En tant que voyageur fréquent de Qantas et professionnel de la cybersécurité basé à Sydney, j'ai personnellement ressenti l'impact de la faille de sécurité de la compagnie aérienne survenue en juin 2025. Cette faille résultait de l'accès par des attaquants à une plateforme de service client tierce, exploitée par un centre d'appels étranger, et a exposé les données personnelles d'environ 5.7 millions de clients. moi-même inclus. Bien que la violation ne menace pas directement de perte financière imminente, elle augmente considérablement le risque d’attaques secondaires utilisant les données personnelles divulguées.
La brèche ne montrait aucun signe de ransomware ou des charges utiles sophistiquées. Au lieu de cela, il portait les caractéristiques de Araignée dispersée, un groupe de menaces qui s'appuie sur l'ingénierie sociale, l'abus d'informations d'identification légitimes et mouvements latéraux grâce à des protocoles qui échappent aux contrôles de sécurité traditionnels.
Cet incident est une preuve supplémentaire que l'identité est devenue l'un des principaux vecteurs d'attaque, en particulier dans les environnements informatiques hybrides qui dominent Les entreprises australiennes et leur chaîne d’approvisionnement. Ces environnements combinent des systèmes cloud, sur site et exploités par des fournisseurs, mais manquent de contrôle d’identité unifié, ce qui rend la détection et la réponse beaucoup plus difficiles.
Dans ce blog, nous expliquerons qui est Scattered Spider et pourquoi l'Australie est une cible croissante, les méthodes qu'ils utilisent et pourquoi ils sont si efficaces, ainsi que les mesures tactiques que les équipes de sécurité australiennes peuvent prendre pour prévenir et répondre aux attaques basées sur l'identité.
Qui est Scattered Spider et pourquoi ciblent-ils l’Australie ?
Scattered Spider (alias UNC3944, Scatter Swine, Octo Tempest, Starfraud, Muddled Libra) est un groupe de cybercriminels motivé par des raisons financières et axé sur l'identité comme principal vecteur d'attaque.
Actif depuis au moins 2022, semble-t-il composé principalement de jeunes anglophones natifs des États-Unis et du Royaume-UniLe groupe Scattered Spider utilise rarement des logiciels malveillants ou des rançongiciels et cible certains des secteurs les plus protégés, comme les services financiers et les jeux vidéo. Leur boîte à outils ne repose généralement pas sur du code, mais plutôt sur des astuces de confiance, des failles de protocole et nos hypothèses de base sur la confiance.
Les techniques courantes comprennent :
- Hameçonnage, smishing et vishing : Courriels/SMS ou appels téléphoniques camouflés se faisant passer pour du personnel informatique ou du service d'assistance pour inciter le personnel à fournir des informations personnelles identifiables, des informations d'identification ou à effectuer des réinitialisations MFA.
– Usurpation d’identité du service d’assistance : Se faisant souvent passer pour du personnel informatique interne ou du service d'assistance pour demander aux employés d'effectuer des activités dangereuses, telles que l'exécution d'outils d'accès à distance ou le partage authentification multi-facteur codes.
- Fatigue AMF: Spammer les utilisateurs avec des notifications push jusqu'à ce qu'ils cliquent sur « approuver ».
– Échange de carte SIM : Détournement de numéros de téléphone pour recevoir des codes MFA.
– Vivre de la terre : En utilisant PowerShell, PsExec, et des utilitaires d'accès à distance RDP ou commerciaux (tels que TeamViewer, Ngrok, ScreenConnect, Fleetdeck, etc.), des outils déjà disponibles dans chaque entreprise pour se déplacer latéralement et échapper à la détection.
- Compromettre les hyperviseurs : Plus récemment, les attaques se sont intensifiées au-delà de Active Directory compromis pour ciblant et manipulant directement l'infrastructure VMware ESXi, permettant aux attaquants de contourner entièrement certains contrôles, tels que la protection des points de terminaison.
Alors qu'ils se concentraient initialement sur les casinos, les assureurs et les détaillants basés aux États-Unis, entre 2024 et 2025, ils se sont fortement tournés vers l'aviation, la logistique et les infrastructures en Australie.
Pourquoi l'Australie?
1. Hybride répandu et fragmenté infrastructure d'identité
Les entreprises australiennes s'appuient généralement sur un mélange de systèmes sur site Active Directory, fournisseurs d'identité cloud (par exemple, Entra ID, Okta), les plateformes SSO et les outils PAM. Bien que chacun sécurise une partie de l'environnement, ils fonctionnent souvent en silos, ce qui entraîne des lacunes de visibilité et une application incomplète des contrôles. Cela crée des conditions idéales pour que les attaquants utilisant l'identité puissent passer entre les mailles du filet.
