Le NCSC invite les organisations britanniques à revoir leur dispositif de cybersécurité dans le contexte du conflit au Moyen-Orient

Le Centre national de cybersécurité (NCSC) du Royaume-Uni a invité les organisations à revoir leur dispositif de cybersécurité à la lumière de l'évolution du conflit au Moyen-Orient. Bien que le NCSC estime actuellement qu'il n'y a pas eu d'augmentation significative de la menace cybernétique directe de l'Iran pour le Royaume-Uni, la situation reste fluide et pourrait changer rapidement en fonction de l'évolution des événements.

L'agence prévient que la probabilité de cybermenaces indirectes pourrait augmenter, en particulier pour les organisations ayant des opérations, des bureaux ou des chaînes d'approvisionnement liés à la région. Les acteurs liés à l'État iranien et les groupes hacktivistes affiliés sont connus pour conserver des capacités cybernétiques et pourraient lancer des activités perturbatrices contre des organisations perçues comme étant liées à des intérêts opposés.

Le NCSC conseille aux organisations d'examiner les conseils existants sur les attaques DDoS, les campagnes d'hameçonnage et les tentatives potentielles de cibler les systèmes de contrôle industriel. Les entreprises exposées à la région devraient envisager de renforcer leur surveillance, de réévaluer leur surface d'attaque externe et de s'inscrire au service d'alerte précoce du NCSC pour recevoir des alertes sur les problèmes de sécurité émergents.

La montée en puissance de la cyberactivité des hacktivistes est liée au conflit du Moyen-Orient

Les chercheurs en cybersécurité mettent en garde contre une forte augmentation de l'activité des hacktivistes à la suite de la campagne militaire coordonnée des États-Unis et d'Israël contre l'Iran, connue sous le nom d'opération "Epic Fury" et "Roaring Lion" (Lion rugissant). Les analystes en sécurité signalent que les opérations cybernétiques se sont intensifiées parallèlement au conflit physique, de nombreux groupes ayant lancé des campagnes perturbatrices visant des infrastructures gouvernementales, des institutions financières et des fournisseurs de télécommunications.

Selon Radware, au moins 149 attaques hacktivistes DDoS ont été revendiquées entre le 28 février et le 2 mars, visant 110 organisations dans 16 pays. Deux groupes, Keymous+ et DieNet, sont à l'origine de près de 70 % de ces attaques. La plupart des attaques se sont concentrées au Moyen-Orient, en particulier au Koweït, en Israël et en Jordanie, bien que l'Europe ait représenté plus de 22 % de l'activité globale. Près de la moitié des cibles étaient des organisations gouvernementales.

Les chercheurs en sécurité signalent également des activités menées par des acteurs de la menace alignés sur des États et des cyber-groupes pro-iraniens, notamment des campagnes d'hameçonnage, la distribution de logiciels malveillants et des tentatives d'intrusion dans les infrastructures énergétiques et numériques. Les analystes avertissent que les cyberopérations liées aux tensions géopolitiques mêlent souvent perturbation, espionnage et influence psychologique, ce qui augmente la probabilité de nouvelles attaques contre des gouvernements, des infrastructures critiques et des organisations du secteur privé dans le monde entier.

Une opération d'Europol perturbe une importante plateforme d'hameçonnage en tant que service

Une opération internationale d'application de la loi coordonnée par Europol a perturbé Tycoon2FA, une grande plateforme de phishing-as-a-service (PhaaS) responsable de l'envoi de dizaines de millions de courriels d'hameçonnage chaque mois. Dans le cadre de cette action coordonnée, les autorités ont saisi et mis hors ligne 330 domaines utilisés par le service criminel, y compris des pages d'hameçonnage et des panneaux de contrôle dorsaux.

L'interruption technique a été menée par Microsoft avec le soutien de plusieurs partenaires du secteur privé, tandis que les services répressifs de Lettonie, de Lituanie, du Portugal, de Pologne, d'Espagne et du Royaume-Uni ont procédé à des saisies d'infrastructures. L'enquête a débuté après que Trend Micro a communiqué des informations sur les menaces et que les réseaux de lutte contre la cybercriminalité d'Europol ont coordonné les opérations.

Actif depuis au moins août 2023, Tycoon2FA a permis aux cybercriminels de contourner les protections d'authentification multifactorielle en utilisant une technique d'hameçonnage de type "adversary-in-the-middle". La plateforme interceptait les identifiants de connexion et les cookies de session en temps réel, permettant aux attaquants de détourner les sessions authentifiées pour des services tels que Microsoft 365 et Gmail.

