Automatisez la maîtrise des attaques hybrides avec 360 Response

Automatisez la maîtrise des attaques hybrides avec 360 Response >

Vectra AI(NDR) のマジック・クアドラントにおいてリーダーの1社に
Icône de hamburger en haut de page
Icône de hamburger ligne médiane
Icône de hamburger ligne inférieure
Briefing sur les menaces

Échecs de l'OPSEC : comment les erreurs des acteurs malveillants aident les défenseurs

9 janvier 2026
Lucie Cardiet
Responsable de la recherche sur les cybermenaces
Échecs de l'OPSEC : comment les erreurs des acteurs malveillants aident les défenseurs

cybercriminels essaient souvent de se présenter comme des personnes disciplinées et hautement qualifiées. Certains exploitent des ransomwares à des fins commerciales, tandis que d'autres font partie de groupes cybercriminels organisés ou d'équipes soutenues par des États. Ils investissent du temps dans des outils, des infrastructures et des techniques d'évasion.

Les rapports publics montrent que cette image ne correspond pas toujours à la réalité.

Dans plusieurs cas récents, les attaquants ont commis des erreurs élémentaires en matière de sécurité opérationnelle (OPSEC). Ces erreurs ont révélé leur infrastructure, leurs outils et leur comportement. Au lieu de rester invisibles, les attaquants ont créé une visibilité pour les défenseurs.

Vous trouverez ci-dessous trois défaillances OPSEC signalées par des chercheurs en décembre 2025.

Devman : Échecs procéduraux de l'OPSEC dans les opérations de ransomware

Dans un article précédent, j'ai abordé les détails techniques du ransomware Devman, notamment son fonctionnement et les éléments qu'il réutilisait à partir du code de ransomware existant.

Après le lancement, Devman a essuyé les critiques du public sur X pour ce que les chercheurs ont qualifié de « mauvaise OPSEC ». Plusieurs analystes ont souligné que le groupe avait exposé sa propre infrastructure et ses systèmes internes lors du déploiement de son offre de ransomware-as-a-service (RaaS).

Les problèmes signalés comprenaient :

  • Infrastructure interne exposée lors du lancement — Les systèmes utilisés pour gérer l'opération, y compris les services internes, étaient accessibles depuis Internet.
  • Faiblesse de la protection des systèmes de gestion et de communication — Les chercheurs ont pu observer comment certaines parties de l'opération étaient coordonnées.
  • Lancement précipité — La plateforme RaaS a été mise en service avant que les systèmes internes aient été correctement isolés ou sécurisés.
  • Réutilisation d'outils sans durcissement suffisant — L'opération s'appuyait sur des composants existants qui n'avaient pas été testés de manière adéquate du point de vue de l'OPSEC.

Il en a résulté une perception publique selon laquelle l'opération était immature et mal contrôlée, en particulier pour un groupe cherchant à attirer des affiliés.

Hunters de Lapsu$ dispersés : échecs comportementaux en matière d'OPSEC lors de la vérification des cibles

Acteurs associés à SLSH ont déclaré publiquement avoir piraté une entreprise de cybersécurité. Ils ont publié des captures d'écran et affirmé que des données sensibles avaient été volées.

Les rapports de suivi ont montré que les systèmes consultés n'étaient pas des environnements de production. Les attaquants avaient interagi avec un honeypot contenant des données synthétiques conçues pour paraître réalistes.

Les chercheurs ont mis en évidence plusieurs défaillances en matière d'OPSEC :

  • Non-validation de l'environnement cible — Les systèmes accessibles ont été considérés comme réels sans vérifier s'ils étaient isolés ou surveillés.
  • Confiance dans les données synthétiques — Des données qui semblaient légitimes ont été acceptées comme preuve de compromission sans vérification approfondie.
  • Déclarations publiques prématurées — La violation a été annoncée avant d'avoir été confirmée.
  • Problèmes d'automatisation exposant des détails techniques — Des tentatives répétées de scraping et d'accès ont provoqué des défaillances de proxy qui ont entraîné la fuite d'informations techniques utiles pour le suivi.

La crédibilité du groupe a été mise à mal lorsque cette affirmation s'est révélée fausse.

APT parrainée par l'État : défaillances techniques OPSEC dans l'isolation du système

Les chercheurs ont découvert qu'un système utilisé par un acteur malveillant nord-coréen avait été infecté par LummaC2, un malware largement utilisé pour voler des informations. La machine infectée appartenait à un développeur impliqué dans les cyberopérations de la Corée du Nord.

L'analyse des journaux a révélé des identifiants et des outils liés au système. Une enquête plus approfondie a permis de relier la machine à l'infrastructure associée au vol de cryptomonnaies Bybit d'une valeur de 1,4 milliard de dollars, attribué à des acteurs nord-coréens, notamment le groupe Lazarus Group.

Les défaillances OPSEC signalées comprenaient :

  • Mauvaise endpoint — Un système contrôlé par un pirate a été compromis par un logiciel malveillant courant destiné à voler des informations.
  • Réutilisation des identifiants — Les comptes de messagerie et les identifiants stockés sur l'appareil étaient liés à une infrastructure malveillante connue.
  • Manque d'isolation — Les outils, phishing et les actifs opérationnels étaient présents sur un seul et même système.
  • Anonymisation incomplète — L'utilisation du VPN n'a pas permis de masquer entièrement la configuration du navigateur, les paramètres linguistiques et les habitudes d'utilisation.

Il ne s'agissait pas d'un incident isolé. En mai 2025, les développeurs à l'origine du malware DanaBot ont accidentellement infecté leurs propres machines, et les données d'identification récupérées ont ensuite été utilisées par les enquêteurs.

Ces deux cas montrent comment les pirates peuvent être victimes des mêmes menaces qu'ils déploient.

Pourquoi les erreurs OPSEC sont importantes pour les défenseurs

Ces incidents mettent en évidence une vérité simple : cybercriminels des êtres humains, et même les équipes les plus compétentes commettent des erreurs humaines.

Lorsque ces erreurs se produisent, elles créent des signaux que les défenseurs peuvent observer :

  • Comment se comportent les pirates après avoir obtenu l'accès
  • Quels outils et infrastructures réutilisent-ils ?
  • Comment ils testent, valident et annoncent leur succès
  • Quand l'isolement et l'anonymat ne suffisent plus

Les environnements de simulation, les données synthétiques et la surveillance basée sur le comportement n'éliminent pas les attaques, mais ils révèlent le comportement des attaquants lorsque les hypothèses échouent.

Les pirates informatiques adoptent de plus en plus souvent des outils basés sur l'intelligence artificielle. L'automatisation et l'intelligence artificielle peuvent accélérer la reconnaissance, le ciblage et l'exploitation, mais elles ne suppriment pas le jugement humain du processus. Elles peuvent également introduire de nouvelles erreurs :

  • Confiance excessive dans les résultats automatisés
  • Éliminer plus rapidement les hypothèses erronées
  • Répéter les erreurs à la vitesse de la machine

La technologie évolue. Les gens, non.

Etc'est là que les défenseurs continuent de gagner en visibilité.

Foire aux questions