LES CYBERCRIMINELS SONT DÉJÀ DANS VOS SERVEURS... PENSEZ-VOUS ÊTRE PROTÉGÉ ?

In partnership with

🤖​ Chers internautes et les amis Cyber-défenseurs,

Les cybercriminels ne cherchent plus à forcer les portes. Ils les contournent. Ils exploitent nos outils, parlent notre langage, utilisent nos propres systèmes contre nous. 

Un Velociraptor ici, un Visual Studio Code détourné là. Rien d’anormal à première vue… jusqu’à ce que la production s’arrête. Jusqu’à ce que les indicateurs s’affolent. Jusqu’à ce que le silence numérique devienne assourdissant.

En 2025, le champ de bataille a changé. L’ennemi est méthodique, patient, organisé. Il infiltre, observe, puis frappe — souvent sans alerte. Comme à Halewood, chez Jaguar Land Rover, ou dans les clouds d’Asie où les flux est-ouest sont devenus son terrain de jeu favori.

Mais tout n’est pas perdu.

Dans ce bulletin tactique, vous découvrirez comment :

• Des SOCs modernes traquent désormais les mouvements internes ;

• Le phishing s’adapte aux habitudes de Teams et de vos collaborateurs ;

• Les startups comme NexaTrace changent la donne du combat numérique.
  

🎙️ Mobilisez vos unités. Formez vos analystes. Et surtout, ouvrez les yeux. Car l’ennemi n’est plus à la porte. Il est dans vos systèmes.

Vous voulez survivre dans ce monde ? Alors lisez jusqu’au bout. Et restez en alerte.

Les grandes lignes :

👉 Swiss Post Cybersecurity tire la sonnette d’alarme : le piratage est inévitable 🔐

👉 Des hackers détournent Visual Studio Code pour ouvrir des tunnels C2 invisibles 🕳️

👉 Jaguar Land Rover paralysé : quand le cyber sabotage stoppe la production 🏭

👉 Phishing 2.0 : le kit Tycoon et ses liens impossibles à détecter 🎯

👉 Est-ce que vos serveurs cachent un intrus silencieux ? Le trafic East-West sous les projecteurs 🕵️

Si on t’a transféré cette lettre, abonnes-toi en cliquant sur ce lien !

🗞️​Vous savez quoi ?

Looking for unbiased, fact-based news? Join 1440 today.

Join over 4 million Americans who start their day with 1440 – your daily digest for unbiased, fact-centric news. From politics to sports, we cover it all by analyzing over 100 sources. Our concise, 5-minute read lands in your inbox each morning at no cost. Experience news without the noise; let 1440 help you make up your own mind. Sign up now and invite your friends and family to be part of the informed.

Subscribe to 1440 today.

🤓​ Vous voulez en savoir plus ?

1️⃣ Swiss Post Cybersecurity tire la sonnette d’alarme : le piratage est inévitable

Résumé : Paul Such, CEO de Swiss Post Cybersecurity, revient sur deux décennies d’évolution dans le domaine de la cybersécurité. Selon lui, 2025 marque un tournant : toutes les entreprises, quelle que soit leur taille, doivent adopter une posture de type assume breach. Les PME restent particulièrement vulnérables, souvent mal préparées ou mal conseillées. La complexité croissante des attaques, notamment celles qui visent les fournisseurs IT, exige une vigilance accrue. Swiss Post Cybersecurity se positionne comme un acteur clé et offre des services qui couvrent l'ensemble du spectre : conseil, monitoring, réponse à incident et accompagnement stratégique.

Les détails :

• Évolution du paradigme cyber : L’approche « assume breach » redéfinit la stratégie cyber : on ne cherche plus à empêcher une intrusion hypothétique, on organise la résilience autour d’une compromission considérée comme acquise. Cela implique un changement culturel profond, notamment dans les PME.

• Les PME en première ligne : Manque de moyens, absence de stratégie, dépendance à des prestataires sous-qualifiés… Les PME romandes sont les cibles idéales. Paul Such plaide pour une cybersécurité de terrain, pragmatique et adaptée à leur réalité.

