Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - AL26-010 – Compromission d’environnements de SaaS d’entreprise par des cybercriminelles et cybercriminels se livrant à des activités de piratage psychologique

Numéro : AL26-010
Date : 1 mai 2026

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels des TI ainsi et qu'aux gestionnaires.

Objet

Une alerte vise à sensibiliser les destinataires à une cybermenace récemment relevée pouvant toucher les biens d’information électroniques et à fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) peut offrir une assistance supplémentaire aux destinataires qui en font la demande.

Résumé

Le Centre pour la cybersécurité est au courant de cyberactivités malveillantes continues attribuées à des auteurs de menace motivés par le gain financier. Depuis le milieu de l’année 2025, on a constaté que ces activités s’étaient nettement tournées vers un accès initial facilité par le piratage psychologique et qu’elles ciblaient maintenant les plateformes de services de gestion des identités d’entreprise et de logiciels-services (SaaS pour Software as a Service).

Plutôt que d’exploiter les vulnérabilités logicielles, ces campagnes ont recours à l’hameçonnage vocal, à l’usurpation de marques, à la collecte de justificatifs d’identité et à l’abus des processus du service d’assistance pour compromettre les identités des utilisatrices et utilisateurs et obtenir l’accès aux données et aux services hébergés en nuage. Une fois l’accès établi, les auteurs de menace portent leur attention sur l’exfiltration de données et l’extorsion sans avoir à déployer de maliciels, ce qui complique les efforts de détection et d’intervention.

Détails techniques

Accès initial

De récentes campagnes révèlent que ces auteurs de menace obtiennent un accès initial dans le cadre d’interactions directes avec les employées, les employés et le personnel de soutien ciblés. Les techniques ci-dessous sont couramment utilisées :

Hameçonnage vocal et piratage psychologique :

Les auteurs de menace se font passer pour des membres du personnel informatique, des fournisseurs d’identité ou des fournisseurs de confiance et communiquent avec les employées et employés par téléphone pour demander qu’ils apportent des changements urgents à un compte ou à l’authentification multifacteur (AMF). Les victimes reçoivent comme instruction de s’authentifier sur des portails sous le contrôle de l’attaquante ou attaquant.

Indicateurs d’une attaque par hameçonnage vocal :

  • L’utilisatrice ou utilisateur signale des appels non sollicités prétendant offrir du soutien informatique, notamment le dépannage de plateformes.
  • Un jeton OAuth est créé à un moment où l’utilisatrice ou utilisateur reçoit un appel suspect ou non vérifié.
  • La connexion d’une nouvelle application est détectée dans les journaux de vérification et porte un nom générique, comme « Outil de soutien » ou « Chargeur de données ».
  • L’historique des sessions utilisateur affiche une autorisation OAuth que l’utilisatrice ou utilisateur ne reconnaît pas.
  • Des jetons sont immédiatement utilisés depuis des adresses IP étrangères, des points terminaux de réseau privé virtuel (RPV) ou des nœuds Tor dans les secondes ou les minutes qui suivent leur création.
  • Les journaux de vérification d’identité n’indiquent aucun défi d’AMF en raison du contournement de l’autorisation.

Collecte de justificatifs d’identité et interception d’AMF :

Des pages d’hameçonnage portant la marque de la victime sont utilisées pour collecter les justificatifs d’identité de l’authentification unique (SSO pour Single Sign-on) et les codes d’AMF à usage unique. Dans le cadre de plusieurs campagnes, des cadriciels d’hameçonnage de type adversaire au milieu (AiTM pour Adversary in the Middle) capturent des sessions valides en temps réel.

Indicateurs du recours à ce vecteur :

  • Les journaux de SSO indiquent la création de sessions sans aucun défi d’AMF interactif correspondant.
  • Des sessions concurrentes pour la même utilisatrice ou le même utilisateur sont établies en quelques minutes depuis des adresses IP ou des régions différentes.
  • Des alertes générées par la messagerie ou le mandataire Web indiquent que des domaines usurpant une marque ont été consultés.
  • Des agents utilisateur ou des en-têtes ajoutés par des mandataires sont détectés dans des événements d’authentification.

Usurpation de domaines et de sous-domaines :

Les auteurs de menaces ont de plus en plus recours à des sous-domaines usurpés (par exemple, <organization>sso[.]com), plutôt qu’à des domaines d’apparence similaire récemment enregistrés, ce qui permet aux leurres d’échapper aux contrôles de base fondés sur la réputation des domaines et la détection des « domaines récemment enregistrés ».

Indicateurs du recours à ce vecteur :

  • Les journaux du DNS ou du mandataire révèlent l’accès à des domaines en apparence similaire ou à des sous-domaines usurpés qui ressemblent aux portails de SSO ou de l’organisation.
  • Les outils de sécurité de la messagerie signalent des messages comportant des liens vers ces domaines ou des divergences dans l’affichage des noms de domaine.
  • L’outil de gestion des informations et des événements de sécurité (GIES) génère des alertes concernant des domaines nouvellement observés qui ressemblent fortement à des domaines d’entreprise.
  • Des tentatives d’authentification sont relevées en provenance d’adresses URL de référence liées à des sites usurpés.

Abus des processus du service d’assistance et des processus de récupération d’identifiants :

Dans le cadre de nombreux incidents, les auteurs de menace réussissent à convaincre le personnel de soutien de réinitialiser l’AMF ou d’inscrire des dispositifs contrôlés par une attaquante ou un attaquant afin d’établir un accès authentifié permanent. Ces techniques tirent avantage de la confiance humaine et des processus d’identification, et non de vulnérabilités techniques dans les plateformes de SaaS.

