OpenSSH

🔍 Contexte Publié le 16 mars 2026 par le Google Threat Intelligence Group (GTIG), ce rapport analyse les tactiques, techniques et procédures (TTPs) observées lors des incidents ransomware traités par Mandiant Consulting en 2025. Il couvre des victimes situées en Asie-Pacifique, Europe, Amérique du Nord et du Sud, dans presque tous les secteurs d’activité. 📊 Paysage ransomware 2025 Record historique de posts sur les Data Leak Sites (DLS) en 2025, dépassant 2024 de près de 50% La rentabilité globale est en déclin : taux de paiement de rançon au plus bas historique en Q4 2025 (Coveware), demande moyenne réduite d’un tiers à 1,34 M$ en 2025 contre 2 M$ en 2024 (Sophos) Près de la moitié des victimes ont pu restaurer depuis des sauvegardes en 2024 (contre 28% en 2023 et 11% en 2022) LockBit, ALPHV, Basta et RansomHub ont été perturbés ou ont disparu ; Qilin et Akira ont comblé le vide REDBIKE (Akira) est la famille ransomware la plus déployée : ~30% des incidents Montée en puissance des opérations de data theft extortion seule (sans chiffrement) Ciblage croissant des petites organisations (moins de 200 employés) Adoption de technologies Web3 (ICP blockchain, Polygon smart contracts) pour la résilience des infrastructures Intégration de l’IA dans les opérations (négociations, analyse des victimes) Doublement des familles ransomware cross-platform (Windows + Linux) 🎯 Vecteurs d’accès initial Exploitation de vulnérabilités : 1/3 des incidents (VPNs et firewalls principalement) Fortinet : CVE-2024-21762, CVE-2024-55591, CVE-2019-6693 SonicWall : CVE-2024-40766 Palo Alto : CVE-2024-3400 Citrix : CVE-2023-4966 Microsoft SharePoint : CVE-2025-53770, CVE-2025-53771 (zero-day par UNC6357) SAP NetWeaver : CVE-2025-31324 CrushFTP : CVE-2025-31161 CVE-2025-8088 exploité en zero-day par UNC2165 CVE-2025-61882 exploité contre Oracle EBS (CL0P) Credentials volés : 21% des incidents identifiés (VPN, RDP) Malvertising / SEO poisoning : UNC6016 (→ NITROGEN, RHYSIDA), UNC2465 (→ SMOKEDHAM) Bruteforce : attaques prolongées sur VPNs (ex. Daixin sur près d’un an) Accès via subsidiaires ou tiers (réseaux intermédiaires) Ingénierie sociale : UNC5833 via Microsoft Teams + Quick Assist 🔧 TTPs post-compromission Établissement de foothold : ...

Team Cymru a découvert un répertoire ouvert sur un serveur Beast Ransomware exposant l’intégralité de la chaîne d’attaque des opérateurs, de la reconnaissance à l’exfiltration. 🔍 Contexte En mars 2026, Team Cymru a publié une analyse technique détaillée d’un serveur appartenant aux opérateurs du ransomware Beast, découvert via leur système de collecte NetFlow et Open Ports. L’adresse IP 5.78.84.144 hébergée chez Hetzner (AS212317) exposait un répertoire ouvert sur le port 8000 contenant l’ensemble de la boîte à outils des attaquants. ...

Selon Forescout (billet de blog référencé), l’adoption de la cryptographie post-quantique (PQC) progresse côté serveurs SSH mais reste en net retrait sur les appareils non gérés, alors que les échéances de migration se situent entre 2030 et 2035. Principaux constats chiffrés 🔍 Support PQC sur serveurs SSH: 8,5% (26% pour OpenSSH) Adoption par type d’actifs: IT 42% vs IoT 20% vs OT/équipements réseau 11% vs IoMT 2% Secteurs les plus en retard: industries dépendantes d’actifs non gérés (manufacturing, oil & gas, mining) Urgences mises en avant: inventorier les actifs, classifier les données (longévité/sensibilité), établir des feuilles de route de migration Équipements critiques vulnérables: routeurs et appliances VPN, cibles privilégiées pour l’accès privilégié Détails techniques (SSH/TLS) 🔐 ...

Source : openssh.com. Le projet OpenSSH détaille l’adoption des algorithmes d’échange de clés post‑quantiques pour SSH, le changement de défaut vers mlkem768x25519-sha256, et l’introduction en 10.1 d’un avertissement lorsque la connexion n’emploie pas de schéma post‑quantique. Depuis OpenSSH 9.0 (avril 2022), un échange de clés post‑quantique est proposé par défaut via sntrup761x25519-sha512. En OpenSSH 9.9, mlkem768x25519-sha256 a été ajouté et est devenu le schéma par défaut en 10.0 (avril 2025). En OpenSSH 10.1, un avertissement informe l’utilisateur si un KEX non post‑quantique est sélectionné, signalant un risque d’attaque « store now, decrypt later ». Cet avertissement est activé par défaut et peut être désactivé via l’option WarnWeakCrypto dans ssh_config(5). Contexte et menace : des ordinateurs quantiques suffisamment puissants pourraient casser certains schémas cryptographiques classiques. Même s’ils n’existent pas encore, les sessions SSH peuvent être collectées aujourd’hui et déchiffrées plus tard (attaque « store now, decrypt later »), d’où la nécessité d’algorithmes post‑quantiques pour l’accord de clés. ...