Hacker vor Computer

La réalité de l’espionnage : votre infrastructure est déjà en cours de collecte

Lucas Morel

Services partagés, couches d’identité partagées, fournisseurs de connectivité partagés : les acteurs criminels et affiliés à l’État évoluent à travers les dépendances sur lesquelles s’appuient les entreprises modernes. Ce chevauchement est une caractéristique déterminante que les RSSI doivent aborder.

Les auteurs de menaces ont toujours cherché à prendre l’avantage sur leurs cibles. Récemment, nous avons assisté à deux efforts visant à obtenir des renseignements à long terme. Cette activité a fait surface là où on s’y attend au sein de l’entreprise.

Les entreprises se situent désormais directement dans le chemin de collecte de l’adversaire. Ils ne doivent pas nécessairement être la cible ; ils sont sur le plateau et en jeu parce qu’ils utilisent la même infrastructure que l’adversaire exploite déjà. Le défi du RSSI est de s’assurer que son organisation ne devienne pas un canal de renseignement pour quelqu’un d’autre simplement en raison de la manière dont elle se connecte au monde.

Convergence

Deux campagnes indépendantes se croisent désormais dans les mêmes dépendances opérationnelles.

Le chevauchement n’est pas une coordination ; c’est le sous-produit prévisible de la manière dont les infrastructures modernes centralisent l’accès. Lorsque tout passe par une poignée de services partagés, de couches d’identité partagées et de fournisseurs de connectivité partagée, l’adversaire n’a pas besoin de se coordonner. Ils arrivent simplement par la même porte.

Les surfaces de collecte ciblées sont bien connues : routage télécom, adjacence cloud, canaux de services gérés et fédération d’identités. Ce sont les tissus conjonctifs sur lesquels les entreprises comptent pour fonctionner. Ce sont également les tissus conjonctifs que les adversaires exploitent pour surveiller l’authentification, siphonner les données et maintenir un accès à long terme sans jamais toucher directement l’entreprise.

Lorsque des acteurs ayant des missions différentes arrivent par les mêmes dépendances, cela signale un problème d’exposition structurel. Parce que ces dépendances sont partagées et inévitables, le problème n’est pas la campagne individuelle. C’est l’architecture qui permet aux deux campagnes de fonctionner en amont de l’entreprise avec un minimum de frictions et une persistance maximale.

Les logiciels espions commerciaux comme canal de renseignement

Les opérateurs criminels déployant Predator, une suite de logiciels espions vendue par le consortium sanctionné Intellexa, ont été documentés dans plus d’une douzaine de pays. Les sanctions américaines ne les ont pas ralentis d’un iota. Leurs cibles ne sont pas aléatoires : des journalistes, des militants, des hommes politiques, des défenseurs des droits humains, des employés et entrepreneurs du gouvernement, ainsi que d’autres personnalités de grande valeur. Pourquoi? Ces cibles ont accès à des informations précieuses qui s’étendent bien au-delà de l’appareil. Je postule depuis longtemps que les entités criminelles opèrent avec deux objectifs en tête : améliorer leurs capacités ou monétiser les informations.

La maturation de l’artisanat à laquelle nous assistons aujourd’hui suit l’arc logique de la dernière décennie. Il s’agit notamment des liens en un clic, des chaînes d’exploitation sans clic, de l’injection réseau dans certains cas et de l’accès persistant aux appareils. Predator n’est pas un outil de base. Predator est l’une des nombreuses compromissions au niveau des appareils qui deviennent des expositions au niveau de l’entreprise. Il s’agit d’une plateforme d’espionnage commercial vendue aux gouvernements ou à leurs mandataires et, une fois déployée, elle crée des capacités de surveillance en amont qui recoupent directement les flux de données de l’entreprise, les systèmes d’authentification et les réseaux des fournisseurs de services.

C’est pourquoi c’est important. Ces outils ne compromettent pas seulement les individus. Ils compromettent les systèmes dans lesquels ces individus s’authentifient, les réseaux qu’ils traversent et les fournisseurs de services qui acheminent leur trafic. Ils opèrent dans les mêmes dépendances partagées sur lesquelles s’appuient les entreprises. L’entreprise fait partie de l’espace de collecte, qu’elle le veuille ou non.

Exploitation alignée sur l’État

En février 2026, Singapour a révélé qu’UNC3886, un groupe de cyberespionnage sophistiqué, avait pénétré les réseaux des quatre principales sociétés de télécommunications desservant Singapour : Singtel, StarHub, M1 et Simba. Les auteurs de la menace ont utilisé des systèmes Zero Day, des rootkits et des techniques de persistance avancées pour obtenir un accès à long terme à l’infrastructure de base et aux données techniques/réseau.

Pensez-y un instant : les quatre sociétés de télécommunications et leur infrastructure sont compromises. Ces entreprises font partie de l’infrastructure nationale du pays, soutenant le gouvernement, les entreprises et les particuliers. Lorsqu’une entreprise de télécommunications devient un point de collecte de renseignements d’origine électromagnétique en temps réel, l’adversaire n’a pas besoin de s’introduire directement dans votre environnement. Ils peuvent être collectés à partir des voies dont dépend votre environnement.

