Ancien playbook, nouvelle échelle : Pendant que les défenseurs suivent les tendances, les attaquants optimisent les bases
Le secteur de la sécurité adore parler de « nouvelles » menaces. Attaques alimentées par l'IA. Cryptage résistant aux quantiques. Architectures zéro confiance. Mais en regardant autour de nous, il semble que les attaques les plus efficaces en 2025 soient pratiquement les mêmes qu'en 2015. Les attaquants exploitent les mêmes points d'entrée qui ont fonctionné, mais ils le font simplement mieux.
Chaîne d’approvisionnement : continue de se répercuter en aval
Comme nous l’a montré la campagne NMP de Shai Hulud, la chaîne d’approvisionnement reste un problème majeur. Un seul package compromis peut traverser toute une arborescence de dépendances et affecter des milliers de projets en aval. Le vecteur d'attaque n'a pas changé. Ce qui a changé, c’est l’efficacité avec laquelle les attaquants peuvent identifier et exploiter les opportunités.
L’IA a brisé les barrières à l’entrée. Tout comme l’IA a permis à des projets logiciels individuels de créer des applications sophistiquées, il en va de même pour la cybercriminalité. Ce qui nécessitait autrefois des opérations de grande envergure et organisées peut désormais être exécuté par des équipes agiles, voire des individus. Nous pensons que certaines de ces attaques contre les packages NPM, y compris Shai-Hulud, pourraient en réalité être le fait d’opérations menées par une seule personne.
À mesure que les projets logiciels deviennent plus simples à développer et que les acteurs de la menace montrent leur capacité à jouer sur le long terme (comme avec le
Phishing : toujours à portée de clic
Le phishing fonctionne toujours pour la même raison : les humains restent le maillon le plus faible. Mais les enjeux ont radicalement changé. La récente attaque de la chaîne d'approvisionnement npm démontre l'effet domino : un développeur a cliqué sur un mauvais lien, a saisi ses informations d'identification et son compte a été compromis. Des packages contenant des dizaines de millions de téléchargements hebdomadaires ont été empoisonnés. Même si le développeur a publiquement signalé l'incident à npm, l'atténuation a pris du temps et pendant cette période, l'attaque s'est propagée à grande échelle.
Magasins officiels : toujours pas sûrs
Le plus frustrant peut-être est que les logiciels malveillants continuent d’échapper aux contrôleurs officiels. Notre enquête sur les extensions Chrome malveillantes volant des conversations sur ChatGPT et DeepSeek a révélé quelque chose que nous savons déjà sur les magasins d'applications mobiles : les avis automatisés et les modérateurs humains ne suivent pas le rythme de sophistication des attaquants.
Le problème des autorisations devrait vous être familier car il est déjà résolu. Android et iOS offrent aux utilisateurs un contrôle granulaire : vous pouvez autoriser l'accès à la localisation mais bloquer le microphone, autoriser l'accès à la caméra uniquement lorsqu'une application est ouverte, pas en arrière-plan. Chrome pourrait implémenter le même modèle pour les extensions – la technologie existe. C'est une question de priorisation et de mise en œuvre.
Au lieu de cela, les utilisateurs sont confrontés à un choix binaire avec des extensions qui demandent l'autorisation de « lire les informations de tous les sites Web ». Si une extension demande ce niveau d'accès, dans la plupart des cas, elle sera utilisée à des fins malveillantes ou mise à jour ultérieurement à cet effet.
Les attaquants n'ont pas le syndrome de l'outil brillant
Les attaquants n’ont pas abandonné leur manuel lorsque l’IA est arrivée, ils l’ont automatisé. Ils exploitent toujours les chaînes d’approvisionnement, hameçonnent les développeurs et cachent les logiciels malveillants aux examinateurs. Ils ne le font qu’avec un dixième des ressources.
Nous ne devrions pas rechercher de nouvelles stratégies de défense brillantes alors que les bases ne fonctionnent toujours pas. Corrigez les modèles d’autorisation. Renforcer la vérification de la chaîne d’approvisionnement. Définissez l'authentification résistante au phishing par défaut. Les fondamentaux comptent désormais davantage, pas moins.
Les attaquants ont optimisé les bases. Quelles devraient être les priorités des défenseurs ? Rejoignez OX pour notre prochain webinaire : Mise à jour sur les renseignements sur les menaces : Qu'est-ce qui a fonctionné pour les pirates informatiques et qu'ont fait les gentils ?
Nous aborderons les techniques d'attaque qui gagnent du terrain, ce qui les arrête réellement et les priorités lorsque les ressources sont limitées. Inscrivez-vous ici.
Inscrivez-vous ici.
Remarque : Cet article a été rédigé et rédigé exclusivement par Moshe Siman Tov Bustan, chef de l'équipe de recherche sur la sécurité d'OX.