Spoiler : Non, ce n’est pas un exercice. Et oui, c’est encore eux.
Il fallait bien qu’ils changent de terrain de jeu. Après avoir mis les pieds dans les palaces de Vegas (MGM, Caesars), Marks & Spencer, les Scattered Spider, collectif d’ado-hackers post-Zoomers plus bavards que discrets, ont décidé de s’attaquer à un nouveau secteur : les compagnies d’assurance américaines. Parce que rien ne vaut une bonne police d’assurance… surtout quand on est un cybercriminel.
🧠Rappel pour ceux du fond : c’est qui déjà ces araignées ?
Scattered Spider, aussi connu sous les noms d’UNC3944 ou de “Muddled Libra” chez Mandiant, c’est ce petit groupe de joyeux drilles qui :
- parlent anglais comme votre cousin texan (parce qu’ils le sont souvent),
- adorent passer des appels au support IT en se faisant passer pour un cadre sup’ stressé,
- utilisent le SIM swapping pour récupérer des tokens MFA,
- et surtout, aiment publier leurs exploits sur Telegram comme s’ils venaient de gagner un skin légendaire sur Fortnite.
Bref, on est loin du groupe APT austère qui code des malwares sur mesure dans une cave en Sibérie.
On en a déjà parlé :
🕷️ Scattered Spider : l’araignée qui tisse sa toile dans les MFA troués (2 juin 2025)
Cyberattaques en cours (16 mai 2025)
🎯 Nouvelle cible : les assureurs US
Alors, pourquoi les assurances ? Parce que c’est là que ça fait mal.
Des données sensibles, des millions de clients, et surtout des process d’authentification souvent aussi robustes qu’un mot de passe “12345”.
📍 Philadelphia Insurance : a détecté une brèche le 9 juin. Isolement des systèmes. L’épisode est en cours, version « dommage tous risques ».
📍 Erie Insurance : une activité réseau « inhabituelle » dès le 7 juin. Traduction : ils ont vu les logs bouger sans comprendre pourquoi.
Et pendant ce temps-là , Scattered Spider déroule son tapis rouge d’ingénierie sociale.
🧪 Leur méthode préférée ? Le pentest social
Pas de malware ultra-sophistiqué ni de vulnérabilité zero-day obscure.
Non, ici on est dans le bon vieux appel au support IT, version :
“Bonjour, j’ai perdu mon téléphone, je suis VP Sales chez PhilInsure, je dois absolument accéder à mon compte là -maintenant-tout-de-suite-sinon-on-perd-un-client à 12 millions de dollars.”
Et ça marche. Parce que dans beaucoup d’entreprises, l’humain est le maillon faible, et que le MFA est souvent configuré avec autant de soin qu’un formulaire Google Forms.
🧯 Leçon du jour : le MFA, ce n’est pas magique
Depuis 2 ans, on vous le répète : activer le MFA ne suffit pas.
Mais certaines entreprises persistent à croire que cocher “authentification à deux facteurs” dans Azure, c’est la panacée.
Résultat : fatigue MFA (vous savez, ces gens qui cliquent “valider” 27 fois sans lire),
tokens interceptés, et accès complet aux systèmes.
Avec un bon scénario et un accent crédible, Scattered Spider prend votre infrastructure en main en 15 minutes chrono.
🔍 Pourquoi ça continue de marcher ?
- Support IT mal formé : on croit encore que “Jean-Michel DRH” n’oubliera jamais son mot de passe.
- Aucune vérification out-of-band : pas de double validation côté RH, pas de processus d’urgence fiable.
- Trop de droits, trop vite : un stagiaire avec accès admin ? Let’s go.
🧠Conseils, même si tu es une araignée
- Forme tes équipes d’assistance. Vraiment.
- Implémente un MFA robuste (pas juste des push notifications).
- Segmente les accès : chaque compte doit avoir un périmètre strict.
- Surveille ton SI avec de l’intelligence, pas juste un Nagios qui ping une fois par jour.
- Et surtout : ne minimise jamais l’importance du facteur humain.
💬 Conclusion : de la toile d’araignée au filet de sécurité
Ce que fait Scattered Spider n’est pas révolutionnaire.
C’est du social engineering à l’état pur, agrémenté de flair et d’opportunisme.
Mais ce qu’il révèle, c’est l’état catastrophique de la sécurité dans certains secteurs : MFA mal compris, sensibilisation inexistante, alertes ignorées.
Le vrai problème, ce n’est pas Scattered Spider.
C’est qu’ils n’ont même pas besoin de forcer la serrure pour rentrer.
