Insights : Risque accru d'attaques par wiper

Unit 42 suit de près un risque accru d'attaques par wiper (effaceurs de données) liées au conflit avec l'Iran, y compris plusieurs incidents qui ont eu un impact sur des organisations en Israël et aux États-Unis. Pour obtenir les dernières informations sur les cyberattaques associées à ce conflit, consultez notre Threat Brief : Escalade du cyber-risque lié à l'Iran en mars 2026.

Le vecteur principal des récentes opérations destructrices du groupe Handala Hack (alias Void Manticore, COBALT MYSTIQUE et Storm-1084/Storm-0842) impliquerait l'exploitation d'identités par le biais du phishing et de l'accès administratif via Microsoft Intune. Handala Hack est apparu fin 2023. Malgré des messages initiaux alignés sur l'hacktivisme, la communauté du renseignement sur les menaces estime actuellement que le groupe est une façade pilotée par l'État pour le compte du ministère du Renseignement et de la Sécurité (MOIS) de l'Iran.

Le 6 mars, la Direction nationale de la cybersécurité d'Israël a mis en garde contre des cyberattaques iraniennes ciblant des organisations israéliennes avec des wipers :

« Le Commandement national de la cybersécurité a reçu des rapports faisant état de plusieurs cas où des attaquants ont accédé à des réseaux d'entreprise et supprimé des serveurs et des postes de travail, dans le but d'interrompre les opérations des organisations attaquées. Dans certains cas, l'attaquant disposait de données d'accès provenant d'utilisateurs légitimes de l'entreprise, qui ont été utilisées pour obtenir un accès initial au réseau. »

– Traduction de la source : Direction nationale de la cybersécurité d'Israël.

Les recommandations suivantes sont basées sur les informations rendues publiques à ce jour et sur le renseignement sur les menaces de Palo Alto Networks Unit 42, portant spécifiquement des tactiques observées par l'acteur de menace lié à l'Iran, Handala.

Recommandations de durcissement proactif

Éliminer les privilèges persistants (Standing Privileges)

Les droits administratifs persistants constituent le principal facteur de risque dans les attaques d'identité modernes. Des attaquants comme Handala ciblent les comptes à haute valeur ajoutée dotés de permissions « permanentes » (toujours actives) pour faciliter un impact immédiat.

• Accès Just-in-Time (JIT) : Implémentez un modèle JIT pour tous les rôles administratifs. Les identifiants de connexion ne devraient avoir aucune autorisation par défaut et n'obtenir des droits élevés que via un processus d'activation formel. Une solution de gestion des identités et de l'infrastructure cloud (CIEM) permet d'identifier avec précision les risques liés aux identités au sein des ressources cloud.
• Microsoft Entra Privileged Identity Management (PIM) : Utilisez Entra ID PIM pour gérer les attributions de rôles éligibles. Exigez l'authentification multifacteur (MFA), une justification métier et, pour les rôles à haut risque, une approbation manuelle avant l'activation.
• CyberArk Privileged Access Management (PAM) : Pour les organisations disposant d'environnements hybrides ou multi-cloud complexes, utilisez CyberArk pour coffrer les identifiants administratifs et gérer l'isolement des sessions. CyberArk peut fournir une zone de rebond (landing zone) sécurisée pour les administrateurs, conçue pour garantir que les identifiants pour des plateformes comme Intune ne résident jamais sur un point de terminaison potentiellement compromis.

Durcir les comptes administrateurs Entra ID

• Limiter le nombre : Réduisez le nombre de comptes d'Administrateur Global et d'Administrateur Intune au strict nécessaire selon les besoins de l'entreprise. Un outil tel que le tableau de bord Cortex Identity Security peut aider à découvrir quelles identités détiennent des privilèges d'administration.
• Comptes cloud-native : Utilisez des comptes uniquement dans le cloud (ex: admin@tenant.onmicrosoft.com) pour les rôles administratifs afin d'empêcher les mouvements latéraux depuis l'Active Directory sur site via la compromission de comptes synchronisés.
• Comptes de secours (Break-glass) : Maintenez deux comptes d'accès d'urgence exclus des politiques d'accès conditionnel standard, mais protégés par une MFA matérielle et surveillés par des alertes de haute sévérité. Envisagez de n'autoriser les capacités d'effacement massif (mass wipe) qu'à partir de ces comptes de secours.
• Activer l'approbation multi-administrateurs (MAA) : La MAA exige qu'un second administrateur distinct examine et approuve les actions à fort impact avant leur exécution. Créez une politique d'accès pour les actions telles que l'effacement ou la suppression.