Vendu par le biais d'abonnements à Telegram, ce service a permis aux cybercriminels de lancer des attaques sophistiquées de contournement de l'AMF contre des organisations du monde entier.

Les attaquants abusent des redirections OAuth pour contourner les protections contre le phishing

Des chercheurs en sécurité ont découvert une technique de phishing qui abuse des mécanismes légitimes de redirection OAuth pour contourner les protections des courriels et des navigateurs. Les attaques ciblent principalement les organisations gouvernementales et du secteur public, en utilisant des emails de phishing qui semblent contenir des demandes d'authentification légitimes.

Les messages se font souvent passer pour des communications professionnelles courantes telles que des demandes de signature électronique, des notifications de sécurité sociale, des invitations à des réunions, des réinitialisations de mot de passe ou des mises à jour financières. Dans certains cas, les liens OAuth malveillants sont intégrés dans des fichiers PDF afin d'échapper à la détection des outils de sécurité.

Selon les chercheurs de Microsoft Defender, les attaquants enregistrent des applications OAuth malveillantes au sein de locataires qu'ils contrôlent et configurent des URL de redirection pointant vers l'infrastructure de l'attaquant. Lorsque les victimes interagissent avec la demande d'authentification, les paramètres manipulés déclenchent des erreurs d'authentification qui redirigent silencieusement les utilisateurs vers des sites malveillants.

Certaines victimes sont envoyées vers des pages d'hameçonnage alimentées par des structures d'attaques intermédiaires capables d'intercepter les cookies de session et de contourner l'authentification multifactorielle. D'autres sont redirigées vers le téléchargement de fichiers malveillants qui déploient des logiciels malveillants grâce à des techniques de chargement latéral de PowerShell et de DLL, ce qui met en évidence l'évolution des méthodes d'attaque basées sur l'identité.

Les ransomwares et les cyberincidents OT se multiplient dans le secteur maritime

Un nouveau rapport de Cydome met en évidence une forte augmentation des cybermenaces ciblant les systèmes de technologie opérationnelle (OT) dans le secteur maritime. Les attaques de ransomware contre les environnements OT maritimes ont augmenté de 150 % en 2025, tandis que les attaques contre les périphériques de réseau tels que les routeurs, les VPN et les pare-feu ont augmenté de 800 %. Le rapport note également que 22 % des organisations ont connu un incident OT ou des systèmes de contrôle industriel (ICS) au cours de l'année, avec de nombreuses attaques commençant par un accès externe non autorisé.

Les opérations de transport maritime modernes sont de plus en plus connectées grâce aux communications par satellite et aux capteurs IoT, transformant les navires de systèmes isolés en éléments d'un réseau numérique mondial. Cette évolution a considérablement élargi la surface d'attaque des cybercriminels. Le rapport met également en garde contre une augmentation spectaculaire des incidents d'usurpation de GPS, avec environ 1 000 perturbations signalées chaque jour, affectant environ 40 000 navires et soulevant de sérieuses préoccupations en matière de sécurité.

Les chercheurs affirment que l'intelligence artificielle modifie rapidement le paysage des cybermenaces. Le phishing assisté par l'IA, l'usurpation d'identité et la découverte automatisée de vulnérabilités accélèrent la vitesse et l'ampleur des attaques. Avec près de 50 000 nouvelles vulnérabilités divulguées en 2025 et de nombreuses armes utilisées en quelques jours, les organisations sont invitées à renforcer la visibilité OT, à améliorer la gestion des correctifs et à sécuriser l'infrastructure d'accès à distance afin de protéger les opérations maritimes critiques.

Si vous êtes préoccupé par l'une des menaces décrites dans ce bulletin ou si vous avez besoin d'aide pour déterminer les mesures à prendre pour vous protéger contre les menaces les plus importantes auxquelles votre organisation est confrontée, veuillez contacter votre gestionnaire de compte ouprenez contact avec nouspour savoir comment vous pouvez protéger votre organisation.

Le Threat Intel Roundup a été préparé par Integrity360 et résume l'actualité des menaces telle que nous l'observons, à la date de publication. Il ne doit pas être considéré comme un avis juridique, un conseil ou tout autre avis professionnel. Toute recommandation doit être considérée dans le contexte de votre propre organisation. Integrity360 ne prend aucune position politique dans les informations qu'elle partage. En outre, les opinions exprimées ne sont pas nécessairement celles d'Integrity360.