Archives 2025

Arnaques aux voyages pour seniors utilisées par les acteurs malveillants pour diffuser le malware Datzbro
En août 2025, les autorités australiennes ont émis plusieurs alertes à l’arnaque après que des utilisateurs ont signalé des groupes Facebook suspects faisant la promotion de « voyages actifs pour seniors ».
Ce qui apparaissait initialement comme des rassemblements communautaires inoffensifs masquait en réalité une opération malveillante sophistiquée sur mobile.
Les chercheurs de ThreatFabric ont découvert que ces groupes étaient gérés par des fraudeurs qui incitaient les seniors à télécharger un cheval de Troie Android malveillant baptisé « Datzbro ».
Ce rapport détaille le fonctionnement de la campagne, les fonctionnalités de Datzbro et les raisons pour lesquelles sa disponibilité mondiale représente une menace importante. La campagne ciblait les seniors en quête d’activités sociales, de voyages et d’événements en personne.
Les fraudeurs ont créé de nombreux groupes Facebook remplis de publications générées par l’IA annonçant des soirées dansantes, des excursions et autres rassemblements. Bien que le contenu paraisse authentique, il était conçu pour plaire aux seniors et incitait les utilisateurs intéressés à rejoindre des canaux de messagerie privés.

Des rapports indiquent que des groupes ciblant des publics en Australie sont également apparus à Singapour, en Malaisie, au Canada, en Afrique du Sud et au Royaume-Uni, tous affichant un style de message et des visuels quasiment identiques.
Une fois les victimes intéressées, les escrocs les contactaient via Facebook Messenger ou WhatsApp. Les victimes recevaient des liens pour télécharger une prétendue « application communautaire » permettant prétendument l’inscription aux événements, la connexion des membres et le suivi des agendas.
Dans certains cas, des frais d’inscription minimes étaient exigés, ce qui a conduit au vol de cartes de paiement via des sites d’hameçonnage. Alors que les liens iOS menaient à des espaces réservés inactifs, les victimes Android qui cliquaient sur le bouton Google Play recevaient un APK malveillant.

Arrivée de Datzbro

L’analyse menée par l’équipe de renseignement sur les menaces mobiles de ThreatFabric a révélé que l’APK téléchargé était un nouveau cheval de Troie de prise de contrôle d’appareil, baptisé « Datzbro », d’après une chaîne de caractères intégrée à son code. Ce malware combine les fonctionnalités classiques des logiciels espions (enregistrement audio, capture d’écran, accès aux fichiers et aux photos) avec des capacités avancées de contrôle à distance.
Ces fonctionnalités permettent la fraude financière par le biais d’attaques par superposition noire et d’enregistrement de frappe, brouillant ainsi la frontière entre logiciels espions et chevaux de Troie bancaires.
Datzbro exploite les services d’accessibilité d’Android pour exécuter des gestes automatisés et des actions globales, notamment la simulation des boutons Accueil et Retour.
Grâce à son interface de commande et de contrôle, les opérateurs peuvent :
  • Démarrer ou arrêter le partage et le contrôle d’écran à distance ;
  • Activer ou désactiver une superposition semi-transparente pour masquer les actions malveillantes ;
  • Verrouiller ou déverrouiller l’appareil ;
  • Activer le contrôle à distance « schématique », qui reconstruit les éléments de l’écran à partir des données d’événements d’accessibilité pour une interaction précise, même en cas de mauvaise qualité de streaming vidéo.
En mode schématique, le logiciel malveillant transmet une représentation structurée des éléments de l’écran (positions, libellés et contenu), permettant aux opérateurs d’interagir de manière fluide avec les applications tout en se cachant derrière une superposition noire ou personnalisée.

Ciblage bancaire et cryptographique

Bien que dépourvu de la boîte à outils complète des chevaux de Troie bancaires classiques, Datzbro inclut des filtres codés en dur pour les applications bancaires et cryptographiques.
Le logiciel malveillant surveille les événements d’accessibilité pour les noms de paquets contenant des mots-clés tels que « banque », « payer », « alipay », « portefeuille » et « finance », ainsi que le texte d’événement contenant « mot de passe », « code PIN » ou des termes de vérification spécifiques à la langue.
Lorsqu’il est déclenché, Datzbro affiche de faux écrans de saisie d’identifiants demandant aux victimes leurs codes PIN et mots de passe bancaires. Il intercepte également les saisies de code PIN, de schéma ou de mot de passe de l’appareil, capturant ainsi toutes les données d’authentification sensibles.

