LE PROCHAIN COMBAT SE PREPRARE : ETES VOUS ARME POUR DEFENDRE VOTRE ORGANISATION

​🤖​ Chers internautes et les amis Cyber-défenseurs,

Un matin comme les autres. Puis l’alerte tombe : 21 millions de captures d’écran internes exposées. Une simple app de surveillance d’employés s’est transformée en passoire stratégique. 

Sur un autre front, les éclaireurs du GTIG (Google Threat Intelligence Group) détectent une recrudescence des attaques zero-day. Ces failles invisibles ciblent nos outils défensifs eux-mêmes. 44 % d’entre elles frappent directement les infrastructures entreprises. La menace se déplace : les civils numériques ne sont plus en sécurité.

Puis c’est le FBI qui frappe : 42 000 domaines de phishing sont neutralisés. Un nid tentaculaire, alimenté par plus de 10 000 cybercriminels. Nom de code : LabHost. Bilan : plus de 133 millions d’euros de pertes. Une victoire tactique… mais les clones de LabHost se forment déjà ailleurs.

Et l’arme fatale ? L’IA. Elle est tombée dans de mauvaises mains. WormGPT, EvilProxy, scan automatisé à 36 000 requêtes/seconde… Le dark web n’est plus un repaire d’élites : c’est une fabrique de guerre à ciel ouvert.

Mais une lueur surgit : Terra Security. Une startup armée d’IA pentesteurs. Pas des scripts. Des entités offensives autonomes capables de tester en continu, anticiper, infiltrer. Une nouvelle doctrine se dessine.

Les grandes lignes :

👉 L’app WorkComposer piège ses propres clients 🖥️

👉 Des failles Zero-Day invisibles explosent les défenses pro 📉

👉 Le FBI démentèle un empire de 42 000 sites de phishing🎯

👉 Cyberattaques sous stéroïdes : IA, automation et dark web changent les règles 💀

👉 Terra Security bouscule le game avec son IA offensive 🚀

Si on t’a transféré cette lettre, abonne-toi en cliquant sur ce lien !

🗞️​Vous savez quoi ?

🤓​ Vous voulez en savoir plus ?

1️⃣ Des agents fédéraux accusés de siphonner des données confidentielles sous couverture gouvernementale 

Résumé : WorkComposer, une solution de surveillance des employés, a exposé plus de 21 millions de captures d’écran stockées sur un bucket AWS non sécurisé. Ces images, prises toutes les quelques minutes, détaillent les moindres activités numériques des salariés. Ce qui expose non seulement des processus internes, mais aussi des données sensibles comme des identifiants, documents confidentiels, et communications. Pire : l’entreprise n’a fourni aucun commentaire malgré les alertes. Une situation qui fait écho à d'autres fuites similaires, comme celle de WebWork, et interroge sur la sécurité réelle de ces logiciels souvent intrusifs.

Les détails :

1. Surveillance continue et exhaustive : WorkComposer prenait des captures toutes les 10 minutes, collectait les frappes clavier, l’usage d’applications, et les URL visitées. Cela transforme chaque poste distant en mouchard permanent.

2. Risque d’ingénierie sociale et d’espionnage industriel : Les images contiennent potentiellement des identifiants, codes OTP visibles, ou des documents sensibles comme des devis, stratégies ou bases de données clients.

3. Faille de configuration banale, conséquences majeures : Un bucket S3 mal configuré est un classique des fuites, mais à cette échelle, cela devient une brèche stratégique. Cela démontre aussi un défaut de sécurité “by design”.

4. Silence radio de l’éditeur : Aucun communiqué, aucune transparence de la part de WorkComposer, laisse penser à une absence de politique de gestion de crise ou de communication en cybersécurité.

5. Résonance juridique internationale : Selon les juridictions (RGPD, CCPA…), cette fuite pourrait exposer les entreprises clientes à des amendes ou des recours collectifs, car elles restent responsables des outils qu’elles utilisent.

