OAuth Trap, EDR Killer, phishing sur Signal, Zombie ZIP, piratages de plateformes d’IA, ce n’est pas une liste « buzzword », c’est le menu du moment. Le point commun, c’est la discrĂ©tion. Les attaques se cachent derrière des flux d’authentification crĂ©dibles, du trafic chiffrĂ© et des outils qui ressemblent Ă ceux des Ă©quipes IT. RĂ©sultat, tu peux avoir une organisation « à jour » sur le papier et quand mĂŞme te faire surprendre.
Les bulletins de veille de ces dernières semaines montrent une tendance nette: le phishing est devenu l’une des menaces d’entreprise les plus difficiles Ă dĂ©tecter tĂ´t, parce qu’il s’appuie sur des infrastructures de confiance et des parcours de connexion lĂ©gitimes. Dans le mĂŞme temps, des vulnĂ©rabilitĂ©s sont exploitĂ©es « dans la nature », comme celles visant Cisco sur Catalyst SD-WAN Manager, avec des identifiants CVE-2026-20122 et un score CVSS 7,1. Tu n’as pas besoin d’un scĂ©nario hollywoodien, une chaĂ®ne d’actions banales suffit.
OAuth Trap banalise le vol de session via des connexions « propres »
OAuth Trap, c’est l’attaque qui profite de ton automatisme, cliquer, valider, passer Ă autre chose. L’idĂ©e n’est plus de t’envoyer un exĂ©cutable louche, mais de te faire entrer dans un flux d’authentification qui ressemble Ă ce que tu vois tous les jours, connexion SSO, fenĂŞtre d’autorisation, consentement d’accès. Quand le parcours paraĂ®t lĂ©gitime, la vigilance baisse, et l’attaquant rĂ©cupère un jeton ou un accès persistant sans dĂ©clencher d’alerte Ă©vidente.
Ce type de mĂ©canique s’inscrit dans l’Ă©volution dĂ©crite par plusieurs veilles: le phishing moderne se sert d’infrastructures de confiance, de pages qui « font vrai », et de trafic chiffrĂ© qui masque les signaux faibles. Dans la pratique, tu peux voir un e-mail qui renvoie vers un domaine propre, une page d’authentification cohĂ©rente, puis une demande d’accès Ă une application. C’est ce moment-lĂ qui devient critique, parce que l’utilisateur croit « se connecter », alors qu’il « autorise ».
Concrètement, le risque n’est pas seulement le compte compromis, c’est l’accès dĂ©lĂ©guĂ©. Une fois l’autorisation accordĂ©e, l’attaquant peut conserver une prĂ©sence mĂŞme si le mot de passe change. C’est pour ça que les Ă©quipes sĂ©curitĂ© parlent de durcir les politiques de consentement et de surveiller les applications tierces. Le dĂ©bat est souvent mal posĂ©, on accuse « l’utilisateur » d’avoir cliquĂ©, alors que le design mĂŞme des parcours OAuth pousse Ă accepter vite.
Mesure dĂ©fensive, tu ne t’en sors pas avec une seule règle magique. Il faut combiner une revue rĂ©gulière des applications autorisĂ©es, des alertes sur les consentements anormaux, et des politiques d’accès conditionnel. Et il faut aussi accepter une nuance: trop de friction casse la productivitĂ© et pousse au contournement. Le bon compromis, c’est de limiter les consentements utilisateurs, de rĂ©server les demandes sensibles Ă un circuit d’approbation, et de tracer finement les Ă©vĂ©nements liĂ©s Ă OAuth, aux jetons et au SSO.
EDR Killer et BYOVD visent la défense avant le chiffrement
EDR Killer, c’est le rappel que beaucoup d’attaques commencent par neutraliser l’alarme. Dans les bulletins rĂ©cents, on voit des familles de ransomware intĂ©grer des techniques pour dĂ©sactiver les outils de sĂ©curitĂ©, notamment via des approches de type « Bring Your Own Vulnerable Driver ». L’objectif est simple, faire baisser la visibilitĂ© et empĂŞcher la remĂ©diation automatique avant de dĂ©ployer le reste, exfiltration, mouvement latĂ©ral, chiffrement.