• Chaîne logistique : talon d’Achille systémique : Les attaques par rebond via les fournisseurs IT deviennent la norme. L’évaluation régulière de la maturité cyber des partenaires devient critique — au même titre que leur santé financière ou leur conformité RGPD.

• Pression des conseils d’administration : Nouvelle tendance forte : les directions exigent désormais des KPI clairs sur la cybersécurité (temps de réponse, taux de patching, incidents bloqués, etc.). Le CISO ne peut plus se contenter de discours techniques.

• Swiss Post Cybersecurity : souveraineté et couverture nationale : L’acteur helvétique se positionne comme tiers de confiance 100% suisse, combinant intervention locale, large spectre de compétences et indépendance vis-à-vis des géants US.

Que faut-il en retenir ?

Adopter une posture proactive est non seulement une nécessité technique, mais un impératif stratégique. Le paradigme assume breach impose de considérer l’infiltration comme inévitable et d'organiser les défenses en conséquence. Cela implique culture, budget, indicateurs et implication de la direction.

2️⃣ Des hackers détournent Visual Studio Code pour ouvrir des tunnels C2 invisibles

Résumé : Un groupe d'attaquants a innové en détournant l’outil forensique open source Velociraptor pour établir des canaux de commande et contrôle (C2) à l’aide de Visual Studio Code. Cette attaque repose sur des composants légitimes, ce qui a permis de contourner ainsi de nombreuses protections traditionnelles. Grâce à des infrastructures Cloudflare, les attaquants déploient MSI malicieux et scripts PowerShell codés pour obtenir une exécution à distance. Sophos alerte : ce type d’usage devrait être considéré comme un signe précurseur de ransomware. Les entreprises sont invitées à surveiller les usages non autorisés d’outils open source et à renforcer leur détection comportementale.

Les détails :

• Living-Off-the-Land 2.0 : L’usage d’outils légitimes comme Velociraptor et VSCode permet aux attaquants d’opérer sans déclencher d’alertes. Cette approche s’inscrit dans une stratégie avancée de persistance et d’évasion.

• Infrastructure Cloud détournée : Cloudflare Workers, souvent considérée comme neutre, devient ici un point de staging opérationnel. L’attaque contourne ainsi les protections classiques par l’innocence apparente des flux.

• Usage offensif de msiexec : L’outil standard de Microsoft, présent sur toutes les machines, est utilisé pour injecter les payloads. Cela permet d’éviter les exécutables suspects ou les comportements anormaux détectés par l’EDR.

• Commande PowerShell encodée : L’attaque repose sur des scripts PowerShell obfusqués pour télécharger et exécuter VSCode avec le flag de tunnel actif — un usage totalement détourné mais efficace pour le C2.

• Précurseur d’un ransomware : L’activité observée n’est pas un objectif final mais une phase de reconnaissance et de préparation à une attaque plus destructrice. Sophos recommande d’interpréter ce type de pattern comme un signal faible critique.

Que faut-il en retenir ?

Le détournement d’outils open source à des fins malveillantes est une tendance lourde. Leur usage devrait alerter toute équipe SOC, en particulier dans des contextes sans supervision EDR renforcée. Ce type de tactique réduit la surface de détection classique.

3️⃣ Jaguar Land Rover paralysé : quand le cyber sabotage stoppe la production

Résumé : Jaguar Land Rover (JLR) a subi une cyberattaque majeure qui a paralysé ses activités de production et de vente. Bien que l'entreprise affirme que les données clients n'ont pas été compromises, la réaction immédiate — arrêt complet des systèmes — montre la gravité de l'incident. Des experts estiment que l’attaque a ciblé les systèmes industriels (OT). Ce type de menace, souvent lié au ransomware, met en lumière la vulnérabilité des grandes entreprises à l’intersection du numérique et du physique. L'incident survient dans un contexte économique tendu pour JLR, déjà confronté à des baisses de revenus et des retards de production.