Que faut-il en retenir ?

Cette fuite massive soulève des questions urgentes sur l’usage de logiciels de surveillance dans le télétravail. Elle démontre que la sécurité de ces outils est souvent négligée, alors qu’ils collectent des données à très haute sensibilité. Pour les DSI, CTO et RSSI, l’affaire est un signal d’alarme : auditer les outils tiers est impératif.

2️⃣ Zero-day : ces failles invisibles exposent la défense des pros  

Résumé : Selon le Google Threat Intelligence Group, les vulnérabilités zero-day exploitées ont augmenté de 19 % depuis 2022, avec une nette bascule vers les produits d’entreprise. En 2024, 44 % de ces failles ont visé des solutions professionnelles, notamment des outils de sécurité et de réseau. Ces produits, souvent critiques et très interconnectés, deviennent des cibles de choix pour les attaquants, d’autant plus que peu de solutions EDR surveillent efficacement leur activité. La capacité des attaquants à exploiter ces failles sans chaîne d’exploit complexifie la détection et accentue le risque de compromission à grande échelle.

Les détails :

1. Un basculement stratégique des attaquants : 44 % des zero-days en 2024 ciblent des systèmes professionnels (firewalls, VPN, appliances mail, etc.), contre 37 % en 2023. Les attaquants veulent désormais contourner les protections plutôt que les affronter.

2. Déficit de télémétrie sur les équipements critiques : Les systèmes de sécurité comme les WAF ou passerelles sont souvent mal intégrés aux solutions XDR/EDR. C’est ce qui permet de créer une “zone aveugle” dans la détection des compromissions.

3. Exploitation directe sans exploit chain : Plusieurs zero-days suffisent à compromettre un système sans étapes intermédiaires. Un simple accès RCE (remote code execution) peut suffire à pivoter vers d’autres actifs critiques.

4. Cibles idéales pour les APTs : Les groupes sponsorisés par des États privilégient ces vecteurs, car ils offrent un accès rapide et furtif à des réseaux entiers. Les motivations dominantes restent l’espionnage, l’exfiltration de données et la surveillance.

5. Inertie des éditeurs et dette technique : Le nombre de produits visés sont anciens, maintenus avec difficulté, et dépendent de chaînes de mise à jour complexes. Cela explique pourquoi certains zero-days restent exploitables plusieurs mois, voire années.

Que faut-il en retenir ?

La menace zero-day n’est plus un mythe réservé aux hautes sphères militaires : elle est désormais intégrée aux opérations quotidiennes des cybercriminels et APTs. Pour les entreprises, cela signifie qu’il faut penser au-delà de l’antivirus et du patch : détection comportementale, renforcement des accès, micro-segmentation réseau et threat intelligence sont désormais incontournables.

3️⃣ LabHost démantelé : l’empire de 42 000 sites de phishing révélé par le FBI

Résumé : Le FBI a publié une liste de 42 000 domaines utilisés par la plateforme LabHost, un service de phishing-as-a-service (PhaaS) qui a causé plus de 133 millions de dollars de pertes entre 2021 et 2024. Cette infrastructure permettait à 10 000 cybercriminels d’exploiter plus de 200 marques pour dérober identifiants, codes 2FA, et données bancaires. Le démantèlement de LabHost, orchestré avec l’aide de la NCA et Europol, marque une étape cruciale dans la lutte contre les kits de phishing industrialisés. La liste publiée offre désormais un levier précieux pour les analystes SOC et les équipes de réponse à incident.

Les détails :

1. Un modèle “as-a-service” industrialisé : LabHost offrait des kits prêts à l’emploi, accessibles via abonnement, avec interface, logs de vol, et support 24/7. Même un novice pouvait lancer une campagne crédible en quelques clics.