Le point gĂŞnant, c’est que la chaĂ®ne d’attaque peut ressembler Ă une opĂ©ration d’administration. Un pilote vulnĂ©rable, une action Ă privilèges, une dĂ©sactivation de composants, ce sont des gestes qui existent aussi dans des scĂ©narios lĂ©gitimes. Tu peux avoir des journaux qui montrent des commandes « propres » et des binaires signĂ©s. Et quand l’attaquant choisit bien ses outils, l’EDR, mĂŞme bon, peut se retrouver aveugle sur un segment de la sĂ©quence.
Un RSSI me disait rĂ©cemment, « on dĂ©pense beaucoup pour dĂ©tecter, mais pas assez pour empĂŞcher la dĂ©sactivation ». C’est une critique qui pique, mais elle a du sens. La dĂ©fense doit inclure des contrĂ´les de durcissement, blocage de pilotes non approuvĂ©s, règles de rĂ©duction de surface d’attaque, et surveillance des Ă©vĂ©nements qui indiquent une tentative de sabotage. Dans un incident, le temps compte, si la tĂ©lĂ©mĂ©trie disparaĂ®t, la rĂ©ponse devient immĂ©diatement plus lente et plus coĂ»teuse.
Ce que ces cas mettent sur la table, c’est une hiĂ©rarchie des prioritĂ©s. Tu peux avoir une dĂ©tection parfaite des ransomwares, si l’attaquant coupe l’EDR avant, tu perds l’avantage. Les organisations qui s’en sortent le mieux ajoutent des couches, journalisation centralisĂ©e hors poste, contrĂ´les d’intĂ©gritĂ©, et segmentation. Et elles testent, vraiment, des scĂ©narios « EDR down ». La question n’est pas « si », mais « quand », surtout avec des techniques comme BYOVD, des variantes de ransomware et des outils d’EDR ciblĂ©s.
Signal phishing exploite la confiance dans les messageries chiffrées
Le phishing sur Signal illustre une autre bascule, les attaquants n’ont plus besoin de passer par l’e-mail pour toucher une cible. Ils vont lĂ oĂą les Ă©quipes discutent vite, oĂą les notifications sont nombreuses, et oĂą la confiance est plus forte. Une messagerie chiffrĂ©e donne une impression de sĂ©curitĂ©, et c’est vrai sur le transport, mais ça ne protège pas contre l’ingĂ©nierie sociale. Si le message te pousse Ă agir, le chiffrement ne t’aide pas.
Le scĂ©nario typique, c’est un faux contact « interne », une demande urgente, un lien vers une page de connexion, ou une procĂ©dure « IT » Ă valider. Dans une entreprise, ça marche parce que tout le monde a dĂ©jĂ reçu un message du support, du manager, ou d’un prestataire. Sur une messagerie, tu lis plus vite, tu vĂ©rifies moins, tu rĂ©ponds dans le flux. Et si le lien ouvre un parcours d’authentification crĂ©dible, tu retombes sur les mĂŞmes pièges que phishing et OAuth.
Ce dĂ©placement vers les messageries complique la dĂ©fense, car les contrĂ´les e-mail classiques, filtrage, sandbox, DMARC, ne voient rien. Les Ă©quipes sĂ©curitĂ© doivent travailler avec les mĂ©tiers, dĂ©finir des règles simples, pas de liens d’authentification envoyĂ©s par chat, pas de demande de codes, double validation sur les actions sensibles. C’est moins « technique » que dĂ©ployer un outil, mais c’est souvent plus efficace dans les premières semaines.
