MFA

Source: Datadog (analyse technique signée par Martin McCloskey). L’article retrace l’évolution du kit de phishing 1Phish (sept. 2025 → fév. 2026) qui cible les utilisateurs de 1Password via des domaines typosquattés et des emails à thème « compromission », passant d’un collecteur basique d’identifiants à une plateforme multi‑étapes compatible MFA, avec anti‑analyse et gestion de session. • Évolution par versions. V1 (sept. 2025) est une page HTML légère (~258 lignes) récoltant email, clé secrète et mot de passe, sans MFA ni fingerprinting. V2 (sept.–oct. 2025) ajoute validation côté client, Cloudflare challenges, fingerprinting (canvas, WebGL, plugins, dimensions), et l’intégration de HideClick pour cloaking/filtrage des bots. V3 (oct. 2025–fév. 2026) introduit un workflow multi‑étapes, une porte de validation pré‑phishing (/validate), la capture d’OTP/2FA (POST /submit-2fa) et une double collecte de mots de passe (ancien/nouveau). V4 (fév. 2026) bascule vers une architecture REST avec gestion de session, ciblage entreprise/équipe (sous‑domaine d’entreprise), sélection de région, internationalisation, collecte de codes de récupération 1PRK, obfuscation JS et bot scoring actif (/api/validate-access). ...

Selon un billet technique d’Olezka Global (blog, 19 janvier 2026), Starkiller représente une génération de plateformes criminelles de Phishing-as-a-Service (PhaaS) conçues pour contourner les défenses modernes plutôt que mimer des attaques datées. L’article explique que Starkiller se présente comme une infrastructure de phishing “enterprise-grade”: au lieu de pages HTML statiques, elle s’appuie sur des navigateurs réels en conteneurs, ce qui rend le rendu JavaScript, les en-têtes de sécurité et les politiques CSP authentiques, déjouant les heuristiques de « fausses pages » et les outils qui ne détectent pas l’abus de sessions légitimes. ...

Selon un bulletin de sécurité d’ownCloud, s’appuyant sur un rapport d’Hudson Rock, des intrusions ont visé des plateformes de partage de fichiers auto‑hébergées, dont des instances communautaires d’ownCloud, via l’exploitation de combinaisons identifiant/mot de passe volées — sans faille ni zero‑day. Le hacker « Zestix » (aka « Sentap ») a mis en vente sur le dark web des données attribuées à environ 50 organisations internationales. 🚨 Nature de la menace et impact: les attaquants ont utilisé des identifiants compromis par des infostealers (notamment RedLine, Lumma, Vidar) installés sur des postes d’employés. Ces malwares aspirent les mots de passe stockés (navigateurs/système), ensuite revendus en masse sur des places de marché clandestines. Des cybercriminels filtrent ces bases pour identifier des accès à des services d’entreprise (dont des portails ownCloud) et se connectent comme des utilisateurs légitimes lorsqu’aucune authentification multifacteur (MFA) n’est exigée. 🔐 ...

Selon Infostealers.com, dans une enquête menée par Hudson Rock, l’acteur « Zestix » (alias « Sentap ») vend sur des forums clandestins des accès et des jeux de données exfiltrés depuis les portails de partage de fichiers d’environ 50 grandes entreprises. L’accès provient d’identifiants récoltés par des malwares infostealers et d’un défaut d’authentification multifacteur (MFA), sans exploitation de zéro‑day. • Vecteur et impact 🔐⚠️ L’attaque repose sur le vol d’identifiants via infostealers (ex. RedLine, Lumma, Vidar), l’agrégation des logs sur le dark web, puis l’usage direct des couples login/mot de passe vers des instances ShareFile, Nextcloud, OwnCloud non protégées par MFA. Des identifiants anciens non révoqués figurent dans les logs depuis des années, permettant des intrusions différées. Les cibles couvrent l’aviation, la défense/robotique, les infrastructures critiques, la santé, les réseaux télécoms et des cabinets juridiques. ...