2. Identités et écosystèmes informatiques complexes et diversifiés
Les entreprises australiennes sont généralement parmi les premières à adopter les technologies et ont traversé plusieurs vagues de transformation numérique et d'externalisation visant à optimiser leur productivité. Au fil du temps, cela a donné naissance à un écosystème hautement interconnecté de fournisseurs, partenaires et sous-traitants tiers, chacun nécessitant un accès à différents secteurs de l'entreprise. Il en résulte un paysage identitaire tentaculaire avec d'innombrables points d'entrée potentiels à sécuriser.
3. Des données clients de grande valeur dans une poudrière réglementaire et réputationnelle
Les entreprises australiennes opèrent dans le cadre de réglementations de plus en plus exigeantes en matière de confidentialité et de cybersécurité, notamment Système de notification des violations de données et l'évolution des mandats des infrastructures critiques. Parallèlement, elles stockent d'importants volumes de données personnelles de grande valeur, telles que des données financières, médicales et d'identité, qui constituent des cibles lucratives pour l'extorsion, la revente ou l'usurpation d'identité. Cette double pression rend les violations plus dommageables et les réponses plus urgentes, amplifiant l'impact des attaques basées sur l'identité.
Comment prévenir les menaces d'identité avant qu'elles ne surviennent
1. Renforcez le service d'assistance, mais ne vous y fiez pas trop
Problème: Scattered Spider obtient souvent un accès initial par ingénierie sociale, ciblant de véritables personnes. Ceci est particulièrement vrai efficace dans les environnements d'assistance technique, où le personnel est sous pression pour résoudre les problèmes rapidement et maintenir un niveau élevé de satisfaction client. Ces attaques exploitent la confiance et le jugement humains, ce qui les rend difficiles à prévenir systématiquement.
Solution: Les procédures d'assistance doivent être renforcées et revues régulièrement, mais les contrôles doivent s'étendre au-delà de l'accès initial. Des attaquants comme Scattered Spider exploitent les anciens modèles de confiance qui supposent que tout ce qui se trouve à l'intérieur du périmètre est légitime. Segmentation de la couche d'identité, notamment dans Active Directory, est essentiel pour ralentir les attaquants et limiter le rayon d'action. L'accès aux environnements non privilégiés doit être bloqué pour les identités privilégiées (et inversement), et les fournisseurs tiers doivent uniquement accéder à ce dont ils ont besoin. Un modèle de hiérarchisation permet de mieux séparer les identités et les systèmes en fonction de leur criticité et des risques pour l'entreprise.
2. Combler les lacunes de l'authentification multifacteur dans les protocoles existants
Problème: Des protocoles comme NTLMLDAP et SMB ne prennent pas nativement en charge l'authentification multifacteur (MFA), et les attaquants le savent. Ces failles sont fréquemment exploitées pour contourner les contrôles d'accès modernes.
Solution: Prolonger l'application de l'AMF pour couvrir tout Active Directory Protocoles, y compris les protocoles hérités, pour garantir que les attaquants ne puissent pas contourner les protections. S'il n'est pas toujours possible d'éliminer complètement ces protocoles vulnérables, limiter leur utilisation aux seuls systèmes qui en ont absolument besoin est à la fois pratique et efficace.
3. Mettre en œuvre une protection contre le phishing protocoles d'authentification méthodes (par exemple, clés d'accès et FIDO2)
Problème: L'authentification multifacteur (MFA) basée sur les SMS et la fatigue push sont facilement contournées grâce à l'ingénierie sociale ou à l'échange de cartes SIM.
Solution: Adoptez des méthodes résistantes au phishing comme Clés matérielles FIDO2 ou des clés d'accès de plateforme pour les utilisateurs privilégiés et les systèmes critiques. Ces clés fournissent une preuve cryptographique de possession et ne peuvent être ni hameçonnées ni reproduites.
4. Détecter et bloquer les mouvements latéraux en temps réel
Problème: Après l’accès initial, les attaquants « vivent du terrain » en utilisant RDP, PowerShell et des informations d’identification légitimes qui passent inaperçues dans la plupart des environnements hybrides.
Solution: Surveillez en permanence les flux d'authentification sur l'infrastructure d'identité sur site et dans le cloud pour identifier les schémas de mouvement inhabituels entre les systèmes et déclencher l'authentification multifacteur en ligne ou refuser l'accès avant que l'attaquant n'augmente ses privilèges.