Il faut aussi ĂŞtre lucide sur un point, si tu interdis tout, les gens vont basculer sur d’autres canaux. La bonne approche, c’est d’outiller les usages, des canaux officiels vĂ©rifiĂ©s, des procĂ©dures de vĂ©rification d’identitĂ©, et une sensibilisation centrĂ©e sur des exemples rĂ©cents. Tu montres un faux message, tu expliques le mĂ©canisme, et tu fais pratiquer. Dans ce registre, la dĂ©fense, c’est de rĂ©duire les automatismes, surtout quand Signal devient une surface d’attaque via liens et usurpation.
Zombie ZIP et les archives piégées relancent le risque côté postes
Zombie ZIP, c’est le retour des pièges « simples » mais efficaces, l’archive compressĂ©e qui cache autre chose que ce que tu crois. Les campagnes modernes misent sur des formats courants, des fichiers qui passent les contrĂ´les basiques, et des contenus qui s’ouvrent sans alerter. La nouveautĂ© n’est pas le ZIP en lui-mĂŞme, c’est la manière de le rendre trompeur, au point que l’utilisateur et parfois l’outil de sĂ©curitĂ© n’identifient pas tout de suite le comportement attendu.
Dans un contexte d’entreprise, les archives circulent partout, partage de documents, exports, pièces jointes, dĂ©pĂ´ts. Une archive peut contenir une arborescence qui noie le fichier dangereux, ou un nom qui imite un PDF. Et si la charge finale est rĂ©cupĂ©rĂ©e plus tard, via un tĂ©lĂ©chargement chiffrĂ©, tu cumules les angles morts. Les veilles insistent sur ce point, le trafic chiffrĂ© et les flux « lĂ©gitimes » rendent l’exposition prĂ©coce plus difficile.
La consĂ©quence, c’est une pression accrue sur la politique poste de travail. Si tu laisses les utilisateurs exĂ©cuter n’importe quoi depuis TĂ©lĂ©chargements, tu joues Ă pile ou face. Les organisations qui rĂ©duisent l’impact appliquent des règles de contrĂ´le d’application, restreignent les macros et scripts, et surveillent les comportements post-ouverture, crĂ©ation de processus, connexions sortantes, persistance. Ce n’est pas glamour, mais ça coupe la chaĂ®ne au moment oĂą elle devient visible.
Et il y a une nuance importante, trop de filtrage peut bloquer des échanges légitimes, surtout dans des métiers qui manipulent des archives toute la journée. La solution passe souvent par des exceptions cadrées, des espaces de dépôt analysés, et des outils de désarchivage côté serveur plutôt que sur poste. Zombie ZIP rappelle que la sécurité ne se joue pas seulement sur des failles « 0-day », mais aussi sur des objets quotidiens, ZIP, pièces jointes et poste de travail.
Cisco Catalyst SD-WAN Manager: deux failles exploitées, la course au patch continue
Dans le flot des menaces, il y a aussi les vulnĂ©rabilitĂ©s exploitĂ©es activement, celles qui transforment une dette de patch en incident. Cisco a indiquĂ© que deux failles touchant Catalyst SD-WAN Manager, anciennement vManage, sont exploitĂ©es « dans la nature ». Parmi elles, CVE-2026-20122, notĂ©e CVSS 7,1, dĂ©crite comme une vulnĂ©rabilitĂ© d’Ă©crasement de fichiers arbitraires permettant Ă un attaquant distant authentifiĂ© d’Ă©craser des fichiers sur le système local.
Le dĂ©tail « attaquant authentifié » est souvent mal compris. Beaucoup entendent « donc c’est moins grave ». Dans la vraie vie, l’authentification se vole, se devine, se rĂ©utilise, ou s’obtient via un compte dĂ©jĂ compromis. Et dans un environnement rĂ©seau, un outil de gestion SD-WAN est une cible Ă haute valeur, parce qu’il touche la connectivitĂ©, les politiques, parfois les secrets d’accès. Une fois dedans, l’attaquant peut chercher Ă Ă©tendre son contrĂ´le ou Ă prĂ©parer une interruption.