Une enquête plus approfondie a révélé la fuite d’une application de bureau de type « Command-and-Control » et d’un outil de création pour Datzbro, désormais disponibles gratuitement sur les plateformes publiques de partage de virus.
Mobile Threat Intelligence a identifié des échantillons nommés « 最强远控.apk » (« La télécommande la plus puissante ») et des chaînes de débogage en chinois, indiquant l’origine des développeurs.
L’interface C2 de bureau, contrairement aux interfaces web classiques, suggère un modèle opérationnel unique et confirme l’origine du malware dans les communautés de cybercriminels parlant chinois.

Atténuations

En combinant contenu généré par l’IA, manipulation des plateformes sociales et fonctionnalités de pointe des logiciels malveillants, telles que les superpositions noires et le contrôle schématique, les acteurs malveillants ont créé une menace financière puissante contre les personnes âgées vulnérables.
Une campagne commençant par une invitation amicale sur Facebook peut aboutir à une prise de contrôle totale de l’appareil, au vol d’identifiants et à une fraude électronique.
Avec la propagation mondiale de Datzbro, il est crucial de sensibiliser les personnes âgées et les organismes communautaires. Les institutions financières et les acteurs de la cybersécurité doivent mettre en garde les utilisateurs contre le téléchargement d’applications non vérifiées promues sur les réseaux sociaux.
Un contrôle renforcé des autorisations des services d’accessibilité et un signalement vigilant des groupes en ligne suspects peuvent contribuer à briser la chaîne allant de l’arnaque sociale à l’infection par des logiciels malveillants mobiles.

La cybersécurité n’est plus l’apanage des techs.C’est devenu un devoir social. Un clic, un partage, une vigilance peuvent vraiment changer la suite.

Si vous bossez dans la com’, la gestion de réseaux sociaux, le marketing digital : ces histoires, montrez-les à vos clients, à votre audience. Ce n’est pas juste de la prévention, c’est de la responsabilité.

Si vous êtes un particulier :

  • ne téléchargez jamais d’app hors Play Store ou magasin officiel,

  • ne donnez jamais les permissions “Accessibilité” à une appli inconnue,

  • parlez de ce danger autour de vous, surtout à ceux qui sont isolés.

Des questions, des problèmes ? Notre équipe est à la distance d’un click !

Une vulnérabilité critique d’Entra ID de Microsoft : risques et enseignements

Microsoft a corrigé en juillet 2025 une faille de sécurité majeure dans Entra ID (anciennement Azure AD) — identifiée sous le nom CVE-2025-55241 — qui aurait permis à un attaquant de prendre le contrôle total de n’importe quel tenant (client) dans le cloud Microsoft. Voici ce qu’il faut savoir, et ce qu’on peut tirer comme leçons.

Ce que permettait la faille

  1. Authentification interne détournée
    Un mécanisme interne appelé Actor Token — normalement non documenté et utilisé par les services Microsoft pour des communications entre composants — était exploité. Ces jetons ne subissent pas les contrôles de sécurité habituels (par exemple les règles d’accès conditionnel).

  2. Faille dans l’API Azure AD Graph
    L’autre maillon faible est une erreur de validation dans l’API Azure AD Graph. L’API ne vérifiait pas si le jeton Actor provenait du tenant sur lequel il était censé opérer. En conséquence, un jeton généré dans un tenant de test ou de l’attaquant pouvait être utilisé pour cibler un autre tenant.

  3. Impersonation et droits administratifs
    Grâce à cette combinaison, un attaquant pouvait se faire passer pour un Global Administrator d’un tenant externe. Il aurait pu modifier des réglages, créer ou assumer des identités, changer des permissions, etc. Tous les services liés à Microsoft 365 (Exchange, SharePoint…) ainsi que les ressources hébergées sur Azure étaient concernés.

  4. Absence de trace visible
    L’un des aspects les plus dangereux de cette vulnérabilité était sa discrétion : les accès en lecture — extraction de données sensibles, configurations, clés de récupération BitLocker, etc. — ne laissaient quasiment aucun log ou alerte visible dans le tenant ciblé.
    En revanche, toute modification (par exemple attribuer un nouveau compte administrateur) générait un log, mais sous un nom d’utilisateur impersonné, rendant la détection très compliquée pour quelqu’un qui ne sait pas exactement ce qu’il doit chercher.