Les détails :

• Coupure brutale, indicateur de gravité : La suspension immédiate des opérations de production laisse penser à une attaque qui vise les systèmes OT ou ERP critiques. Peu d’incidents provoquent un shutdown complet sans dommages déjà en cours.

• Interruption stratégique en période commerciale : L’incident survient lors d’un moment clé pour les concessions (lancement de la plaque 75), ce qui impacte directement les ventes et la trésorerie. La temporalité de l’attaque n’est probablement pas un hasard.

• Enquête floue, communication minimale : Le flou entourant l’origine de l’attaque et le refus de confirmer ou d’infirmer un ransomware alimentent les spéculations. En mars, le groupe Hellcat revendiquait une intrusion chez JLR.

• Impacts RH et réputationnels : JLR traverse déjà une phase de restructuration interne avec 500 suppressions de postes. Cet incident peut affecter la marque employeur et la confiance des partenaires industriels.

• Signes d’un sabotage ciblé ? : La rapidité de propagation suggérée par l’arrêt complet pourrait indiquer une compromission en profondeur, voire une attaque supply chain qui affectent plusieurs sites simultanément.

Que faut-il en retenir ?

Les attaques sur les infrastructures critiques illustrent le changement de paradigme dans la cybersécurité industrielle. Ce ne sont plus seulement les données, mais les capacités de production elles-mêmes qui deviennent la cible prioritaire.

4️⃣ Phishing 2.0 : le kit Tycoon et ses liens impossibles à détecter

Résumé : Le kit de phishing-as-a-service Tycoon innove avec des techniques d’obfuscation qui piègent aussi bien les utilisateurs que les filtres automatisés. La manipulation des URL via des caractères invisibles, des protocoles redondants ou des sous-domaines trompeurs font que les attaques deviennent quasiment indétectables. Tycoon s’appuie aussi sur des pages leurres avec CAPTCHA pour gagner la confiance des victimes. Barracuda et Keepnet notent une explosion de ces attaques, notamment via Microsoft 365 et des documents intégrant des QR codes piégés. Le phishing demeure la principale porte d’entrée des cyberattaques et évolue plus vite que les protections classiques.

Les détails :

• Camouflage d’URL de nouvelle génération : Tycoon utilise des séquences de caractères invisibles (ex. %20, Unicode) pour dissimuler la vraie destination du lien afin d'échapper ainsi aux filtres URL traditionnels.

• Multi-stratégie d’ingénierie sociale : Les campagnes incluent des faux supports IT sur Teams, des fausses pages CAPTCHA, et des prétextes crédibles (maintenance, ticket, M365) pour pousser à l’interaction.

• Attaques par redondance de protocole : Les liens intègrent plusieurs préfixes HTTP ou des adresses avec des "@", où le domaine affiché n’est qu’un leurre. L’utilisateur est redirigé vers un domaine malveillant caché.

• Explosion des QR codes malveillants : Utilisés dans 83 % des documents infectés (PDF, Office), ils permettent de contourner les protections email, surtout sur mobile où la visibilité de l’URL est limitée.

• PhaaS en libre-service : Tycoon propose des templates prêts à l’emploi, des dashboards de suivi, et des mises à jour régulières de ses techniques d’évasion. Le phishing devient une industrie clef-en-main.

Que faut-il en retenir ?

Tycoon illustre la professionnalisation du phishing, désormais vendu comme un service accessible. La vitesse d’évolution de ces tactiques impose un renouvellement constant des stratégies de sensibilisation et de détection.

5️⃣ Est-ce que vos serveurs cachent un intrus silencieux ? Le trafic East-West sous les projecteurs

Résumé : Alors que la plupart des entreprises se concentrent sur la sécurité périmétrique (trafic nord-sud), les attaques modernes exploitent le trafic interne est-ouest pour se propager discrètement. Appelé "lateral movement", ce phénomène est responsable de plus de 80 % des intrusions en APAC en 2024. Le cas de l’attaque LockBit contre le gouvernement indonésien illustre les dégâts que peut causer un intrus non détecté. Le manque de visibilité sur ces mouvements internes constitue un angle mort critique. La solution réside dans la deep observability : combiner la télémétrie réseau avec les logs pour une visibilité temps réel renforcée.

