Anatomie d’une attaque : les « pirates de la paie » et la puissance de l’ingénierie sociale

Une enquête de Unit 42 détaille une fraude à la paie reposant presque exclusivement sur l’ingénierie sociale : usurpation d’identité, manipulation de services RH et redirection de virements salariaux, sans exploits techniques sophistiqués. L’article montre comment des contrôles faibles sur les changements de coordonnées bancaires et un manque de procédures de validation rendent ces attaques redoutablement efficaces.
[Article Original]

Flaw critique dans Fortinet FortiSIEM activement exploitée

Une vulnérabilité critique dans FortiSIEM est désormais activement exploitée, permettant à des attaquants d’exécuter du code à distance sur les plateformes de supervision de sécurité Fortinet. Les organisations qui n’ont pas encore patché s’exposent à un risque majeur de compromission de leur SOC lui‑même, pouvant mener à la désactivation d’alertes et à un contournement complet de la détection.
[Article Original]

« WhisperPair » : une faille critique qui expose les écouteurs Bluetooth au pistage et à l’écoute

Des chercheurs ont publié « WhisperPair », un ensemble de vulnérabilités dans le protocole Google Fast Pair affectant des centaines de millions d’écouteurs et casques Bluetooth (Sony, Jabra, JBL, Google, etc.). Des attaquants peuvent détourner l’appairage, prendre le contrôle audio voire activer le micro, et dans certains cas suivre la localisation de l’appareil via le réseau Find My‑like de Google, sans aucune interaction de l’utilisateur.
[Article Original] 

GootLoader se renforce : livraisons furtives via des archives ZIP découpées en 500 à 1 000 parties

La famille de malware GootLoader a évolué pour utiliser des archives ZIP massivement fragmentées (500 à 1 000 morceaux) afin de contourner les moteurs de sécurité et les sandboxes. Ce changement complique l’analyse automatisée, améliore le taux d’infection lors de campagnes SEO poisoning et rend plus difficile la détection basée sur les signatures classiques.
[Article Original]

Extensions Chrome malveillantes se faisant passer pour Workday et NetSuite pour détourner des comptes

Cinq extensions Chrome malveillantes imitent des intégrations légitimes avec Workday et NetSuite afin de voler des cookies de session, des identifiants et de détourner des comptes d’entreprise. Une fois installées, elles permettent aux attaquants de contourner la MFA basée sur cookie et d’accéder à des systèmes RH et financiers sensibles.
[Article Original]

Principales Menaces Cybersécurité de la Semaine

Prédominance de l’ingénierie sociale ciblant les flux financiers et les identités

• Les attaques de type « payroll diversion » illustrent la maturité des cybercriminels sur le terrain humain : usurpation d’emails internes, imitation du style d’écriture, appels téléphoniques de « validation » pour pousser les équipes RH et Finance à changer des IBAN ou à approuver des paiements exceptionnels.
• Au‑delà de la paie, l’ingénierie sociale reste le vecteur numéro 1 pour compromettre comptes, extensions de navigateur et accès SaaS. Les mesures clés sont : procédures fortes de validation à deux canaux pour tout changement bancaire, formation continue anti‑phishing, et limitation stricte des droits financiers par principe du moindre privilège.

Exploitation active de vulnérabilités critiques dans les briques d’infrastructure de sécurité (FortiSIEM, Cisco AsyncOS, Sitecore, HPE, AWS CodeBuild)

• Plusieurs failles RCE ou de mauvaise configuration touchent des composants centraux : SIEM, passerelles email, plateformes web et chaînes CI/CD cloud. Quand ces éléments sont compromis, l’attaquant gagne non seulement un accès, mais aussi la visibilité et le contrôle sur les journaux, les pipelines et parfois les identités machine.
• La tendance forte de la semaine : les attaquants s’emparent des outils de sécurité ou d’industrialisation (FortiSIEM, Cisco Secure Email Gateway, AWS CodeBuild, HPE OneView) pour lancer des attaques en profondeur et de type supply chain. L’urgence est à la gestion de vulnérabilités très réactive, à la segmentation de ces outils et à la validation de leur intégrité (logs hors bande, supervision indépendante).

Menaces « discrètes mais massives » sur les terminaux et l’espace utilisateur (WhisperPair, malvertising TamperedChef, GootLoader, extensions Chrome malveillantes)

• WhisperPair démontre que de simples écouteurs peuvent devenir des vecteurs d’espionnage (audio) et de suivi géographique, révélant la surface d’attaque croissante de l’IoT personnel dans l’entreprise (BYOD, télétravail, appareils connectés dans les salles de réunion).
• En parallèle, les campagnes de malvertising comme TamperedChef et les nouvelles techniques de GootLoader montrent que les menaces contentent de miser sur l’utilisateur : recherche Google, clic sur pub, téléchargement de « manuel PDF » ou « outil gratuit ». Une seule erreur de clic sur un poste avec droits élevés suffit pour ouvrir une brèche.

Conseil cybersécurité de la semaine

Conseil de la semaine : « Durcissez vos flux critiques là où l’humain rencontre la technique. »

Concrètement :

Pour la paie, la finance et les changements de coordonnées bancaires

• Imposer une validation hors bande (appel ou visio sur un numéro déjà enregistré, jamais via celui fourni dans l’email) pour tout changement d’IBAN ou de compte de versement.
• Mettre en place une liste blanche de comptes bancaires pour les salaires et fournisseurs critiques, gérée par plusieurs personnes (4‑eyes principle).
• Journaliser et réviser régulièrement les demandes de changement effectuées par email ou portail RH.

Pour les équipements et applications « invisibles » mais à haut risque (écouteurs Bluetooth, extensions navigateur, plugins WordPress, outils CI/CD)

• Établir une politique d’approbation des extensions navigateur et des accessoires connectés utilisés en environnement professionnel ; tout ce qui n’est pas explicitement approuvé est bloqué.
• Pour les équipes IT : suivre les bulletins de sécurité des fabricants d’accessoires (Sony, Jabra, Google…) et déployer les mises à jour firmware associées à WhisperPair et autres failles similaires.
• Segmenter et surveiller étroitement les outils sensibles (SIEM, passerelles mail, systèmes de build) avec des checks d’intégrité indépendants et des sauvegardes de configuration propres.

Pour les utilisateurs finaux

• Rappeler que toute offre trop belle (pubs, billets, logiciels gratuits, manuels PDF) est suspecte : vérifier l’URL, passer par les sites officiels, et bannir l’installation de logiciels/plug-ins non validés.
• Généraliser l’authentification multifacteur, mais aussi la revue de session et des connexions actives (surtout si des extensions ou applications douteuses ont été testées).

« La sécurité, ce n’est pas avoir un mur plus haut, c’est empêcher les clés de la porte d’être distribuées au premier inconnu qui sonne. »