MtoM Mag - Le journal de l'MtoM.

Dans un monde où l’on parle d’intelligence artificielle générative et de deepfakes, les cyberattaques les plus courantes reposent encore sur… des mots de passe faibles, des dispositifs en fin de vie, des systèmes non mis à jour, et des identifiants volés achetés pour quelques euros sur le dark web. C’est l’humain, et ses oublis, qui reste le maillon faible.

L’identité numérique, nouvel eldorado des cybercriminels

Oubliez les virus informatiques ultra-sophistiqués : en 2024, 60 % des attaques analysées par Cisco Talos ont débuté par l’utilisation d’un identifiant légitime. Un mot de passe compromis, un token d’API volé, un compte administrateur mal protégé. Plus besoin de forcer l’entrée : les attaquants se contentent souvent de “se connecter”, tout simplement.

Cette tendance, portée par la prolifération de données compromises en ligne, alimente une industrie parallèle florissante : celle des initial access brokers (IABs), qui vendent l’accès à des systèmes déjà infiltrés. Une économie grise aussi structurée que l’univers du SaaS.

Des failles vieilles de 10 ans, toujours ouvertes

Le rapport 2024 de Cisco révèle que les vulnérabilités les plus exploitées sont parfois âgées de plus de dix ans. Des noms tristement célèbres comme Log4Shell, Shellshock, ou encore des CVE affectant PHP ou Bash refont surface, car les correctifs ne sont pas appliqués.

« Un système non patché, c’est comme une porte entrouverte avec un panneau “Bienvenue” pour les cyberattaquants. »

Pire encore, certains dispositifs ciblés sont aujourd’hui en fin de vie (EOL), et donc impossibles à corriger. Un terrain idéal pour les botnets et les groupes étatiques comme APT29 ou BianLian.

Universités et hôpitaux en ligne de mire

Cisco sonne l’alarme : l’enseignement supérieur a été le secteur le plus touché par les attaques par ransomware en 2024. Pourquoi les universités ? Parce qu’elles sont à la croisée des vulnérabilités : infrastructures complexes, données sensibles (PII, recherches financées), budgets de cybersécurité limités, et utilisateurs peu formés aux risques numériques.

Ces établissements deviennent des cibles idéales pour les groupes comme LockBit ou le nouveau venu RansomHub, qui s’est hissé en quelques mois au second rang des gangs les plus actifs.

Et l’IA dans tout ça ? Moins offensive qu’attendu, mais déjà stratégique

En 2024, l’intelligence artificielle n’a pas (encore) révolutionné la cyberattaque, mais elle a servi de levier. Les attaquants s’en sont surtout servis pour améliorer leurs campagnes de phishing : e-mails mieux rédigés, faux supports IT plus crédibles, contenu généré sur mesure en quelques secondes grâce à des outils de génération de langage.

Mais le véritable tournant pourrait venir en 2025. Les chercheurs de Cisco alertent déjà sur les risques liés à l’agentic AI : des IA capables d’agir de manière autonome pour atteindre des objectifs malveillants, sans supervision humaine.

Quelques chiffres clés du rapport :

 886 milliards d’événements de sécurité traités chaque jour par Cisco Talos

 69 % des intrusions par ransomware ont démarré via un compte valide

 48 % des attaques ont vu la désactivation réussie d’une solution de sécurité

 25 % des campagnes de phishing bloquées usurpaient l’identité de Microsoft Outlook

 +100 000 : nombre d’utilisateurs concernés par un incident MFA dans une université victime

Le mot de la fin : revenir aux fondamentaux

Cisco le rappelle : ce ne sont pas les techniques les plus complexes qui causent les plus gros dégâts, mais le manque de rigueur dans la cybersécurité du quotidien. Failles non corrigées, MFA mal configurée, absence de segmentation réseau, mots de passe faibles…

https://talosintelligence.com/