Les détails :

• Mutation du périmètre défensif : Le volume croissant du trafic est-ouest dans les architectures cloud-native rend obsolète toute défense centrée uniquement sur les flux entrants/sortants.

• Blind spots exploités par les APTs : Les attaquants avancés exploitent la latence opérationnelle des SOCs à corréler des événements internes. Le déplacement latéral devient invisible sans visibilité réseau intra-infrastructure.

• Logs insuffisants et éphémères : Agents désactivés, logs corrompus ou surchargés… le bruit masque les signaux faibles. Seul le trafic brut (paquets) offre une trace inaltérable des actions malveillantes.

• Déchiffrement contrôlé des flux internes : Les nouvelles technologies permettent l’inspection du trafic TLS interne sans compromettre la confidentialité ou les performances, rendant visible les signaux faibles cachés dans les tunnels SSL.

• Convergence avec Zero Trust : La deep observability permet de valider les politiques de segmentation, de détecter les écarts comportementaux, et d’alimenter les contrôles adaptatifs — pierre angulaire du modèle Zero Trust.

Que faut-il en retenir ?

Ne pas voir ce qui se passe entre les systèmes internes, c’est laisser l’ennemi circuler librement. La visibilité est-ouest devient la fondation d’une stratégie de résilience face aux menaces modernes.

LIEUTENANT AU RAPPORT 🏆

Tenable : Le commandant en chef de la gestion des vulnérabilités sur tous les fronts

Tenable, basée à Columbia dans le Maryland (USA), est l’une des références mondiales en matière de gestion des vulnérabilités et de réduction de la surface d’attaque. Fondée en 2002 et cotée au Nasdaq (TENB), l’entreprise emploie environ 1 500 collaborateurs et génère près de 800 millions de dollars de chiffre d’affaires annuel. Elle propose un portefeuille complet de solutions incluant la sécurité cloud, Active Directory, la gestion des correctifs, la détection de vulnérabilités et la simulation de violation (BAS).

Fait marquant :

Tenable se distingue par son approche intégrée et centrée sur la visibilité des risques réels. En 2025, l’éditeur a été une nouvelle fois reconnu dans le classement des 10 meilleurs fournisseurs par eSecurity Planet, grâce à ses capacités avancées de corrélation entre vulnérabilités, assets critiques et menaces actives. Son outil phare, Tenable One, est particulièrement apprécié des grands groupes pour sa capacité à unifier la gestion des vulnérabilités sur plusieurs environnements (on-prem, cloud, IT/OT). L’entreprise ne se limite pas à identifier des failles : elle propose aussi une priorisation basée sur le contexte métier, ce qui en fait un véritable allié stratégique pour les RSSI.

CYBERTRIVIA - LE SAVIEZ-VOUS ? 🤔

Sans attaque, sans malware, sans alerte : l’autre visage du cyberespionnage cloud

Saviez-vous qu’un attaquant peut espionner l’activité réseau d’un cloud public… sans jamais déclencher d’alerte ?

Une étude menée par des chercheurs en sécurité a révélé que certains services cloud mal configurés permettaient à un acteur malveillant de déployer des capteurs passifs pour surveiller les flux de données internes, sans exploiter de vulnérabilité connue.

Dans certains cas, il suffisait de s’abonner au même fournisseur cloud que la cible pour intercepter des métadonnées réseau ou identifier les adresses IP internes utilisées. 

Résultat : des semaines d’espionnage furtif, sans intrusion directe, ni fichier malveillant. C’est une démonstration brutale d’un principe simple : ce n’est pas parce que c’est dans le cloud que c’est invisible.

👉 Votre avis nous intéresse !