Un groupe jeune, agile et redoutablement efficace
Scattered Spider, aussi suivi sous les désignations UNC3944 (Mandiant), Octo Tempest (Microsoft) et 0ktapus, est un collectif de cybercriminels majoritairement anglophones dont les membres ont entre 17 et 25 ans. Actif depuis 2022, le groupe s’est fait connaître par les compromissions spectaculaires de MGM Resorts et Caesars Entertainment en septembre 2023, causant des pertes estimées à plus de 100 millions de dollars pour MGM seul.
En 2026, le groupe a élargi ses cibles au-delà du secteur du divertissement et des télécommunications. Les dernières campagnes documentées par Mandiant et CrowdStrike ciblent les entreprises européennes du secteur financier, de l’industrie pharmaceutique et des services managés (MSP/MSSP). La constante : la porte d’entrée reste le helpdesk IT.
Anatomie d’une attaque Scattered Spider
L’attaque type se décompose en cinq phases.
Phase 1 : reconnaissance OSINT. L’attaquant collecte des informations sur la cible via LinkedIn, les fuites de données publiques, et les réseaux sociaux. Il identifie un employé légitime, son poste, son manager, et idéalement son numéro de badge ou d’employé. Les données récoltées lors de précédentes breaches (adresses email professionnelles, numéros de téléphone) enrichissent le profil.
Phase 2 : appel au helpdesk. L’attaquant appelle le helpdesk IT en se faisant passer pour l’employé identifié. Il utilise un prétexte crédible : téléphone perdu, application d’authentification réinitialisée, nouveau téléphone professionnel. L’objectif est d’obtenir une réinitialisation MFA ou un mot de passe temporaire. L’attaquant maîtrise l’anglais natif (ou le français dans les campagnes ciblant la France) et connaît suffisamment de détails internes pour paraître légitime.
Phase 3 : prise de contrôle du compte. Une fois le MFA réinitialisé, l’attaquant enregistre son propre appareil comme facteur d’authentification. Il accède au VPN, à Microsoft 365, et aux applications internes. Le temps entre l’appel au helpdesk et l’accès complet est souvent inférieur à 30 minutes.
Phase 4 : mouvement latéral. L’attaquant utilise les accès obtenus pour explorer le réseau interne, identifier les systèmes critiques, et exfiltrer des données. Les techniques incluent l’accès aux partages SharePoint/OneDrive, la lecture des emails de la victime, et l’exploitation des outils d’administration IT (ServiceNow, Jira, Confluence) pour cartographier l’infrastructure.
Phase 5 : monétisation. Scattered Spider opère selon deux modèles. Le premier est l’extorsion directe : exfiltration de données sensibles suivie d’une demande de rançon. Le second est le déploiement de ransomware, le groupe ayant été affilié à ALPHV/BlackCat puis à RansomHub. Dans les deux cas, la pression est maximale : le groupe menace de publier les données et contacte directement les dirigeants de l’entreprise via leurs numéros personnels.
Pourquoi les helpdesks sont vulnérables
Le helpdesk IT est structurellement vulnérable à l’ingénierie sociale pour plusieurs raisons :
Pression de productivité. Les agents helpdesk sont évalués sur leur temps de résolution. Un employé qui appelle pour un problème MFA urgent doit être débloqué rapidement. Cette pression entre en conflit direct avec la vérification d’identité approfondie.
Procédures de vérification insuffisantes. De nombreuses organisations vérifient l’identité par des informations facilement accessibles : nom, email, numéro d’employé, nom du manager. Ces données sont toutes trouvables via OSINT ou les fuites de données.
Absence de canal de vérification secondaire. Peu d’organisations disposent d’un moyen fiable de confirmer l’identité de l’appelant indépendamment de l’appel lui-même (callback sur le numéro RH, vérification visuelle, question secrète non triviale).
Rotation du personnel helpdesk. Les agents temporaires ou récemment embauchés connaissent moins bien les employés et sont plus susceptibles de ne pas détecter une incohérence.
Les campagnes européennes de 2026
Les campagnes observées en Europe depuis janvier 2026 présentent des caractéristiques spécifiques :
- Ciblage multilingue. Les attaquants appellent en français, allemand ou néerlandais selon la cible. La qualité linguistique est élevée, suggérant soit des membres natifs, soit un coaching intensif.
- Exploitation des acquisitions. Le groupe cible les entreprises en période de fusion/acquisition, moment où les procédures d’identité sont en flux et où les nouveaux employés ne sont pas encore connus des équipes helpdesk.
- Usurpation de numéro. Les appels proviennent de numéros qui semblent internes (spoofing du numéro affiché via des services VoIP), renforçant la crédibilité.
- Timing calculé. Les appels sont passés le vendredi après-midi ou en fin de journée, quand les équipes sont réduites et la vigilance moindre.
Plan de défense pour les organisations
Durcissement des procédures helpdesk
- Callback obligatoire. Pour toute réinitialisation MFA ou de mot de passe, l’agent rappelle l’employé sur son numéro professionnel enregistré dans le SIRH. L’appel entrant ne suffit jamais.
- Vérification visuelle. Pour les demandes sensibles, exiger un appel vidéo ou une vérification en personne au bureau.
- Question de vérification non triviale. Remplacer les questions classiques (date de naissance, adresse) par des informations non disponibles publiquement : dernier ticket helpdesk soumis, nom du dernier projet interne, numéro de l’étiquette d’inventaire du poste de travail.
- Délai de refroidissement. Imposer un délai de 4 heures entre la demande de réinitialisation MFA et son activation, avec notification à l’employé par email et SMS sur son numéro enregistré.
- Supervision. Enregistrer tous les appels helpdesk et effectuer des audits réguliers sur les demandes de réinitialisation MFA.
Formation et sensibilisation
- Exercices de red team incluant des appels d’ingénierie sociale au helpdesk (avec accord de la direction et du service juridique)
- Formation spécifique des agents helpdesk aux techniques de Scattered Spider, avec des exemples audio d’attaques réelles
- Politique claire et communiquée : le helpdesk ne demandera jamais à un utilisateur de communiquer un code MFA et a le droit de refuser une demande suspecte sans conséquence
Détection technique
- Alertes SIEM sur les réinitialisations MFA suivies d’un enregistrement d’appareil depuis une localisation ou un appareil inconnu
- Corrélation entre les appels helpdesk (logs téléphoniques) et les événements d’authentification (logs IdP)
- Surveillance des connexions VPN depuis des appareils non gérés dans les heures suivant une réinitialisation MFA
Pour protéger les identifiants de vos équipes et faciliter la rotation des mots de passe après un incident, NordPass offre un gestionnaire de mots de passe d’entreprise avec journalisation et conformité.
Pour sécuriser les connexions VPN de vos collaborateurs, NordVPN propose un VPN d’entreprise avec segmentation d’accès et kill switch automatique.
Lectures recommandées
Ces liens sont des liens affiliés. Si vous effectuez un achat via ces liens, nous pouvons recevoir une commission, sans coût supplémentaire pour vous.
- CISSP Démystifié : couvre l’ingénierie sociale, la gestion des identités et les processus de réponse à incident.
- Analyser les risques en cybersécurité : pour évaluer le risque lié à l’ingénierie sociale et dimensionner les investissements de sensibilisation.
Sources
- Mandiant UNC3944 Threat Report - Mandiant
- Microsoft Octo Tempest Analysis - Microsoft
- CrowdStrike Scattered Spider Profile - CrowdStrike
- CISA Social Engineering Advisory - CISA
Publicité