2. Contournement des doubles authentifications : Les kits intégraient des proxys malveillants comme EvilProxy. Ce qui fait qu’il est possible d’intercepter en temps réel les OTP et codes MFA des victimes. Cela permettait de contourner les protections pourtant avancées.

3. Impact massif sur les utilisateurs finaux : Plus d’un million d’identifiants ont été compromis, ce qui affecte aussi bien des comptes bancaires que des accès à des CRM, des outils RH ou des plateformes de santé.

4. Un partenariat global dans la riposte : L’opération menée en avril 2024 a impliqué Europol, la NCA britannique, Microsoft, et les autorités américaines. Une preuve que seule une collaboration transnationale peut affaiblir ces écosystèmes criminels.

5. Un levier d’analyse rétrospective précieux : Les 42 000 domaines exposés offrent aux SOC et équipes IT la possibilité d’automatiser la détection d’accès passés ou de connexions internes vers ces domaines.

Que faut-il en retenir ?

LabHost marque une nouvelle étape dans l’industrialisation du phishing. Le PhaaS permet de lancer des campagnes complexes sans aucune compétence technique. Pour les RSSI et analystes SOC, l’analyse des domaines révélés est une opportunité unique de traquer des compromissions invisibles jusque-là. La vigilance ne peut plus être réactive : elle doit être anticipative, outillée, et collaborative.

4️⃣ ​Cyberattaques sous stéroïdes : IA, automation et dark web changent les règles 

Résumé : Le dernier rapport de FortiGuard Labs révèle une escalade inquiétante de la menace cyber, alimentée par l’IA, l’automatisation et l’essor du dark web. Les attaquants utilisent désormais des outils comme WormGPT, EvilProxy ou SIPVicious pour automatiser la reconnaissance, exploiter plus rapidement les vulnérabilités, et industrialiser le phishing, l’extorsion et l’accès initial. La facilité d’accès à ces ressources abaisse la barrière technique d’entrée pour les cybercriminels. Certaines industries, comme la fabrication ou les services professionnels, sont de plus en plus ciblées, avec des hausses d’attaques allant jusqu’à 17 %. Une transformation du paradigme défensif s’impose.

Les détails :

1. Générateurs malveillants dopés à l’IA : Des outils comme FraudGPT ou BlackmailerV3 produisent des emails de chantage automatisés, des pages de phishing dynamiques et même des deepfakes exploitables en ingénierie sociale.

2. Automatisation de la reconnaissance et du scan : Les scanners comme SIPVicious permettent de sonder les réseaux publics à raison de 36 000 scans par seconde. Résultat : le temps entre vulnérabilité et exploitation se réduit drastiquement.

3. Dark Web devenu place de marché structuré : Les Initial Access Brokers (IABs) fournissent des accès d’entreprises complets qui inclut VPN, RDP, accès admin, parfois pour quelques centaines d’euros. L’accès initial est désormais un produit.

4. Cibles sectorielles en forte hausse : Le manufacturing (+17 %), les services business (+11 %) et le retail (+9 %) sont parmi les plus attaqués. Ces secteurs sont souvent en retard sur la sécurité applicative ou le patch management.

5. Défenses à moderniser en urgence : Face à des attaquants organisés comme des PME, les entreprises doivent investir dans des tactiques offensives (red teaming, MITRE ATT&CK), simuler les attaques internes, et renforcer les réponses automatisées.

Que faut-il en retenir ?

La cybercriminalité entre dans une nouvelle ère : rapide, industrialisée, décentralisée. L’IA et l’automatisation abaissent la barrière d’entrée pour les attaquants et accélèrent la compromission. Pour survivre, les entreprises doivent abandonner les réflexes de défense périmétrique et adopter des stratégies dynamiques et offensives, capables de répliquer à la vitesse des menaces.

