Alerte CCCS : campagnes de compromission SaaS par ingénierie sociale ciblant les identités d'entreprise

🏛️ Contexte

Alerte de sécurité AL26-010 publiée le 1er mai 2026 par le Centre canadien pour la cybersécurité (CCCS). Elle s’adresse aux professionnels TI et gestionnaires. Elle documente des cyberactivités malveillantes continues à motivation financière observées depuis mi-2025, avec une évolution marquée vers l’ingénierie sociale ciblant les plateformes SaaS et de gestion des identités d’entreprise.

🎯 Vecteurs d’accès initial

Les campagnes n’exploitent pas de vulnérabilités logicielles mais reposent sur :

• Hameçonnage vocal (vishing) : usurpation d’identité de personnel IT ou de fournisseurs de confiance pour inciter les employés à s’authentifier sur des portails contrôlés par l’attaquant ou à modifier leur AMF
• Collecte de justificatifs et interception d’AMF : pages de phishing usurpant des marques, utilisation de cadriciels AiTM (Adversary-in-the-Middle) pour capturer des sessions SSO valides en temps réel
• Usurpation de sous-domaines : recours à des sous-domaines imitant les portails SSO (ex. <organization>sso[.]com) pour contourner les contrôles de réputation de domaines
• Abus des processus de service d’assistance : manipulation du personnel de support pour réinitialiser l’AMF ou inscrire des dispositifs contrôlés par l’attaquant
• Compromission de la chaîne d’approvisionnement SaaS : vol de jetons OAuth de rafraîchissement depuis des fournisseurs tiers compromis pour accéder aux systèmes clients sans déclencher l’AMF

🔍 Indicateurs clés observés

• Création de jetons OAuth lors d’appels suspects
• Connexions d’applications génériques (ex. « Outil de soutien », « Chargeur de données »)
• Sessions concurrentes depuis des IP ou régions différentes en quelques minutes
• Utilisation de jetons depuis des adresses IP étrangères, VPN ou nœuds Tor dans les secondes suivant leur création
• Absence de défi AMF dans les journaux d’authentification
• Hausse soudaine de requêtes API REST ciblant des objets à forte valeur (comptes, contacts, dossiers)
• Requêtes SELECT * sur des tables entières rarement consultées

💥 Activité post-compromission

• Déplacement latéral entre applications SaaS (messagerie, GRC, RH, référentiels documentaires) via SSO
• Exfiltration massive de données via API et fonctions d’export légitimes
• Exploitation d’intégrations SaaS tierces et de jetons stockés pour accéder aux systèmes en aval
• Campagnes d’extorsion avec menace de publication ou vente des données sur des sites de fuites ou forums clandestins
• Absence de déploiement de maliciels, rendant la détection par les outils endpoint conventionnels inefficace

📌 Type et portée

Il s’agit d’une alerte de sécurité officielle émise par une autorité nationale de cybersécurité canadienne. Elle vise à sensibiliser les organisations aux tactiques d’acteurs cybercriminels à motivation financière et à fournir des indicateurs de détection exploitables pour les équipes SOC et CTI.

🧠 TTPs et IOCs détectés

Acteurs de menace

• ShinyHunters (cybercriminal) — orkl.eu · Malpedia

TTP

• T1566.004 — Phishing: Spearphishing Voice (Initial Access)
• T1598.003 — Phishing for Information: Spearphishing Link (Reconnaissance)
• T1557 — Adversary-in-the-Middle (Credential Access)
• T1078 — Valid Accounts (Defense Evasion)
• T1556.006 — Modify Authentication Process: Multi-Factor Authentication (Credential Access)
• T1528 — Steal Application Access Token (Credential Access)
• T1550.001 — Use Alternate Authentication Material: Application Access Token (Defense Evasion)
• T1534 — Internal Spearphishing (Lateral Movement)
• T1048 — Exfiltration Over Alternative Protocol (Exfiltration)
• T1567 — Exfiltration Over Web Service (Exfiltration)
• T1657 — Financial Theft (Impact)
• T1486 — Data Encrypted for Impact (Impact)
• T1195.001 — Supply Chain Compromise: Compromise Software Dependencies and Development Tools (Initial Access)
• T1583.001 — Acquire Infrastructure: Domains (Resource Development)
• T1647 — Plist File Modification (Defense Evasion)

🟡 Indice de vérification factuelle : 55/100 (moyenne)

• ✅ cyber.gc.ca — source reconnue (liste interne) (20pts)
• ✅ 12439 chars — texte complet (fulltext extrait) (15pts)
• ⬜ aucun IOC extrait (0pts)
• ⬜ pas d’IOC à vérifier (0pts)
• ✅ 15 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ✅ acteur(s) identifié(s) : ShinyHunters (5pts)
• ⬜ pas de CVE à vérifier (0pts)

🔗 Source originale : https://www.cyber.gc.ca/fr/alertes-avis/al26-0010-compromission-denvironnements-saas-dentreprise-cybercriminelles-cybercriminels-se-livrant-activites-piratage-psychologique