Ce blog a été publié à l'origine dans SC Media et est republié ici avec l'autorisation de l'auteur.
En mai 2025, la fuite de journaux de discussion internes du groupe de ransomware Black Basta a révélé comment les attaquants utilisaient des données publiques pour établir le profil des entreprises, identifier les infrastructures vulnérables et obtenir discrètement l'accès, tout cela avant de lancer une seule charge utile malveillante.
Leur approche a été remarquablement méthodique. Les affiliés ont commencé par utiliser des outils tels que ZoomInfo pour filtrer les cibles potentielles en fonction de leur taille, de leur secteur d'activité et de leur chiffre d'affaires. Une fois qu'une entreprise a été identifiée comme une cible de grande valeur, ils se sont tournés vers LinkedIn pour cartographier l'organigramme et analyser les offres d'emploi afin de comprendre quelles technologies étaient utilisées. Ensuite, ils ont utilisé des plateformes d'enrichissement des contacts telles que RocketReach et SignalHire pour recueillir des adresses électroniques, comme le ferait une équipe de vente lors d'une prospection.
Mais il ne s'est pas arrêté aux données des employés. À l'aide de plateformes telles que Shodan et FOFA, le groupe a scanné l'internet à la recherche d'infrastructures exposées : Portails VPN, instances Citrix, appareils vulnérables tels que SonicWall ou Fortinet, et services cloud tels que Jenkins ou ESXi. Dans certains cas, ils disposaient déjà d'informations d'identification provenant de brèches antérieures, ce qui leur a permis de se connecter sans déclencher d'alarme.
Il ne s'agissait pas d'un exploit de type zero-day ou d'un travail individu . Il s'agissait d'un exemple classique de la façon dont les attaquants peuvent exploiter les renseignements de source ouverte (OSINT).
Qu'est-ce que l'OSINT et quelle est son importance ?
L'OSINT est une pratique qui consiste à collecter et à analyser des informations accessibles au public afin de produire des renseignements exploitables. S'il s'agit d'un outil puissant pour les équipes de cybersécurité et les enquêteurs, c'est aussi une technique de choix pour les attaquants lors des premières étapes d'une intrusion. Des blogs d'entreprise aux dépôts publics, en passant par les messages sur les médias sociaux et les fuites d'informations d'identification, l'OSINT fournit aux cybercriminels tout ce dont ils ont besoin pour comprendre comment une organisation fonctionne et où elle pourrait être exposée.
Black Basta n'a pas inventé cette méthode. Ils l'ont simplement bien utilisée et ils ne sont pas les seuls.
Ce que recherchent les attaquants
Bien que l'OSINT provienne d'innombrables sources, il se divise généralement en quatre catégories principales :
- Données personnelles
Les profils des médias sociaux, les forums publics et les biographies des conférenciers aident les attaquants à identifier les employés clés, la structure organisationnelle et les habitudes de travail. - Entreprise et exposition technique
Les offres d'emploi, les communiqués de presse des fournisseurs, les dépôts GitHub et les enregistrements WHOIS révèlent la pile technologique utilisée et tout changement récent susceptible d'introduire des vulnérabilités. - Empreintes d'infrastructure
Des outils tels que Shodan et FOFA sont utilisés pour trouver les services exposés à l'internet (VPN, applications cloud , ports ouverts ou logiciels obsolètes). - Fuites d'informations d'identification
Les archives de mots de passe provenant de violations antérieures sont faciles à trouver et souvent réutilisées. Les attaquants s'en servent pour accéder discrètement à des comptes, en particulier si le MFA n'est pas appliqué.
En bref, les attaquants combinent des éléments épars de données publiques en une carte complète et précise de votre environnement, souvent avec un meilleur contexte que celui dont disposent les équipes internes.
Ce que vous pouvez faire aujourd'hui
Réduire votre empreinte numérique demande des efforts, mais c'est l'un des moyens les plus efficaces de ralentir les attaquants et de perturber la reconnaissance. Commencez par les étapes suivantes :
Pour tous :
- Effectuez régulièrement des recherches sur vous-même. Voyez ce qui apparaît lorsque vous recherchez votre nom, votre adresse électronique ou vos travaux antérieurs dans Google. Supprimez tout ce qui révèle des projets sensibles, des outils internes ou des coordonnées.
- Réfléchissez avant de publier. Évitez de partager des photos de votre bureau, des détails techniques ou des noms de fournisseurs sur les forums publics et les plateformes sociales.
- Nettoyez vos fichiers. Supprimez les métadonnées des documents et des images avant de les partager avec l'extérieur. Des outils comme ExifTool peuvent vous aider.
- Séparez les comptes professionnels et personnels. Gardez votre vie privée et limitez les détails professionnels accessibles au public.
- Restez attentif à l'ingénierie sociale. Si quelqu'un vous contacte en utilisant des détails étrangement spécifiques, vérifiez avant de répondre ou de cliquer.
Pour les équipes de sécurité :
- Surveillez les domaines similaires. Définissez des alertes pour les domaines nouvellement enregistrés qui imitent votre marque et agissez avant qu'ils ne soient utilisés comme arme.
- Examinez les contrôles d'accès. Limitez les autorisations au strict nécessaire et supprimez les comptes périmés ou les identifiants de service inutilisés.
- Segmentez votre réseau. Veillez à ce que les systèmes de développement, de production et internes soient isolés afin de réduire le rayon d'action de toute intrusion.
- Simulez une attaque basée sur l'OSINT. Demandez à votre équipe rouge de ne collecter que des données publiques et voyez jusqu'où elle peut aller. Utilisez les résultats pour informer les contrôles et les formations de sensibilisation.
Une vue d'ensemble
La Black Basta devrait servir de signal d'alarme. Il n'est pas nécessaire d'avoir un exploit de type zero-day lorsque les personnes et les systèmes exposent tout ce dont les attaquants ont besoin. La sécurité ne se résume pas à l'application de correctifs sur les systèmes ou au déploiement du dernier ensemble d'outils : il s'agit aussi de sensibiliser, d'assurer une hygiène numérique et de rendre plus difficile pour les adversaires la collecte des informations dont ils ont besoin. Réduire votre exposition publique et détecter les premiers signes de compromission (en particulier au niveau de l'identité, du réseau et du cloud) n'est pas facultatif. C'est la nouvelle référence en matière de défense.
La plateforme Vectra AI : Quand la prévention ne suffit pas
Même avec ces bonnes habitudes, des pare-feu et des défenses de endpoint solides, les attaquants peuvent trouver des moyens de contourner votre sécurité. Si la prévention ne suffit pas à stopper une attaque, la plateformeVectra AI intervient. Vectra AI surveille en permanence le trafic réseau, l'identité cloud et l'activité SaaS pour détecter les signes subtils de compromission. Si un attaquant contourne un pare-feu ou un filtre de phishing , l'analyse de Vectra AIdétecte des schémas inhabituels, comme une identité d'utilisateur valide s'authentifiant depuis un lieu inattendu, accédant à des ressources cloud sensibles, ou un compte de service effectuant de rares appels API. Parce qu'il se concentre sur l'identité et le comportement, Vectra AI détecte les menaces que les autres défenses ne voient pas et alerte immédiatement les équipes de sécurité, afin qu'elles puissent agir avant que des données ne soient perdues.
Vous voulez voir la plateforme en action ? Demandez une démonstration.