5️⃣ Pentests autonomes : Terra Security bouscule le game avec son IA offensive 

Résumé : Terra Security a remporté l’édition 2025 de l’accélérateur cybersécurité AWS/CrowdStrike/NVIDIA grâce à sa solution innovante de pentest autonome basé sur l’IA agentique. Sa technologie repose sur une armée de “hackers éthiques automatisés” capables d’exécuter en continu des tests de sécurité web avec adaptation contextuelle. Sélectionnée parmi plus de 36 startups, Terra a su séduire un jury prestigieux composé des CSO d’AWS, CrowdStrike et NVIDIA. Cette victoire consacre la montée en puissance de l’IA offensive dans le paysage de la cybersécurité, où la détection proactive et la simulation constante deviennent des éléments stratégiques essentiels.

Les détails :

1. Agentic AI offensive : Terra met en œuvre des agents autonomes qui imitent les comportements de vrais attaquants. Ils ont une capacité à interpréter le contexte métier d’une application, repérer des failles logiques, et ajuster les scénarios d’attaque.

2. Pentest continu vs pentest annuel : Là où la majorité des audits sont réalisés une à deux fois par an, Terra propose une couverture permanente. Cela permet d’identifier des vulnérabilités dès leur apparition dans un cycle de déploiement.

3. Reconnaissance sectorielle forte : Lauréate de l’accélérateur CrowdStrike/AWS/NVIDIA, Terra a été sélectionnée parmi 36 startups et jugée en finale par des figures du secteur comme George Kurtz (CrowdStrike) et CJ Moses (AWS).

4. Positionnement stratégique dans le DevSecOps : Terra s’intègre dans les pipelines CI/CD des entreprises, ce qui permet de renforcer la sécurité dès la phase de développement sans ralentir les équipes produit.

5. Vision long terme : Terra ambitionne de devenir une plateforme mondiale de pentesting autonome, où chaque nouvelle vulnérabilité publique est automatiquement simulée sur l’environnement cible.

Que faut-il en retenir ?

Terra Security incarne la convergence entre offensive cyber et automatisation intelligente. Dans un contexte où les attaques se multiplient plus vite que les capacités humaines à y répondre, cette approche d’IA offensive continue offre une réponse stratégique adaptée au rythme du cloud et du DevOps. C’est aussi une nouvelle philosophie : tester avant d’être testé, anticiper avant d’être surpris.

LIEUTENANT AU RAPPORT 🏆

GitGuardian, une innovation cyber à suivre de très près

GitGuardian est une startup française fondée en 2017, spécialisée dans la sécurité du code source. Elle propose des solutions qui permettent de détecter les secrets exposés (clés API, tokens, mots de passe) dans les dépôts GitHub publics et privés. Ce qui permet ainsi de protéger les infrastructures cloud et les environnements DevOps.

Faits marquants : 

GitGuardian s’est imposée comme un acteur incontournable de la cybersécurité européenne. En 2021, elle remporte le prix du Forum International de la Cybersécurité (FIC), intègre la marketplace GitHub comme application n°1 en sécurité, puis réalise une levée de fonds de 44 millions de dollars (série B) menée par Eurazeo et Sapphire. 

En 2022, elle devient membre corporatif de l’OWASP et obtient la certification SOC 2 Type II, gage de sa maturité en matière de conformité et sécurité. Ces reconnaissances confirment la qualité technique de sa solution et la vision stratégique de l’entreprise dans un contexte où le DevSecOps devient clé.

CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔

Savez-vous que le ransomware le plus cher de l’histoire était de 70 millions de dollars ?

En 2021, le groupe REvil a exigé une rançon de 70 millions de dollars lors d’une attaque contre Kaseya, un fournisseur de solutions IT utilisé par des milliers d’entreprises à travers le monde. Cette attaque par rebond, qui a touché indirectement plus de 1 500 entreprises, reste l’une des plus coûteuses et spectaculaires jamais enregistrées. Elle a démontré la puissance du modèle “supply chain attack” combiné au ransomware-as-a-service, et a redéfini les priorités de la défense cyber au niveau mondial.