Renforcer les contrôles de sécurité spécifiques à Azure

• Contrôle d'accès basé sur les rôles (RBAC) : Utilisez spécifiquement le rôle d'Administrateur Intune, plutôt que d'accorder des droits d'Administrateur Global au personnel de gestion des appareils. Inventoriez les principaux de service (Service Principals) disposant de permissions pour la gestion des appareils, telles que DeviceManagementManagedDevices.ReadWrite.All.
• PIM for Groups : Au lieu d'assigner des rôles à des individus, utilisez PIM for Groups. Assignez le rôle d'Administrateur Intune à un groupe de sécurité et rendez les utilisateurs éligibles à l'adhésion à ce groupe. Cela permet une gestion unifiée de l'audit et des flux d'approbation.
• Accès conditionnel pour l'élévation : Appliquez des politiques de force d'authentification lors de l'activation du PIM. Exigez des clés matérielles FIDO2 (YubiKeys) ou Windows Hello for Business pour activer les rôles capables d'émettre des commandes d'effacement. N'autorisez les connexions qu'à partir de plages d'adresses IP d'entreprise ou de lieux de confiance.
• Exploiter les stations de travail administratives sécurisées (SAW) : Exigez des Administrateurs Globaux qu'ils accèdent à Azure depuis des stations de travail à accès privilégié (PAW) durcies. Utilisez des machines dédiées uniquement aux activités administratives et à la manipulation de données sensibles. Appliquez une vérification de la conformité du poste avant d'autoriser l'accès.

Sécurité des sessions et des jetons (Tokens)

• Réduire la durée de vie des sessions : Raccourcissez la durée des sessions pour les portails administratifs sensibles (ex: portails Intune, Entra et Azure) à moins d'une heure. Cela limite la fenêtre d'impact en cas de vol d'un jeton de session.
• Protection des jetons (Token Protection) : Activez la protection des jetons (actuellement en aperçu pour Entra ID) pour lier cryptographiquement les jetons de session à l'appareil spécifique à partir duquel ils ont été émis, afin d'empêcher un attaquant de les rejouer sur une autre machine. Des outils tels que le module de protection contre le contournement d'authentification de Cortex XDR peuvent aider à se protéger contre les attaques qui tentent de contourner les contrôles d'authentification, comme les tokens.

Mettre en œuvre des programmes de gouvernance et de protection des données

• Découvrir et étiqueter les données sensibles : Utilisez les capacités de gestion de la posture de sécurité des données (DSPM) pour scanner et étiqueter les données sensibles dans l'environnement hybride de l'entreprise. Cette classification permet une segmentation granulaire, un chiffrement persistant et des contrôles de sécurité automatisés. Cela garantit que les actifs les plus critiques sont protégés quel que soit leur emplacement.
• Exploiter la prévention des pertes de données (DLP) : Déployez des technologies telles que la solution Enterprise DLP basée sur l'IA de Palo Alto Networks pour alerter et bloquer de manière proactive les tentatives d'exfiltration de données. Si des comptes de stockage envoient des volumes de données sortantes nettement supérieurs à la normale, les organisations doivent immédiatement mener une investigation.

Surveillance et préparation à la réponse

• Intégration MDR/XDR : Assurez-vous que les journaux d'audit (spécifiquement les actions RemoteWipe et FactoryReset) provenant d'outils de gestion d'appareils comme Intune sont ingérés dans votre plateforme SIEM/XDR. Utilisez l'automatisation, via une plateforme SOAR (Security Orchestration, Automation and Response), pour répondre rapidement aux événements malveillants. Une plateforme SOC telle que Cortex XSIAM peut exécuter ces fonctions au sein d'une solution unique.
• Alertes d'activité anormale : Configurez des alertes spécifiques pour les événements d'effacement massif. Si plus d'un certain seuil d'appareils (ex: 5 ou 10) est ciblé pour un effacement dans une fenêtre de temps réduite, le système doit déclencher un verrouillage automatisé immédiat du compte administrateur initiateur. Surveillez les journaux de connexion Entra pour détecter et alerter si un administrateur se connecte depuis un lieu inhabituel ou en dehors des réseaux approuvés.
• Sauvegardes hors ligne : Maintenez des sauvegardes immuables, déconnectées (air-gapped) et hors ligne des données critiques. Comme l'objectif de l'acteur de menace est souvent la pure perturbation (activité de wiper) plutôt que l'extorsion financière, la capacité de restauration à partir d'une source immuable peut être la seule garantie de reprise.
• Formation des utilisateurs et exercices sur table (Tabletop) : Réalisez fréquemment des exercices de phishing, formez le personnel à la cybersécurité et organisez des exercices sur table axés sur les activités destructrices des acteurs de menaces.

Si vous pensez avoir été compromis ou si vous faites face à une urgence, contactez l'équipe de réponse aux incidents de Unit 42 ou appelez :

• Amérique du Nord (numéro gratuit) : +1 (866) 486-4842 (866.4.UNIT42)
• Royaume-Uni : +44.20.3743.3660
• Europe et Moyen-Orient : +31.20.299.3130
• Asie : +65.6983.8730
• Japon : +81.50.1790.0200
• Australie : +61.2.4062.7950
• Inde : 000 800 050 45107
• Corée du Sud : +82.080.467.8774