Barracuda full logo

Le service d’assistance de l’entreprise est également un vecteur de menaces.

Thèmes:
15 août 2025
|
Christine Barry

Votre service d’assistance est censé résoudre les problèmes, pas en créer. Pourtant, à mesure que les pirates étoffent leurs connaissances en social engineering, ils se tournent de plus en plus vers le service d’assistance comme une porte d’entrée efficace pour les cyberattaques.

À moins qu’il ne s’agisse d’acteurs internes malveillants ou d’erreurs de la part d’employés, il est contre-intuitif de considérer le service d’assistance comme un vecteur de menaces. Après tout, c’est de l’équipe d’assistance technique dont nous parlons. Ces employés sont des professionnels de l’informatique formés aux politiques de l’entreprise et possédant au moins les connaissances de base en cybersécurité. Tous les employés ne bénéficient pas d’une formation adéquate, mais votre équipe informatique devrait au moins savoir qu’il ne faut pas laisser un acteur malveillant obtenir un mot de passe ou des privilèges élevés.

Lorsqu’un acteur malveillant tente de s’infiltrer dans le réseau d’une entreprise, ne veux-t-il pas à tout prix éviter l’équipe informatique ? Cette dernière est celle qui a le plus de chances de l’attraper. N’est-ce pas là tout l’intérêt des chaînes d’attaque qui utilisent des techniques de furtivité, d’évasion et d’exploitation des ressources locales (LotL) ?

Il semble que ce soit le cas, mais regardons de plus près :

  • Les services d’assistance ont accès à des ressources précieuses. Ces techniciens peuvent réinitialiser les mots de passe, réinitialiser ou désactiver l’authentification multifacteur (MFA), modifier les privilèges des utilisateurs, afficher les détails de l’utilisateur et du système, et bien plus encore. Le service d’assistance est une mine d’or pour les acteurs malveillants, et c’est la raison pour laquelle ils ne cessent de développer et d’essayer de mettre en place leurs prouesses inédites.
  • Les services d’assistance sont souvent les premiers emplois occupés par les professionnels de l’informatique et de la cybersécurité. Il peut y avoir des experts parmi les membres du personnel, mais c’est à ce niveau-ci que beaucoup de diplômés en réseau et sécurité entrent dans l’industrie. Ils n’ont peut-être pas assez d’expérience, de connaissance de l’entreprise et du réseau, ou de confiance en eux pour reconnaître les activités suspectes et y répondre correctement. Pour certains d’entre eux, le service d’assistance est leur première expérience dans un environnement dynamique avec un réseau imparfait. 
  • Les services d’assistance sont souvent en sous-effectif et surchargés. La demande de professionnels de la sécurité ne cesse de croître, surtout depuis que les acteurs malveillants se servent de l’intelligence artificielle (IA) comme d’une arme lors de leurs attaques. Le secteur est déjà en pénurie de personnel, ce qui signifie qu’une personne peut faire le travail de 1,5 à 2 employés à temps plein. Cela peut être épuisant, surtout si le service d’assistance traite également un grand nombre d’alertes de faux positifs.

En gardant cela à l’esprit, le service d’assistance semble être un vecteur évident. Entre les mains d’un acteur malveillant qualifié, le service d’assistance peut fournir les ressources les plus précieuses de l’entreprise.

Attaques du service d’assistance

Pour illustrer le fonctionnement de ces attaques, nous allons examiner quatre tactiques et incidents. Commençons par les échanges de cartes SIM Twitter en 2019. Les acteurs malveillants ont eu recours au social engineering pour tromper les services d’assistance des opérateurs de téléphonie mobile et procéder à des échanges de cartes SIM entre les victimes et les pirates. Typiquement, lors d’un « échange de cartes SIM », l’opérateur de téléphonie mobile transfère le numéro de téléphone des cartes SIM des victimes vers les cartes SIM des téléphones appartenant aux pirates. Cela a permis aux pirates d’accéder aux codes d’authentification multifacteur et à d’autres éléments nécessaires pour prendre le contrôle des comptes Twitter et des portefeuilles de cryptomonnaies.