Cette actualitĂ© s’inscrit dans un contexte plus large, les bulletins sĂ©curitĂ© mentionnent rĂ©gulièrement des vagues de correctifs, comme des lots de dizaines de vulnĂ©rabilitĂ©s, dont plusieurs « zero-days » exploitĂ©s. MĂŞme si tous les environnements ne sont pas concernĂ©s, la leçon est la mĂŞme, la fenĂŞtre entre divulgation et exploitation se rĂ©duit. Et quand les Ă©quipes IT manquent de temps, elles priorisent mal, ou elles patchent tard, faute de tests et de crĂ©neaux de maintenance.
La rĂ©ponse rĂ©aliste, ce n’est pas « patcher tout immĂ©diatement », c’est de classer et d’anticiper. Inventaire prĂ©cis, exposition rĂ©elle, segmentation, et surveillance des signes d’exploitation sur les systèmes critiques. Et surtout, un plan de mise Ă jour qui n’attend pas l’urgence. Quand une exploitation est confirmĂ©e, tu ne veux pas dĂ©couvrir que personne ne sait qui administre l’Ă©quipement, ni oĂą il est. Dans ce registre, SD-WAN, vManage et les CVE rappellent que la cybersĂ©curitĂ©, c’est aussi de l’organisation.
Ă€ retenir
- Le phishing moderne imite des parcours légitimes, notamment via OAuth et des flux chiffrés.
- Les techniques EDR killer et BYOVD cherchent à neutraliser la défense avant l’attaque principale.
- Les messageries comme Signal deviennent un canal d’ingénierie sociale à part entière.
- Les archives piégées type Zombie ZIP restent efficaces grâce à la banalité des formats.
- Des failles exploitées activement, comme CVE-2026-20122 chez Cisco, réduisent la marge de réaction.
Questions fréquentes
- Pourquoi OAuth Trap est plus difficile à détecter qu’un phishing classique ?
- Parce que l’attaque s’appuie sur des parcours d’authentification qui ressemblent à des connexions normales, avec des pages crédibles et parfois des infrastructures légitimes. Le signal faible se situe dans le consentement accordé et dans l’usage des jetons, pas dans un fichier malveillant évident.
- Qu’est-ce qu’une attaque BYOVD contre un EDR ?
- BYOVD signifie “Bring Your Own Vulnerable Driver”. L’attaquant apporte ou exploite un pilote vulnérable pour obtenir des capacités élevées sur la machine, puis tente de désactiver ou contourner l’EDR. L’objectif est de réduire la visibilité et d’empêcher la réponse automatique.
- Le chiffrement de Signal protège-t-il contre le phishing ?
- Le chiffrement protège le transport des messages, pas la décision de l’utilisateur. Si un message te pousse à cliquer sur un lien ou à valider une action, le risque reste entier. La défense repose sur des règles d’usage, la vérification d’identité et des procédures internes.
- Pourquoi une archive ZIP peut-elle ĂŞtre dangereuse en entreprise ?
- Parce qu’elle peut masquer des fichiers trompeurs, des arborescences qui noient l’élément dangereux, ou déclencher une chaîne d’exécution après ouverture. Les contrôles doivent couvrir l’analyse, la limitation d’exécution depuis les dossiers à risque et la surveillance comportementale.
- Une faille “attaquant authentifié” est-elle moins urgente à corriger ?
- Pas forcément. Les identifiants peuvent être volés, réutilisés ou obtenus après un premier compromis. Sur des briques critiques comme un gestionnaire SD-WAN, une exploitation authentifiée peut avoir un impact majeur. La priorité dépend de l’exposition, des contrôles d’accès et des signes d’exploitation active.
Sources
En tant que jeune média indépendant, The Inquirer 🇫🇷 a besoin de votre aide. Soutenez-nous en nous suivant et en nous ajoutant à vos favoris sur Google News. Merci !
