Teknik - État de la menace en 2026
28 avril 2026
Parce que... c'est l'épisode 0x2FC!
Parce que… c’est l’épisode 0x2FC!
Shameless plug
- 3 au 5 juin 2026 - SSTIC 2026
- 24 et 25 juin 2026 - Troopers
- 26 et 27 juin 2026 - leHACK
- 19 septembre 2026 - Bsides Montréal
- 1 au 3 décembre 2026 - Forum INCYBER - Canada 2026
- 24 et 25 février 2027 - SéQCure 2027
Description
Dans cet épisode spécial de Polysécure consacré à Cybereco, Charles F. Hamilton présente son analyse annuelle de l’état de la menace cyber en 2026. Comme chaque année, il s’efforce de distinguer le discours marketing des vendeurs de la réalité observée sur le terrain, fort de son expérience quotidienne en tests d’intrusion offensifs.
Azure et Entra ID : des failles par défaut
Une large partie de la discussion porte sur l’environnement Microsoft Azure et Entra ID (anciennement Azure Active Directory). Charles souligne un problème fondamental : beaucoup d’entreprises partent du principe que « si c’est Microsoft, c’est sécurisé », ce qui crée une forme de déresponsabilisation dangereuse. En réalité, la configuration par défaut d’Azure offre très peu de visibilité — les logs et informations de sécurité essentiels sont verrouillés derrière un paywall, rendant la validation quasi impossible sans un intervenant offensif.
Un exemple frappant illustre ce problème : lorsqu’une entreprise configure une politique d’accès conditionnel imposant le MFA pour toutes les applications mais ajoute une seule exception (par exemple pour un compte d’automatisation), Microsoft ajoutait silencieusement Microsoft Graph et Azure Active Directory dans les exceptions. Or, Microsoft Graph est le point d’entrée vers pratiquement tous les services cloud. Un attaquant disposant d’un identifiant et mot de passe pouvait donc s’authentifier via Microsoft Graph sans aucun MFA. Bien que Microsoft ait corrigé ce comportement récemment, toute exception créée avant le correctif reste active. Charles en découvre encore quotidiennement, ce qui pose un problème majeur — notamment pour les assureurs, dont les questionnaires de conformité ne détectent pas ces failles.
Le décalage entre sécurité offensive et défensive
Charles défend l’idée que la sécurité offensive a une longueur d’avance considérable sur la défensive. Les produits de sécurité défensive bloquent souvent des menaces qui datent de plusieurs années, pas celles d’aujourd’hui. Il prend l’exemple du device code phishing, une technique qu’il utilise depuis une dizaine d’années et que les attaquants malveillants commencent seulement à découvrir en 2026. Les entreprises qui ont investi dans des tests offensifs il y a cinq ou six ans sont déjà protégées ; les autres paniquent aujourd’hui.
Il insiste sur la valeur du Red Team : contrairement à un scan automatisé qui produit des milliers de vulnérabilités toutes marquées « critiques », un Red Team raconte une histoire — il identifie le chemin qu’un attaquant emprunterait pour atteindre ce qui a réellement de la valeur pour l’entreprise. Charles mentionne également le score EPSS (Exploit Prediction Scoring System), encore trop méconnu, qui permet de prioriser les vulnérabilités en fonction de leur probabilité réelle d’exploitation plutôt que de leur sévérité théorique.
Infostealers et ClickFix : les menaces du quotidien
La conversation aborde ensuite les infostealers, des logiciels malveillants qui récupèrent les mots de passe stockés dans les navigateurs. Leur efficacité tient à leur discrétion : ils ne touchent pas aux processus surveillés par les EDR/XDR et sont donc très peu détectés. Pire, ils se propagent souvent via des installeurs gratuits pour des jeux populaires comme Roblox ou Minecraft, ciblant les enfants. Quand un parent prête son ordinateur professionnel à son enfant, les identifiants corporatifs se retrouvent compromis. Charles rapporte des chiffres vertigineux : un de ses contacts dans le domaine possède des logs provenant de 600 millions de postes uniques infectés par des infostealers.
Quant aux attaques ClickFix, Charles se dit fasciné qu’elles fonctionnent, car elles demandent à l’utilisateur d’exécuter une série d’étapes complexes — copier du PowerShell dans une invite de commande, par exemple. Mais l’utilisateur moyen ne comprend tout simplement pas ce qu’il fait : les extensions de fichiers, les commandes, tout cela n’a aucun sens pour lui. Le succès du phishing repose uniquement sur l’expérience utilisateur : plus c’est simple, plus ça marche.
Supply chain et cas extrêmes
Charles partage des histoires marquantes de sa carrière. Il a testé la sécurité d’avions dont les interfaces pilotes tournaient sous Flash et Windows embarqué. Bien que l’avion soit physiquement déconnecté d’internet, le laptop de mise à jour, lui, y passait — ouvrant la porte à des attaques de supply chain. Il raconte aussi le cas de guichets ATM dont le système de gestion acceptait des mises à jour non signées, permettant l’injection de code malveillant.
Plus récemment, il a travaillé sur des cas d’infiltration d’employés nord-coréens se faisant passer pour des développeurs. Fait surprenant : ces individus étaient de bons ingénieurs et se faisaient toujours démasquer par des anomalies humaines (incohérences de localisation), jamais par leur code.
IA, vibe coding et secrets exposés
L’essor du vibe coding assisté par IA aggrave un problème existant : des développeurs qui ne comprennent pas ce qu’ils produisent. Charles a trouvé plus de 124 000 résultats sur GitHub pour « remove client secret » — des commits où des développeurs retirent des secrets Azure (tenant ID, application ID, client secret) sans jamais les révoquer. Beaucoup de ces commits portent les traces caractéristiques de code généré par IA, avec des emojis dans les commentaires.
Le paradoxe de l’industrie cyber
En conclusion, Charles soulève un paradoxe central : on n’a jamais eu autant de produits de sécurité, de solutions et de technologies pour prévenir les brèches, et pourtant on n’a jamais eu autant de brèches. Les entreprises s’étouffent sous les abonnements coûteux et les promesses marketing, mais négligent l’hygiène de base — segmentation réseau, gestion des correctifs, inventaire des systèmes. L’industrie souffre aussi d’un manque de conséquences réelles pour les entreprises négligentes, ce qui pousse beaucoup d’entre elles à faire le strict minimum. Le vrai travail reste à faire, et il commence par les fondamentaux.
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par Intrasecure inc
Tags: azure, cloud, entra
Tweet