5. Protéger identités non humaines
Problème: Ces comptes sont souvent nombreux, hautement privilégiés, invisibles dans les opérations quotidiennes et mal sécurisés, ce qui en fait des vecteurs d’attaque idéaux ou des cibles d’abus.
Solution: Commencez par établir un inventaire complet des identités non humaines, y compris les comptes de service, les identifiants d'automatisation et les identités des machines. Surveillez en permanence leur comportement pour détecter des schémas d'accès inhabituels, limitez leur utilisation au strict nécessaire et appliquez moindre privilège Autorisations. Cela doit être réalisé de manière automatisée, évolutive et ancrée dans le contexte opérationnel. Les feuilles de calcul, les révisions manuelles et le recours aux connaissances tribales ne sont tout simplement pas adaptés aux environnements d'entreprise modernes.
6. Contenir rapidement sans interrompre l'activité – avant de savoir ce qui est compromis
Problème: In attaques d'identité comme Scattered Spider, les délais de réponse permettent à l'attaquant de se déplacer latéralement, de désactiver la journalisation ou d'augmenter les privilèges, le tout en utilisant des informations d'identification valides.
Solution: Définir et préparer à l’avance les politiques de confinement, afin qu’elles puissent être activées instantanément pour bloquer comptes compromis, déclencher une réauthentification ou isoler des systèmes spécifiques. Ces politiques doivent être conçues dans un souci de résilience, limitant les mouvements des attaquants tout en minimisant l'impact sur les opérations commerciales. La préparation garantit également que la productivité ne soit pas affectée en cas de violation. Envisagez l'utilisation d'une MFA résistante au phishing comme médiateur et améliorez la cyber-résilience afin que les utilisateurs légitimes et autorisés puissent continuer à être productifs et à fournir des services, entravant ainsi la capacité des attaquants à atteindre leurs objectifs.
En cas de violation : réponse aux incidents axée sur l'identité
Même avec les meilleures défenses, un compromis est toujours possible. L'essentiel est ce que vous faites dans les premières heuresPar exemple, exiger l’authentification multifacteur pour les actions à haut risque permet de contenir les menaces sans perturber les opérations commerciales principales.
Voici un cadre de réponse simplifié conçu pour les violations basées sur l’identité :
Confinement
- Appliquez instantanément les politiques de refus ou d'authentification multifacteur à tous les utilisateurs
- Identifier les comptes compromis en fonction des violations MFA ou des accès inhabituels
- Isoler les machines sur lesquelles les comptes affectés se sont connectés
Récupération
- Remplacez progressivement le refus par l'authentification multifacteur pour restaurer l'accès
- Réintroduire les services critiques par phases contrôlées
- Maintenir une surveillance élevée des comptes précédemment compromis
Remédiation
- Suivez la manière dont l'attaquant s'est déplacé entre les systèmes à l'aide des journaux d'authentification et identifiez les faiblesses d'identité spécifiques (comme les mauvaises configurations ou les privilèges excessifs) qui ont permis ce mouvement.
- Utilisez ces informations pour renforcer votre stratégie à long terme. posture de sécurité des identités
Réflexions finales : l’Australie peut être un leader en matière de résilience identitaire
L'incident de Qantas n'était pas un incident isolé. Il s'agissait d'un signal d'alarme indiquant que les attaques basées sur l'identité, comme celles utilisées par Scattered Spider, sont bien présentes, actives et en constante évolution.
En tant que citoyen local touché par l'explosion, je suis convaincu que nous pouvons affronter cette situation avec urgence et confiance. L'infrastructure d'identité hybride et l'écosystème informatique australiens sont complexes, mais avec une planification adéquate, cette complexité peut être protégée, surveillée et maîtrisée.
Une MFA résistante au phishing et des politiques d'accès bien définies sur tous les points d'accès, y compris les protocoles hérités, la limitation de l'accès en fonction du moindre privilège et de la criticité de l'entreprise, ainsi qu'une réponse aux incidents axée sur l'identité peuvent contenir rapidement les menaces tout en maintenant les opérations commerciales en cours.
L'Australie n'a pas besoin d'attendre une nouvelle violation pour agir. Nous pouvons montrer l'exemple.
Pour en savoir plus sur la manière de créer un manuel de réponse aux incidents contre des groupes de menaces comme Scattered Spider, je vous invite à regardez ce webinaire à la demande.