Il s’agit d’une attaque courante qui vise les personnalités, telles que les célébrités et les influenceurs, notamment ceux qui détiennent des cryptomonnaies. Brian Krebs dispose d’informations supplémentaires sur ces attaques et leurs conséquences.

Le groupe LAPSUS$ a fait les gros titres en 2021 et 2022 avec ses attaques réussies par usurpation d’identité des services d’assistance internes de grandes entreprises, notamment Microsoft, Nvidia, Samsung et Okta. Le groupe a préparé ses attaques en fouillant les sources publiques, les réseaux sociaux et les violations de données disponibles sur le dark web. Les membres de LAPSUS$ ont ensuite contacté les services d’assistance des entreprises et se sont fait passer pour des employés ayant besoin d’une assistance urgente pour des identifiants ou des appareils. Ces scams utilisent souvent le vishing (hameçonnage vocal) ou des messages directs pour renforcer leur crédibilité.

LAPSUS$ a également utilisé l’usurpation d’identité du service d’assistance pour soutenir d’autres scams. Cette technique courante consiste à spammer les employés de demandes répétées d’authentification multifacteur (MFA) et à les appeler ensuite pour les encourager à approuver l’authentification. LAPSUS$ pratique également le smishing (hameçonnage par SMS), le spear-phishing et l’échange de cartes SIM pour intercepter les communications et les codes d’authentification. Le groupe a également cherché à recruter des acteurs internes, offrant une compensation pour un accès privilégié ou une élévation des privilèges. Ces tactiques combinées leur ont permis de pénétrer dans des environnements sensibles et de lancer des attaques par ransomware et d’autres attaques. Le succès du groupe est souvent attribué à l’étude de la cible et au harcèlement des membres du personnel jusqu’à ce que l’un d’eux finisse par faire une erreur.  

 

En 2022, le groupe malveillant 0ktapus a utilisé à la fois le smishing et le vishing pour compromettre Twilio, un fournisseur de communications cloud. Il s’agissait d’une attaque de social engineering sophistiquée et à étapes multiples. En voici la chronologie :

  • 29 juin 2022 : les acteurs malveillants 0ktapus se font passer pour l’équipe informatique et lancent des attaques par vishing contre les employés de Twilio. Un appelant convainc un employé de fournir des identifiants, ce qui entraîne un accès non autorisé aux coordonnées des clients pendant environ 12 heures.
  • Mi-juillet 2022 : des pirates lancent une campagne de smishing qui inonde les anciens employés de Twilio et ceux actuellement en poste de fausses alertes et des liens de réinitialisation de mot de passe malveillants. Certaines de ces attaques réussissent et les acteurs malveillants accèdent au réseau Twilio et aux données clients.
  • Du 4 au 9 août 2022 : Twilio prend connaissance de l’intrusion dans son réseau et de la violation de données et amorce une intervention, bien que les membres d’0ktapus conservent l’accès pendant deux jours supplémentaires après la détection. Dans le cadre de cette intervention, Twilio travaille avec les opérateurs et les fournisseurs d’hébergement pour fermer l’infrastructure de smishing et de vol d’identifiants.
  • Août-octobre 2022 : Twilio enquête avec des partenaires en criminalistique et met à jour son rapport d’incident initial.

