Vecteurs d'infection ransomware

Comment les ransomwares entrent

Comprendre les vecteurs d’infection est indispensable pour prioriser les investissements de securite. La plupart des attaques ransomware reussies exploitent des failles connues et preventables : identifiants non proteges par MFA, correctifs non appliques, ou utilisateurs non formes.

Phishing et spear phishing

Reste le vecteur numero 1. Un email contenant un lien ou une piece jointe malveillante conduit a l’execution du malware. Le spear phishing cible des individus specifiques (direction, finance, IT) avec des messages personnalises.

Evolution 2026 : le vishing (voice phishing) via Microsoft Teams ou Zoom remplace progressivement le phishing par email pour les attaques ciblees. Les attaquants usurpent l’identite de support IT ou de collegues pour convaincre les victimes de partager leurs identifiants ou d’installer un outil d’acces a distance.

Les emails de phishing generatifs produits par IA sont desormais quasi indiscernables des communications legitimes. Les indicateurs traditionnels (fautes d’orthographe, formulation maladroite) ont disparu. La defense doit se concentrer sur la verification des liens et pieces jointes, pas sur la qualite redactionnelle du message.

Indicateurs de spear phishing :

• References a des projets internes specifiques
• Urgence inhabituelle (signature immediate, virement urgent)
• Demande contournant les processus habituels
• Expediteur proche mais pas exactement le bon domaine (homoglyphes)

Exploitation de vulnerabilites

Les attaquants exploitent les failles non corrigees dans les equipements exposes sur Internet : VPN (Fortinet, Palo Alto, Cisco), firewalls, serveurs Exchange, appliances de backup.

Delai d’exploitation : en 2026, les vulnerabilites critiques sont exploitees dans les heures suivant leur divulgation (CVE-2026-33017 Langflow : 20 heures). Le delai moyen entre la divulgation et l’exploitation active a diminue de 32 % en deux ans.

Les appliances de securite paradoxalement concentrent le risque : exposees sur Internet par nature, elles sont des cibles privilegiees. Une vulnerabilite dans un VPN d’entreprise offre un acces direct et authentifie au reseau interne.

Pratique recommandee : reduire la surface exposee sur Internet au strict minimum, appliquer les correctifs critiques en moins de 24 heures pour les actifs perimetres, et surveiller les bulletins de securite des editeurs des equipements utilises.

RDP et services exposes

Le Remote Desktop Protocol (port 3389) expose sur Internet reste un vecteur frequent. Les attaquants utilisent le brute force ou des credentials voles pour obtenir l’acces.

Les scanners automatises identifient en permanence les hotes exposant le RDP. Une machine avec RDP ouvert sur Internet recoit en moyenne des milliers de tentatives de connexion par jour. Un mot de passe faible ou reutilise depuis une autre breche suffit pour compromettre l’acces.

Meme protege par un mot de passe fort, le RDP expose est vulnerable aux attaques par credentials stuffing (utilisation de bases de donnees de mots de passe voles) et aux attaques de type pass-the-hash si d’autres systemes ont ete compromis.

Alternatives : VPN ou solution Zero Trust Network Access (ZTNA) devant le RDP, acces restreint aux IP autorisees, MFA obligatoire.

Supply chain

Compromission d’un fournisseur, d’un logiciel ou d’une mise a jour pour atteindre les clients finaux. Les attaques supply chain touchent des centaines d’organisations en une seule operation.

Exemples 2026 : GlassWorm (72 extensions VSCode compromises), Shai-Hulud (800 packages npm infectes), XZ Utils backdoor. Ces attaques tirent parti de la confiance que les organisations accordent a leurs outils de developpement et a leurs fournisseurs.

La supply chain logicielle est particulierement difficile a securiser car les organisations n’ont pas de visibilite directe sur les pratiques de securite de leurs fournisseurs. Un composant open source maintenu par un seul developpeur benevole peut etre compromis et propager le malware a des milliers de projets.

Recrutement d’insiders

Tendance 2026 : certains groupes ransomware recrutent activement des employes des entreprises ciblees pour obtenir un acces initial. Un employe mecontent ou corrompu fournit des credentials ou installe le malware directement.

Des annonces sur des forums criminels proposent des commissions de 10 a 40 % de la rancon en echange d’un acces. Pour un ransomware demandant 5 millions de dollars, la commission potentielle de 500 000 a 2 millions de dollars constitue une motivation non negligeable.

Signaux d’alerte insider : acces inhabituel a des volumes importants de donnees, telechargements vers des supports externes, connexions a des heures atypiques, consultation de fichiers hors du perimetre habituel.

Prevention : principe du moindre privilege, surveillance des acces privilegies, DLP (Data Loss Prevention), sensibilisation des employes aux tentatives de recrutement criminel.

Acces brokers : la menace invisible

Un ecosysteme criminel specifique s’est developpe autour de la vente d’acces initiaux. Les “access brokers” obtiennent un premier acces dans des organisations et le revendent sur des marches criminels, generalement entre 500 et 50 000 dollars selon la taille de la cible et le niveau de privilege.

Ces acces proviennent de credentials voles par des infostealers (malwares specialises dans l’exfiltration d’identifiants), de sessions VPN actives, ou d’acces RDP deja etablis. Le groupe ransomware n’a plus qu’a acheter l’acces et deployer son ransomware, sans avoir a passer par la phase d’intrusion initiale.

Surveiller les mentions de son organisation sur les marches criminels (Threat Intelligence) peut permettre de detecter un acces vendu avant que le ransomware ne soit deploye.