https://cyberveille.ch/pays/canada-port%C3%A9e-internationale/ Recent content in Canada (Portée Internationale) on CyberVeille Hugo -- 0.146.0 fr-fr Cyberveille CC BY-NC-SA 4.0 Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-alerte-cccs-campagnes-de-compromission-saas-par-ingenierie-sociale-ciblant-les-identites-d-entreprise/ Sun, 05 Apr 2026 00:00:00 +0000 https://cyberveille.ch/posts/2026-04-05-alerte-cccs-campagnes-de-compromission-saas-par-ingenierie-sociale-ciblant-les-identites-d-entreprise/ <h2 id="-contexte">🏛️ Contexte</h2> <p>Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le <strong>Centre canadien pour la cybersécurité (CCCS)</strong>. Elle s&rsquo;adresse aux professionnels TI et gestionnaires. Elle documente des <strong>cyberactivités malveillantes continues à motivation financière</strong> observées depuis <strong>mi-2025</strong>, avec une évolution marquée vers l&rsquo;ingénierie sociale ciblant les <strong>plateformes SaaS et de gestion des identités d&rsquo;entreprise</strong>.</p> <h2 id="-vecteurs-daccès-initial">🎯 Vecteurs d&rsquo;accès initial</h2> <p>Les campagnes n&rsquo;exploitent pas de vulnérabilités logicielles mais reposent sur :</p> <ul> <li><strong>Hameçonnage vocal (vishing)</strong> : usurpation d&rsquo;identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s&rsquo;authentifier sur des portails contrôlés par l&rsquo;attaquant ou à modifier leur AMF</li> <li><strong>Collecte de justificatifs et interception d&rsquo;AMF</strong> : pages de phishing usurpant des marques, utilisation de <strong>cadriciels AiTM (Adversary-in-the-Middle)</strong> pour capturer des sessions SSO valides en temps réel</li> <li><strong>Usurpation de sous-domaines</strong> : recours à des sous-domaines imitant les portails SSO (ex. <code>&lt;organization&gt;sso[.]com</code>) pour contourner les contrôles de réputation de domaines</li> <li><strong>Abus des processus de service d&rsquo;assistance</strong> : manipulation du personnel de support pour réinitialiser l&rsquo;AMF ou inscrire des dispositifs contrôlés par l&rsquo;attaquant</li> <li><strong>Compromission de la chaîne d&rsquo;approvisionnement SaaS</strong> : vol de <strong>jetons OAuth de rafraîchissement</strong> depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l&rsquo;AMF</li> </ul> <h2 id="-indicateurs-clés-observés">🔍 Indicateurs clés observés</h2> <ul> <li>Création de <strong>jetons OAuth</strong> lors d&rsquo;appels suspects</li> <li>Connexions d&rsquo;applications génériques (ex. « Outil de soutien », « Chargeur de données »)</li> <li>Sessions concurrentes depuis des IP ou régions différentes en quelques minutes</li> <li>Utilisation de <strong>jetons depuis des adresses IP étrangères, VPN ou nœuds Tor</strong> dans les secondes suivant leur création</li> <li>Absence de défi AMF dans les journaux d&rsquo;authentification</li> <li>Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers)</li> <li>Requêtes <code>SELECT *</code> sur des tables entières rarement consultées</li> </ul> <h2 id="-activité-post-compromission">💥 Activité post-compromission</h2> <ul> <li><strong>Déplacement latéral</strong> entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO</li> <li><strong>Exfiltration massive de données</strong> via API et fonctions d&rsquo;export légitimes</li> <li>Exploitation d&rsquo;<strong>intégrations SaaS tierces</strong> et de jetons stockés pour accéder aux systèmes en aval</li> <li><strong>Campagnes d&rsquo;extorsion</strong> avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins</li> <li><strong>Absence de déploiement de maliciels</strong>, rendant la détection par les outils endpoint conventionnels inefficace</li> </ul> <h2 id="-type-et-portée">📌 Type et portée</h2> <p>Il s&rsquo;agit d&rsquo;une <strong>alerte de sécurité officielle</strong> émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d&rsquo;acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI.</p>