️ Réponse de Microsoft

  • Le problème a été signalé par le chercheur Dirk-Jan Mollema début juillet, et Microsoft a reconnu sa gravité.

  • Un correctif a été déployé dans les jours qui ont suivi (mi-juillet 2025), visant à empêcher l’émission ou l’utilisation de ces jetons Actor via l’API vulnérable.

  • Microsoft a aussi fourni des règles de détection (dont une règle KQL) pour que les organisations puissent vérifier si leur environnement a pu être compromis.

⚠️ Implications pour les entreprises

  • Risques très élevés : une attaque réussie permettait un accès très large, potentiellement complet, avec des conséquences graves (perte de données, compromission des identités, modifications illégitimes de configurations, etc.).

  • Détection compliquée : les logs peuvent être trompeurs, les actions masquer l’identité de l’attaquant sous les traits d’un service Microsoft — cela nécessite une connaissance précise du fonctionnement interne pour surveiller efficacement.

  • Importance de la réponse rapide : Microsoft a réagi vite, mais cette vulnérabilité illustre que même les grandes plateformes cloud peuvent comporter des failles critiques dans des composants internes ou anciens.

Leçons à retenir & bonnes pratiques

  1. Auditer régulièrement les API et mécanismes internes, en particulier ceux qui échappent aux politiques de sécurité standards (accès conditionnel, MFA, etc.).

  2. Surveillance renforcée : configurer des alertes basées sur des modèles d’attaque inhabituels (par exemple, des identifiants internes ou impersonations). Utiliser les outils de détection (audit, logs, KQL, etc.).

  3. Minimiser les privilèges : ne pas donner de droits Global Admins ou équivalents, sauf lorsqu’absolument nécessaire, et toujours surveiller l’usage de ces comptes.

  4. Assurer une réponse rapide aux vulnérabilités : mise à jour, patching, communication, vérification de l’impact potentiel dans son propre environnement.

Vous voulez tester la solidité de vos défenses Microsoft 365 ?
Nous organisons des simulations réalistes d’attaque. Mieux vaut que ce soit nous qui entrions par la porte… que les autres.

Contactez-nous avant qu’un attaquant ne devienne “Global Admin” à votre place !

Les 4 erreurs à ne jamais commettre en cybersécurité (et comment les éviter)

En matière de cybersécurité, ce ne sont pas toujours les hackers ultra-sophistiqués ou les attaques complexes qui mettent une entreprise en danger. Bien souvent, ce sont les gestes simples du quotidien qui ouvrent la porte aux menaces.

D’après une étude de Verizon, 82 % des incidents de sécurité impliquent une erreur humaine. Bonne nouvelle : ces erreurs peuvent être évitées en appliquant quelques règles de base.

Voici les 4 erreurs fatales à éviter absolument :

1. Cliquer sur un lien d’un e-mail inconnu

Les e-mails frauduleux sont de plus en plus réalistes faisant du phishing l’attaque la plus répandue. Les pirates exploitent la curiosité ou la peur pour pousser à cliquer. Un seul clic peut suffire pour installer un logiciel malveillant ou donner accès à vos données sensibles.

Résultat : vol etde données, rançongiciels, pertes financières.

Réflexe à adopter : vérifiez toujours l’adresse de l’expéditeur et ne jamais cliquer sans être sûr de la source.

2. Partager son mot de passe

Votre mot de passe est comme votre brosse à dents : personnel et non transférable. Même une personne de confiance peut, sans le vouloir, devenir une faille de sécurité.

Réflexe à adopter : utilisez un gestionnaire de mots de passe, activez l’authentification à deux facteurs et gardez vos identifiants strictement personnels.

3. Transférer un e-mail suspect

Transmettre un mail douteux à un collègue “pour avis” ou à son directeur IT peut propager le danger. Il vaut mieux l’appeler pour venir voir sur place car si un message douteux circule d’une boîte mail à une autre, cela multiplie les risques.

Réflexe à adopter : signalez immédiatement le mail à votre service IT ou à votre prestataire sécurité en lui demandant de venir vérifier.

4. Utiliser sa date d’anniversaire comme mot de passe

Les hackers adorent les mots de passe faibles. Une date de naissance ou “123456”, c’est comme laisser la porte grande ouverte car ils savent où trouver ces informations (réseaux sociaux, annuaires, etc.). Et devinez quoi ? C’est souvent la première chose qu’ils testent.