Indicateurs du recours à ce vecteur :

  • Des réinitialisations de l’AMF, des changements liés à la récupération d’identifiants ou des inscriptions de dispositifs sont approuvés sans vérification approfondie ou en dehors des procédures établies.
  • Les demandes d’assistance ou les journaux des appels montrent des failles dans la validation de l’identité ou une non-conformité aux politiques.
  • De nouveaux dispositifs ou nouvelles méthodes d’authentification sont soudainement ajoutés aux comptes privilégiés.
  • Les journaux de vérification d’administrateur révèlent des changements d’identité effectués depuis des emplacements inhabituels ou à des moments atypiques.

Compromission de la chaîne d’approvisionnement (vol de jeton d’authentification à privilèges élevés d’un SaaS à l’autre) :

Des auteurs de menace s’introduisent dans les systèmes d’un fournisseur tiers et volent les jetons d’actualisation OAuth précédemment autorisés par les clientes et clients pour l’application connectée à ce fournisseur. Les jetons d’actualisation sont utilisés pour créer des jetons de session valides qui contournent l’AMF et semblent indiscernables d’une activité d’intégration normale.

Indicateurs du recours à ce vecteur :

  • Le principal signe est une discordance entre l’origine de l’appel d’API et l’infrastructure connue du fournisseur.
  • Une activité d’API provenant de plages d’adresses IP ou de numéros de systèmes autonomes (ASN pour Autonomous System Number) qui ne correspondent pas au fournisseur.
  • Des signes d’accès non autorisé à des référentiels, de compromission de l’intégration continue/déploiement continu (IC/CD) ou de divulgation de justificatifs d’identité au niveau du fournisseur, généralement rendus publics avant que les clientes et clients ne constatent un détournement.
  • Élément d’intégration présentant une élévation inattendue de capacités alors qu’il exécute normalement des tâches limitées et prévisibles.
  • Une hausse soudaine des requêtes API 2.0 ou Rest API à grande échelle ciblant des objets à forte valeur, comme des comptes, des contacts, des pistes ou des dossiers.
  • L’application se met soudainement à exécuter des requêtes select * sur des tables de base de données entières qu’elle consultait rarement auparavant.

Activité post-compromission

Après avoir obtenu des justificatifs d’identité ou établi des sessions authentifiées valides, les auteurs de menace effectuent généralement les actions ci-dessous 

Procéder à un déplacement latéral entre des applications SaaS au moyen d’une identité de SSO pour accéder à la messagerie, aux référentiels de documents, aux systèmes de gestion des relations avec la clientèle (GRC), aux plateformes de ressources humaines (RH) et aux outils d’analyse.

Exfiltrer de larges volumes de données sensibles au moyen d’interfaces de programmation d’applications (API pour Application Programming Interface) et de fonctions d’exportation légitimes, ce qui permet de dissimuler une activité malveillante dans un comportement utilisateur normal.

Exploiter des intégrations SaaS fournies par des tiers de confiance, ce qui comprend des jetons d’authentification stockés, pour accéder aux systèmes en aval sans déclencher les contrôles de sécurité au niveau des points d’extrémité.

Se livrer à des campagnes d’extorsion agressives, menaçant de divulguer publiquement ou de vendre les données volées sur des sites de fuites de données ou des forums clandestins si les demandes de rançons ne sont pas satisfaites.

Des maliciels ne sont généralement pas déployés, ce qui limite l’efficacité des méthodes de détection conventionnelles basées sur les points d’extrémité.

Mesures recommandées

Le Centre pour la cybersécurité recommande aux organisations de prendre les mesures d’atténuation ci-dessous pour réduire le risque associé à cette activité.

Contrôles d’identité et d’accès

Déployer une AMF résistante à l’hameçonnage (par exemple, des clés de sécurité FIDO2 ou des clés d’accès), en particulier pour les administratrices, les administrateurs, les utilisatrices et les utilisateurs disposant d’un accès aux données sensibles du SaaS.

Restreindre et surveiller étroitement les processus de réinitialisation de l’AMF, de récupération d’identifiants et de réinscription de dispositifs en exigeant une vérification et une approbation plus poussées.

Procédures et sensibilisation des utilisatrices et utilisateurs

Former les employées, les employés et le personnel de soutien afin qu’ils puissent reconnaître l’hameçonnage vocal et les tactiques d’usurpation de l’identité et insister sur le fait que le personnel informatique légitime ne devrait pas demander des codes ou des mots de passe d’AMF.

Mettre en place des procédures de vérification hors bande pour les demandes liées à l’identité reçues par téléphone ou par l’entremise de plateformes de messagerie.

Mettre en œuvre des stations de travail administratives dédiées (STAD) pour tous les accès privilégiés en ayant recours à des dispositifs isolés à sécurité renforcée avec AMF sur lesquels l’accès à Internet et aux courriels est limité, conformément aux directives du Centre pour la cybersécurité (ITSP.60.100).

SaaS et sécurité infonuagique

Surveiller les journaux des fournisseurs d’identité et des SaaS pour détecter les ouvertures de session anormales, l’activité inhabituelle des API et les exportations de données à volume élevé.

Examiner et réduire au minimum les intégrations SaaS de tiers, la rotation des justificatifs d’identité et la révocation des jetons inutilisés.

Appliquer les stratégies d’accès conditionnel en fonction de la posture des dispositifs, de leur emplacement et de l’évaluation des risques.

Préparation à la gestion des incidents

Assurer une durée de conservation des journaux suffisante pour soutenir l’enquête sur les incidents de compromission d’identité et de vol de données SaaS.

Élaborer et tester des guides d’intervention pour les scénarios d’extorsion des données, notamment les aspects juridiques, les communications et la notification des intervenantes et intervenants.

Références

Date de modification :