Weekly Update 502

L’ascension du groupe ShinyHunters par l’ingénierie sociale

Le groupe cybercriminel ShinyHunters, composé d’individus jeunes et peu expérimentés, parvient à infiltrer des infrastructures de grandes entreprises. Contrairement à une approche purement technique, leur succès repose sur des méthodes d’ingénierie sociale sophistiquées ciblant les accès aux services cloud et SaaS.

Points clés :

• Mode opératoire : Utilisation intensive du vishing (phishing vocal) combiné à des sites de hameçonnage imitant l’image de marque des entreprises ciblées.
• Objectif : Vol d’identifiants de connexion unique (SSO) et de jetons/codes d’authentification multifacteur (MFA).
• Cibles : Grandes entreprises utilisant des services SaaS, permettant aux attaquants de compromettre des environnements corporatifs entiers une fois l’accès initial obtenu.

Vulnérabilités :

• Aucune CVE spécifique n’est mentionnée, car l’attaque repose sur le facteur humain et le contournement des processus d’authentification plutôt que sur l’exploitation d’une faille logicielle. Le point critique est la vulnérabilité du personnel face aux techniques d’ingénierie sociale et la capacité des attaquants à intercepter les flux MFA en temps réel.

Recommandations :

• Renforcement du MFA : Privilégier les méthodes d’authentification résistantes au phishing, telles que les clés de sécurité physiques (FIDO2/WebAuthn), au détriment des codes transmis par SMS ou via des applications de notification push, plus facilement interceptables par les attaquants.
• Formation des employés : Sensibiliser le personnel aux risques du vishing et aux tactiques d’imposture employées pour extraire des codes MFA ou des identifiants.
• Vigilance accrue : Mettre en place une surveillance renforcée sur les accès SSO et détecter les comportements inhabituels lors des tentatives de connexion provenant de nouveaux appareils ou localisations.

Source