Un basculement chez les pirates ? Plutôt que d’attaquer de l’extérieur, les groupes criminels tentent d’acheter l’accès en recrutant des employés. Le risque devient humain, donc plus difficile à filtrer.Une étude de Check Point Research (CPR) affirme que des cybercriminels privilégient de plus en plus des tactiques d’initiés pour infiltrer les entreprises. Au lieu de se limiter au piratage classique, ils proposeraient de fortes sommes à des employés, surtout dans la banque, les télécoms et la tech, pour obtenir un accès direct aux réseaux internes et aux données clients. Le phénomène serait amplifié par des recrutements via Telegram, y compris par des groupes de ransomware.
Quand l’intrusion se négocie au lieu de se forcer
Ce n’est pas une grande nouveauté, ZATAZ vous parlait déjà de ces recrutement voilà quelques années. L’un des plus marquant à mes yeux, ce recrutement d’un « traducteur » pour un groupe de ransomware. Le linguiste avait tout bonnement proposé ses services ! Autre cas, il y a cinq ans, avec l’affaire de la tentative de recrutement d’un employé de chez Tesla pour « placer une clé USB dans un ordinateur« . Derniers cas en date, en France des insider directs (ou indirects) ayant permis de mettre la main sur des données personnelles chez France Travail, ou encore chez Adecco, en 2022.
Le changement décrit par CPR tient en une phrase : l’attaque devient un recrutement. Les criminels ne cherchent plus uniquement la faille logicielle ou le mot de passe faible, ils ciblent la personne qui a déjà les clés. Des groupes proposent désormais des sommes « considérables » à des salariés pour obtenir un accès interne et des données clients. La logique économique est implacable : une intrusion externe coûte du temps, du bruit et des risques d’échec. Un accès fourni de l’intérieur réduit la friction, et transforme la cybersécurité en problème de confiance, de gouvernance et de contrôle d’usage.
Il y a quelques semaines, un ancien employé de chez Crowdstrike avait été montré du doigt pour avoir vendu, plusieurs milliers de dollars, des captures écrans de panel d’importantes sociétés au pirate de Scattered Lapsus$ Hunters.
Des secteurs particulièrement visés, banque, télécommunications, technologies, là où les accès donnent immédiatement sur des identités, des transactions, des numéros, des comptes, et des outils d’administration. Sur le plan du renseignement, ces cibles ne sont pas choisies au hasard : elles offrent à la fois des actifs monétisables et des capacités de rebond, par exemple vers d’autres services ou vers des chaînes d’authentification. Des rebonds, comme des outils pirates de type LookUp.
La méthode d’approche, elle, s’apparente à une campagne RH toxique via des tactiques psychologiques : promesses de « sortir du cycle infernal du travail« , rémunération à cinq ou six chiffres, discours de « liberté financière« . Les annonces varient, certaines frontales, d’autres déguisées en opportunité. C’est un point clé : la persuasion vise autant les profils fragiles que les profils opportunistes, et elle cherche à normaliser l’acte, à le faire passer pour une mission plutôt qu’un délit.
Telegram, ransomware et la professionnalisation des « intermédiaires d’accès »
Le rapport insiste sur l’extension du phénomène à presque tous les secteurs, avec des noms cités dans les annonces. Sont mentionnées des plateformes crypto comme Coinbase, Binance, Kraken et Gemini, des cabinets de conseil comme Accenture et Genpact, et des marques grand public comme Spotify et Netflix. Le message est moins une liste de victimes qu’un indicateur : les recruteurs savent que des noms connus attirent l’attention et donnent l’illusion d’un « marché » structuré.
La cible s’élargit aussi aux produits physiques et aux infrastructures. Des employés de fabricants matériels comme Apple et Samsung sont approchés, tandis que des salariés de fournisseurs cloud peuvent se voir proposer jusqu’à 100 000 $ (92 000 €) pour fournir des droits d’accès. Dans le cloud, un seul compte trop privilégié peut valoir un butin bien supérieur, car il donne accès à des environnements entiers, parfois à des sauvegardes, à des journaux, ou à des secrets. En 2020, un pirate avait proposé un million de dollars à un employé de chez Tesla pour mettre une clé USB piégée dans un ordinateur du constructeur automobile.
Aux États-Unis, CPR cite une tentative de corruption visant des employés de Cox Communications, pour faciliter des attaques de détournement de cartes SIM, destinées à contourner des contrôles de sécurité. L’objectif typique de ce type de fraude est de prendre la main sur un numéro, puis de réinitialiser des accès, notamment bancaires ou liés à des services en ligne. Le rapport ajoute que même des relevés de transactions de la Réserve fédérale et de grandes banques européennes deviennent des cibles de vol, preuve que l’ambition dépasse la fraude « grand public » pour toucher des données de très haut intérêt.
Dans une logique cyber-renseignement, l’enjeu est clair : l’attaque la plus efficace n’exploite pas une faille, elle achète un badge.
merci à ZATAZ
