n'entraîne une perte de données ou des dommages à la réputation. Pour ceux qui veulent approfondir les détails techniques et les recommandations, le bulletin du FBI IC3 et les alertes des équipes nationales d'intervention sont de bons points de départ : IC3 / FBI et CERT-FR.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...