Singapour a nommé le groupe mais pas le sponsor. La plupart des analyses externes ont immédiatement appelé UNC3886 lien avec la Chine. Le rapport parallèle « Shadow Campaigns » de Palo Alto Networks Unit 42 sur TGR-STA-1030 (UNC6619) utilisait un langage prudent similaire : un « groupe aligné sur l’État qui opère depuis l’Asie ».

Il ne s’agit pas d’attribution. Le fait est que l’accès était en amont, persistant et structurellement intégré. Quel que soit le point d’origine, l’objectif du RSSI reste le même : empêcher ces acteurs de s’installer dans l’infrastructure dont dépendent votre organisation et vos clients. Le problème de la protection des données est désormais structurel. La collection est permanente. L’accès est intégré.

Qu’est-ce que cela signifie pour les RSSI

Les implications opérationnelles ne sont pas théoriques. Ils sont immédiats et mesurables.

  • Réévaluez l’exposition à travers le prisme des dépendances partagées, et pas seulement des actifs internes. Votre environnement n’est qu’une partie de la surface d’attaque. Les dépendances sur lesquelles vous roulez sont aussi des points de collecte.
  • Renforcez la visibilité sur les parcours de télécommunications, de cloud, de MSP/MSSP et d’identité. Si vous ne pouvez pas voir en amont, vous ne pouvez pas vous défendre en aval.
  • Traitez les partenaires en amont et en aval comme des composants actifs de votre surface de menace. L’adversaire le fait déjà. Votre modèle de gouvernance doit refléter la même réalité.
  • Exigez une attestation auprès des fournisseurs de télécommunications et de cloud. Si vos fournisseurs en amont ne peuvent pas faire preuve d’intégrité, vous héritez de leur exposition.
  • Réduisez la confiance implicite dans les voies en amont. Supposons un compromis dans l’infrastructure que vous ne contrôlez pas.
  • Renforcez la couche de session. La compromission au niveau de l’appareil et la compromission en amont conduisent toutes deux au même résultat : l’adversaire peut usurper l’identité de vos utilisateurs et détruire votre couche d’identité. Supposons le vol de jetons, l’usurpation d’identité et concevez des flux d’authentification qui se dégradent en toute sécurité en cas de compromission. En d’autres termes, concevez de manière à ce que si l’adversaire entre, il ne puisse pas aller loin.
  • Déplacez la détection vers des modèles d’accès à long terme et à faible bruit, typiques des opérations basées sur le renseignement. Ces acteurs ne sont pas bruyants. Ils sont patients, persistants et structurellement ancrés.
  • Reconnaissez les implications en matière d’assurance. Les violations des télécommunications à Singapour constituent le point de bascule. Les cyber-assureurs prennent désormais explicitement en compte le risque de résidence permanente de l’APT dans l’infrastructure de base. Attendez-vous à des primes sensiblement plus élevées, à des exclusions plus larges et à la possibilité réelle que les organisations utilisant des fournisseurs de télécommunications ou de cloud non approuvés deviennent non assurables au moment du renouvellement.
  • Intégrez des évaluations des risques basées sur l’intelligence dans les décisions de gouvernance et d’architecture de routine. Ce n’est plus « agréable à avoir ». C’est une exigence pour opérer dans un environnement où le compromis en amont est la norme et non l’exception.

Réalité stratégique

Les acteurs commerciaux (criminels) et étatiques évoluent dans les mêmes dépendances sur lesquelles s’appuient les organisations modernes, et ce chevauchement est désormais une caractéristique déterminante de l’environnement opérationnel.

Ces campagnes ne sont pas des anomalies. Les RSSI devraient considérer cela comme un avertissement fortuit. La question pour les RSSI n’est plus de savoir si les adversaires cibleront directement leur environnement. La question est de savoir si l’infrastructure dont ils dépendent a déjà été transformée en plate-forme de renseignement pour quelqu’un d’autre et s’ils le sauraient même si c’était le cas.

CyberattaquesSécuritéMenaces persistantes avancéesCybercriminalité

Lucas Morel

Lucas Morel

Passionné par les zones d’ombre et les sujets tabous, je m’attache à explorer ce que d’autres préfèrent ignorer. Diplômé en journalisme d’investigation, j’ai rejoint Illicit Trade FR pour dévoiler les dessous des mondes interdits et controversés. Mon credo : informer sans juger, avec rigueur et audace.

Articles associés

Hacker vor Computer
La réalité de l’espionnage : votre infrastructure est déjà en cours de collecte
2550174839 Viruses in the program. Bugs and errors. Backdoor for hackers and malware hidden in the program. Cyber security and protection of device data.
Arrêtez d’utiliser l’IA pour soumettre des rapports de bogues, déclare Google
shutterstock 2416896949 The Black Sheep In The Herd Of White Sheep insider threat security cybersecurity vulnerability
Un scanner de vulnérabilité Trivy détourné par un voleur d’informations d’identification lors d’une attaque de la chaîne d’approvisionnement