Publié le 4 décembre 2025 à 23h05. Des chercheurs en sécurité alertent sur une recrudescence des attaques ciblant les entreprises via des outils d’accès à distance légitimes et des identifiants compromis, rendant la détection de plus en plus difficile.
- L’exploitation de vulnérabilités dans des logiciels comme ScreenConnect permet aux attaquants d’installer des logiciels malveillants et de voler des données.
- L’utilisation de mots de passe volés ou achetés reste une tactique privilégiée des cybercriminels pour s’infiltrer dans les systèmes d’entreprise.
- Les activités de connexion suspectes aux comptes Microsoft 365 sont en augmentation, notamment depuis des pays non habituels.
Les entreprises sont confrontées à une nouvelle vague d’attaques sophistiquées où les cybercriminels exploitent des outils et des informations d’identification valides pour accéder illégalement aux réseaux et aux données sensibles. Selon une récente étude de Barracuda, des outils d’administration à distance, initialement conçus pour faciliter le travail des équipes informatiques, sont détournés à des fins malveillantes.
ScreenConnect, une plateforme de gestion d’appareils largement utilisée, est particulièrement visée. Les attaquants exploitent des failles de sécurité découvertes plus tôt en 2025 dans des versions obsolètes du logiciel. Ces vulnérabilités leur permettent d’installer à distance des programmes malveillants, de déployer des rançongiciels, de dérober des informations confidentielles et de se déplacer latéralement au sein du réseau de la victime. Les équipes de sécurité ont constaté que les attaquants se connectent directement aux instances ScreenConnect des entreprises ciblées, ou déploient le logiciel eux-mêmes pour y accéder. La confiance accordée à ScreenConnect au sein des réseaux d’entreprise permet à ces activités malveillantes de se dissimuler parmi les opérations légitimes.
Bien qu’une mise à jour corrigeant la vulnérabilité ait été publiée en avril 2025, les organisations qui ne l’ont pas appliquée restent exposées. Le risque est accru pour celles qui utilisent des versions obsolètes, des outils d’accès à distance non gérés, ou qui n’ont pas mis en place une authentification multifacteur (MFA) pour les comptes d’administrateur.
« La détection de ScreenConnect n’éveille pas immédiatement les soupçons »,
Mike Flouton, vice-président de la gestion des produits chez Barracuda
Parallèlement, l’utilisation de noms d’utilisateur et de mots de passe volés ou achetés sur le dark web reste une tactique courante. Une fois ces identifiants compromis utilisés avec succès, les attaquants peuvent se fondre dans l’activité normale des utilisateurs, rendant leur détection plus complexe. Barracuda observe que ces accès illégitimes sont souvent utilisés pour lancer des attaques de rançongiciels, voler des données ou établir des canaux d’accès persistants. Des comportements suspects, tels que des tentatives de connexion répétées ou simultanées, ou l’utilisation d’outils d’administration comme PsExec ou PowerShell, peuvent signaler une intrusion.
Les entreprises qui ne disposent pas de politiques de mots de passe robustes, qui ne renouvellent pas régulièrement les identifiants, ou qui ne mettent pas en place des contrôles d’authentification stricts, sont particulièrement vulnérables. Un manque de surveillance des comportements anormaux et une incapacité à détecter une activité suspecte à distance peuvent également faciliter la compromission des systèmes.
Les activités de connexion inhabituelles ciblant les comptes Microsoft 365 sont également en hausse, avec des tentatives provenant de pays situés en dehors des zones géographiques habituelles des organisations concernées. Ces attaques exploitent souvent des bases de données de mots de passe obtenues illégalement, permettant aux attaquants d’accéder aux communications de l’entreprise, aux fichiers confidentiels et de se faire passer pour des employés à des fins de phishing interne.
Les entreprises qui ne mettent pas en œuvre le blocage géographique, qui n’appliquent pas l’authentification multifacteur, ou qui ne surveillent pas attentivement les origines des connexions à leurs comptes, sont particulièrement à risque. Les attaquants sophistiqués peuvent rapidement étendre leur accès initial, augmenter leurs privilèges et lancer d’autres attaques sur l’environnement de l’entreprise.
Pour se protéger contre ces menaces, les experts de Barracuda recommandent une approche de sécurité à plusieurs niveaux. Cela inclut des mises à jour logicielles régulières, des politiques de mots de passe strictes, l’authentification multifacteur obligatoire (en particulier pour les administrateurs et les comptes d’accès à distance), et une surveillance continue des comportements anormaux. La formation des employés à la reconnaissance des tentatives de phishing et à la signalisation des anomalies est également essentielle. Des systèmes automatisés, tels que la sécurité gérée des points finaux et les plateformes avancées de détection et de réponse, peuvent aider à identifier les activités malveillantes menées via des outils fiables ou des identifiants légitimes.
Selon les conclusions de Barracuda, les organisations qui ne s’adaptent pas à l’évolution des tactiques d’attaque risquent de rester exposées à un risque accru.
« Les cybercriminels volent ou achètent des noms d’utilisateur et des mots de passe (identifiants) et les utilisent pour pénétrer dans les systèmes. Une fois à l’intérieur, ils lancent des attaques de rançongiciels ou volent des données sensibles »,
Mike Flouton, vice-président de la gestion des produits chez Barracuda