Réflexe à adopter : créez des mots de passe longs, complexes et uniques.

Pourquoi c’est crucial être conscient de ces 4 erreurs ?

Parce qu’aujourd’hui, 1 cyberattaque sur 5 est liée à une erreur humaine. Et parce qu’une seule négligence peut coûter :

  • des milliers d’euros,

  • la confiance de vos clients,

  • et parfois la survie de votre entreprise.

Non, la sécurité informatique n’est pas qu’une affaire de technologie : elle dépend aussi (beaucoup) des comportements humains.

Si vous souhaitez sensibiliser vos équipes, organiser une formation, réduire vos risques, enforcer vos pratiques de cybersécurité et transformer vos collaborateurs en première ligne de défense, contactez-nous dès aujourd’hui. Ensemble, faisons en sorte que le maillon le plus faible devienne… votre meilleure défense. Contactez nous maintenant, avant qu’il soit trop tard.

Phishing : l’arnaque qui peut coûter cher à votre entreprise

Les cybercriminels redoublent d’ingéniosité pour piéger les internautes via des campagnes de phishing de plus en plus sophistiquées. Ces attaques, qui visent à voler des données personnelles ou financières, se multiplient en Belgique et ailleurs. Les autorités et les experts en cybersécurité appellent à la plus grande vigilance.

Pour ceux qui se posent la question : Qu’est-ce que le phishing ?

Le phishing (ou hameçonnage) est une technique frauduleuse utilisée par les cybercriminels pour obtenir des informations sensibles (mots de passe, numéros de carte bancaire, etc.) en se faisant passer pour un organisme de confiance. Ces attaques passent souvent par des e-mails, des SMS ou des appels téléphoniques.

Plusieurs cas récents en Belgique ont été rapportés par divers organismes publics :

SPF Finances (SPF.be) : Des e-mails frauduleux prétendant provenir du SPF Finances ont circulé, demandant aux destinataires de mettre à jour leurs informations fiscales via un lien malveillant. Le SPF rappelle qu’il ne demande jamais de données personnelles par e-mail.

Het Laatste Nieuws (hln.be) : Un article récent a alerté sur une vague de faux e-mails de banques belges, incitant les utilisateurs à cliquer sur des liens pour “sécuriser leur compte”. Ces liens redirigeaient vers des sites frauduleux.

Mutualité Chrétienne (mc.be) : La MC a signalé des tentatives de phishing où des escrocs se faisaient passer pour l’organisme, réclamant des paiements pour des “frais médicaux impayés”.

L’Echo et Le Libre : Ces médias ont également rapporté des cas de phishing ciblant les entreprises, avec des e-mails prétendant provenir de fournisseurs ou de partenaires commerciaux, demandant des virements urgents.

Comment se protéger ?

Soyez critique : Méfiez-vous des e-mails inhabituels ou inattendus, même s’ils semblent provenir d’une source fiable. Vérifiez l’adresse de l’expéditeur et les éventuelles fautes d’orthographe.

Ne cliquez pas sur les liens : Évitez de cliquer sur des liens ou de télécharger des pièces jointes dans des e-mails suspects. Si vous avez un doute, contactez directement l’organisme concerné via son site officiel.

Vérifiez les informations : Si vous recevez un message vous informant que vous avez gagné à une loterie en Espagne (alors que vous n’y avez jamais participé), il s’agit très probablement d’une arnaque.

Utilisez des outils de sécurité : Activez les filtres anti-spam de votre boîte mail et utilisez un antivirus à jour.

Que faire en cas de doute ou si vous êtes victime de phishing ?

  • Si vous pensez avoir été victime de phishing, changez immédiatement vos mots de passe et contactez votre banque si des informations financières ont été compromises.
    Signalez l’incident à Safeonweb, la plateforme belge de lutte contre la cybercriminalité.
  • Si vous avez utilisé l’ordinateur professionnel, signalez l’incident immédiatement au responsable IT.

La vigilance est votre meilleure arme contre le phishing. Restez attentifs, critiques et informés. Comme le rappelle la Mutualité Chrétienne : “Si vous n’avez pas joué à une loterie en Espagne, vous ne pouvez pas l’avoir gagnée !”

Sources :
SPF Finances (SPF.be)
Het Laatste Nieuws (hln.be)
Mutualité Chrétienne (mc.be)
L’Echo (lecho.be)
Le Libre (lelibre.com)