Selon Korea JoongAng Daily (vendredi 17 octobre 2025), le gouvernement sud-coréen a reconnu qu’une intrusion avait visé la plateforme de gestion Onnara et des certificats de signature administrative GPKI, essentiels à l’authentification des fonctionnaires. Le ministère de l’Intérieur et de la Sécurité confirme que des signes d’accès externe à Onnara via le G‑VPN ont été détectés à la mi-juillet par le National Intelligence Service (NIS). L’aveu intervient deux mois après un rapport de Phrack Magazine affirmant que plusieurs ministères et entreprises (MOIS, Affaires étrangères, Unification, Océans et Pêches, KT, LG U+, Daum, Kakao, Naver, etc.) avaient été ciblés — des allégations que le gouvernement a reconnu comme exactes. ...

Selon Intel 471, des acteurs malveillants ont perfectionné des techniques pour contourner la multifactor authentication (MFA), avec des groupes tels que LAPSUS$ et Scattered Spider exploitant ces approches pour la prise de contrôle de comptes et l’accès initial. Principales méthodes décrites: 🎣 Phishing + rejeu d’identifiants/MFA (campagnes type 0ktapus) via de faux portails pour capturer identifiants et codes MFA puis les rejouer immédiatement. 📲 SIM swapping pour détourner les codes SMS vers un appareil contrôlé par l’attaquant. 🔔 MFA fatigue / push bombing en inondant l’utilisateur de notifications push pour obtenir une approbation par lassitude. 🧪 Adversary-in-the-middle (AITM) avec proxy inversé (ex. Evilginx2) afin de voler tokens/cookies de session. 🔑 Vol de tokens OAuth (bearer) permettant un accès non autorisé sans mot de passe. Mesures de défense mises en avant: ...

Source: SANS Internet Storm Center (Diary du 2025-09-21) par Johannes Ullrich. Contexte: retour sur une campagne de phishing en cours contre des comptes développeurs NPM et sur les méthodes d’authentification résistantes au phishing. — Faits rapportés: des e‑mails de phishing bien rédigés et une page de destination convaincante ont suffi pour piéger des développeurs NPM. Le domaine « npmjs.help » a été utilisé, et « npmjs.cam » (TLD .CAM et non .COM) a été enregistré peu après, même si ce dernier n’est pas joignable au moment évoqué. 🎣 ...

Selon une plainte déposée au US District Court for the District of New Jersey, Ace American Insurance Co. (filiale de Chubb Ltd.) poursuit des sociétés de gestion de données et de cybersécurité, affirmant qu’elles ont échoué à prévenir ou atténuer une attaque par ransomware ayant touché l’assuré CoWorx Staffing Services. 💼⚖️ L’assureur indique avoir versé plus de 500 000 $ au titre de la police cyber en réponse à l’attaque survenue en 2024. 💸 L’action vise à recouvrer ces coûts auprès des prestataires jugés défaillants. ...

Selon BleepingComputer, Microsoft indique faire respecter l’authentification multifacteur (MFA) pour les connexions au portail Azure sur tous les tenants depuis mars 2025. Mesure annoncée : application obligatoire de la MFA pour les connexions au portail Azure. 🔐 Portée : tous les tenants Azure sont concernés. Temporalité : mesure effective depuis mars 2025. Concrètement, la connexion au portail Azure requiert désormais une étape supplémentaire d’authentification (MFA) pour l’ensemble des organisations, au-delà du mot de passe. Après avoir terminé le déploiement pour les connexions au portail Azure, la société commencera à appliquer l’authentification multifacteur sur Azure CLI, PowerShell, SDK et API en octobre 2025 afin de protéger les comptes des utilisateurs contre les attaques. ...

Selon BleepingComputer, Microsoft appliquera à partir d’octobre l’authentification multifacteur (MFA) pour toutes les actions de gestion des ressources Azure afin de protéger les clients contre les tentatives d’accès non autorisées. Mesure: obligation de MFA pour toutes les actions de gestion des ressources Azure. Calendrier: entrée en vigueur à partir d’octobre. Objectif: contrer les accès non autorisés visant les environnements Azure 🔐. Il s’agit d’une mise à jour de produit dont le but principal est de renforcer la protection des clients Azure. ...