« Notre enquête nous a également permis de conclure que les mêmes acteurs malveillants étaient probablement responsables d’un bref incident de sécurité survenu le 29 juin 2022. Lors de l’incident de juin, un employé de Twilio a été victime de social engineering par hameçonnage vocal (ou vishing) et a fourni ses identifiants. L’acteur malveillant a pu accéder aux coordonnées d’un nombre limité de clients. » ~ Rapport d’incident de Twilio, du 7 août 2022

Le groupe malveillant Scattered Spider a utilisé des attaques par vishing pour infiltrer MGM Resorts en septembre 2023. Les appelants ont utilisé LinkedIn pour identifier un employé de MGM et se sont ensuite fait passer pour lui lors d’un appel au service d’assistance de l’entreprise. L’appelant a déclaré avoir été exclu du système et a demandé de l’aide afin que son accès soit rétabli. Malheureusement, cela a fonctionné et les pirates ont obtenu un accès privilégié aux environnements Okta et Azure AD de l’entreprise. Scattered Spider a pu accéder sans entrave aux systèmes de gestion des identités et des accès de MGM. Le groupe pouvait gérer les comptes utilisateurs, désactiver les contrôles de sécurité et s’octroyer un accès à tout ce qui était intégré aux plateformes compromises.

Une fois l’accès initial obtenu par Scattered Spider, le groupe de ransomware ALPHV a lancé son attaque contre l’entreprise. À la fin de l’année 2023, l’attaque avait coûté à MGM environ 100 millions de dollars en pertes de revenus, en frais de conseil et d’avocat, et autres dépenses liées à la récupération, aux mises à niveau de la sécurité et aux problèmes de conformité.

Les raisons du succès de ces attaques

Nous avons constaté que les acteurs malveillants sont prêts à décrocher le téléphone et à se faire passer pour un membre du service d’assistance ou pour un employé nécessitant l’intervention du service d’assistance. Ces acteurs malveillants sont des « appelants » spécialisés dans le vishing et d’autres techniques de social engineering. Ils sont experts en usurpation d’identité et en conversation improvisée. Ils se préparent souvent à un appel en écrivant un script ou en collectant des informations sur la cible. Ce sont souvent de jeunes anglophones basés en Angleterre et aux États-Unis, et nombre d’entre eux sont affiliés à un groupe connu sous le nom de « The Com ». Il s’agit d’une communauté peu organisée d’adolescents et de jeunes adultes qui se lancent dans ces activités pour la notoriété, puis poursuivent une « carrière » dans la cybercriminalité pour l’argent. Des groupes comme Scattered Spider (UNC3944), LAPSUS$, 0ktapus, Star Fraud, Octo Tempest et Scatter Swine ont tous The Com comme point d’origine. En toute transparence, certains de ces noms sont des alias pour un seul groupe, et certains membres font partie de plusieurs groupes. Puisque ces acteurs malveillants sont apparus par l’intermédiaire de The Com, ils ont appris à travailler en groupes peu organisés qui utilisent beaucoup les mêmes techniques. Cela peut rendre l’attribution des attaques difficile, mais les forces de l’ordre ont connu un succès considérable contre ces acteurs malveillants situés en Occident.

Les services d’assistance ne sont pas seulement vulnérables parce que ces acteurs malveillants sont bons dans ce qu’ils font. Il n’y a tout simplement pas assez d’entreprises disposant de contrôles pour protéger les employés contre ces attaques. Que le pirate se fasse passer pour un employé du service d’assistance ou d’un autre service, l’attaque peut être stoppée grâce à des contrôles de sécurité appropriés.

Défendre votre entreprise contre les attaques du service d’assistance

Comme tout autre type de cybersécurité, il existe plusieurs couches de défense qui peuvent être déployées. Voici quelques-unes des bonnes pratiques les plus accessibles :

Procédures strictes de vérification des utilisateurs : exigez une authentification multifacteur et une vérification détaillée avant de traiter les demandes sensibles (telles que les réinitialisations du mot de passe ou les modifications d’accès). Appliquez des politiques interdisant la divulgation ou la réinitialisation des identifiants sans validation d’identité en plusieurs étapes. Vous pouvez utiliser des protocoles de rappel, des répertoires téléphoniques internes, des liens de tickets internes et des questions d’identification.

