Storm-2372 : une nouvelle menace de phishing qui contourne l’authentification multifactorielle

Les cyberattaques ne cessent d’évoluer, exploitant à la fois les failles humaines et techniques pour s’infiltrer dans les systèmes d’information. Récemment, une campagne de phishing sophistiquée orchestrée par le groupe Storm-2372 a révélé une nouvelle méthode de compromission. En ciblant les utilisateurs de Microsoft Teams, WhatsApp et Signal, ces cybercriminels exploitent un mécanisme d’authentification par code d’appareil pour contourner les mesures de sécurité classiques et accéder à des données sensibles.

Une méthode d’attaque redoutable et discrète

Contrairement aux techniques traditionnelles de phishing, qui reposent sur l’imitation de pages de connexion frauduleuses, cette nouvelle approche détourne directement le processus d’authentification des plateformes légitimes.

Le stratagème est simple mais efficace :

1. L’utilisateur reçoit une fausse invitation à une réunion en ligne.
2. Il est redirigé vers une authentification officielle de son application de messagerie.
3. On lui demande d’entrer un code d’appareil, une procédure qui semble anodine.
4. Ce code permet aux attaquants d’obtenir un accès persistant aux fichiers, communications et mails de la victime, sans même nécessiter un mot de passe.

Cette technique est particulièrement dangereuse, car elle contourne la vigilance des utilisateurs et reste indétectable par de nombreux dispositifs de sécurité. Une fois le compte compromis, les attaquants peuvent en exploiter les ressources sur le long terme, même si l’utilisateur modifie ses identifiants.

Des cibles stratégiques sous pression

Les attaques de Storm-2372 visent des secteurs critiques, notamment :

• Les gouvernements et institutions publiques
• La défense et la sécurité nationale
• Le secteur de la santé
• Les télécommunications
• L’enseignement supérieur et la recherche

Les conséquences d’une compromission peuvent être désastreuses : espionnage industriel, vol massif d’informations confidentielles ou encore perturbation des infrastructures stratégiques. Cette campagne illustre une fois de plus l’ingéniosité des cybercriminels et l’impératif pour les organisations de renforcer en permanence leur cybersécurité.

Comment se protéger ?

Face à ces attaques sophistiquées, les experts recommandent plusieurs bonnes pratiques pour limiter les risques :

• Sensibiliser et former les collaborateurs : La vigilance des utilisateurs est la première ligne de défense contre le phishing.
• Restreindre l’utilisation des codes d’appareil : Bloquer ou limiter leur usage aux appareils et réseaux de confiance via des politiques d’accès conditionnel.
• Renforcer l’authentification multifactorielle (MFA) : Utiliser des méthodes plus robustes comme les clés de sécurité physiques ou les certificats biométriques.
• Surveiller les connexions suspectes : Mettre en place des solutions de détection des comportements inhabituels et d’analyse des accès.

• Auditer régulièrement les accès et permissions : Désactiver les applications et comptes inutilisés pour réduire la surface d’attaque.

Vers un avenir plus complexe en cybersécurité ?

Alors que les cybermenaces évoluent, il devient crucial d’anticiper les nouvelles méthodes d’attaque et de s’adapter rapidement. La campagne de Storm-2372 prouve que même les mécanismes d’authentification légitimes peuvent être détournés, rendant la sécurité numérique toujours plus complexe.

Les entreprises et gouvernements doivent renforcer leur posture de cybersécurité en combinant technologies avancées, formation des équipes et surveillance proactive.