Contrôles d’accès et segmentation : limitez l’accès du service d’assistance aux systèmes et aux données sensibles en vous basant sur le principe du moindre privilège. Dissociez les tâches afin qu’aucun membre du personnel ne puisse approuver et lancer unilatéralement des actions à haut risque. Utilisez la confirmation hors bande, comme un deuxième appel téléphonique vers un numéro vérifié avant de récupérer un compte ou d’élever les privilèges.

Pistes d’audit et surveillance : enregistrez toutes les activités du service d’assistance, notamment celles impliquant les modifications sensibles ou l’accès à des identifiants, et surveillez de manière proactive les tendances susceptibles d’indiquer des abus, tels que les réinitialisations répétées des mots de passe ou les élévations rapides des accès.

Révision et mise à jour régulière des politiques de sécurité : effectuez des évaluations régulières des procédures du service d’assistance par rapport aux dernières menaces du secteur et mettez à jour les protocoles si nécessaire. Utilisez le suivi des menaces concernant les tactiques émergentes, ainsi que les données des journaux du service d’assistance et d’autres sources internes pour élaborer de nouvelles politiques.  

Formation continue à la sécurité : formez régulièrement les employés à reconnaître les tactiques d’hameçonnage, de vishing et de social engineering, et sensibilisez-les aux attaques deepfake. Simulez des attaques pour renforcer la familiarité et la résilience. Encouragez les membres du personnel à signaler immédiatement les tentatives présumées de social engineering ou les demandes anormales, grâce à des protocoles d’escalade et de réponse clairs en cas d’activité inhabituelle.

Vous devriez également envisager d’utiliser une MFA résistante au hameçonnage, comme les clés FIDO2 ou l’authentification basée sur l’application. L’efficacité des échanges de cartes SIM et des attaques de social engineering sera ainsi limitée.

Même les plus petites équipes informatiques peuvent mettre en place certains de ces contrôles. Si vous n’avez qu’un seul informaticien, vous pouvez toujours utiliser des protocoles de vérification et exiger un niveau d’approbation supplémentaire pour les demandes à haut risque. Un système de tickets simple peut créer des pistes d’audit, et un examen régulier des politiques et procédures de sécurité devrait déjà être en place. Il n’est pas facile d’établir et de garantir la sécurité du service d’assistance, mais elle devient de plus en plus importante.

Christine Barry

Christine Barry est Senior Chief Blogger et Social Media Manager chez Barracuda.  Avant de rejoindre Barracuda, Christine a été ingénieure de terrain et chef de projet dans l'éducation et auprès de PME pendant plus de 15 ans. Elle est titulaire de plusieurs diplômes en technologie et en gestion de projet, d'un "Bachelor of Arts" et d'un "Master of Business Administration".Elle est diplômée de l'université du Michigan.

Connectez-vous avec Christine sur LinkedIn.

Billets associés :
Cyber crooks getting younger — and more dangerous
Cyber crooks getting younger — and more dangerous
Lazarus Group: A criminal syndicate with a flag
Lazarus Group: A criminal syndicate with a flag
 Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
Les principaux acteurs de la menace en août : ransomware, espionnage et voleurs d’informations
 Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Malware Brief : hameçonnage sophistiqué, BYOVD et RAT Android
Rechercher dans le blog

Rapport 2025 sur les ransomwares

Principales conclusions concernant l’expérience et l’impact des ransomwares sur les organisations du monde entier

Recevez le rapport d'enquête

S’abonner au blog de Barracuda.

Inscrivez-vous pour recevoir des informations sur les menaces, des commentaires sur le secteur et bien plus encore.

Sécurité des vulnérabilités gérée : correction plus rapide, risques réduits, conformité simplifiée 

Découvrez à quel point il peut être facile de trouver les vulnérabilités que les cybercriminels cherchent à exploiter

REGARDER LE WEBINAIRE

Abonnez-vous pour recevoir les nouvelles à connaître sur les menaces, des commentaires sur notre domaine d’activité et bien plus encore.

Recevez directement dans votre boîte de réception toutes les dernières nouvelles, avec nos actualités sur les recherches et nos analyses.