Dans une opération Red Team, la phase d’intrusion constitue généralement l’élément le plus décisif. Lorsque l’environnement externe ne révèle aucune vulnérabilité exploitable dans le temps limité d’un audit, il devient nécessaire d’explorer d’autres vecteurs. Les statistiques françaises témoignent de la prépondérance des attaques visant l’humain : selon le baromètre CESIN 2025, 55 % des cyberattaques en entreprise commencent par du phishing ou assimilé, témoignant que cette approche est une voie d’accès privilégiée.
Si ces chiffres ne laissent aucune ambiguïté quant à la prééminence du phishing comme vecteur d’intrusion, ce mode d’attaque est aujourd’hui largement connu et fait l’objet de nombreux garde‑fous organisationnels et techniques visant à en réduire l’occurrence. L’expérience montre d’ailleurs que certaines entreprises peuvent paraître plus résistantes face à ces tentatives, non en raison d’une maturité particulière, mais parce que leurs usages internes les conduisent, parfois fortuitement, à s’appuyer sur des outils dont les paramètres offrent une protection accrue du fait des politiques de sécurité "By Design" de leurs éditeurs.
Cet article a pour but de présenter le témoignage d’Akyl, au sujet d'une opération Red Team « éclair » – 3 semaines tout au plus pour la réalisation – menée début 2026, ayant la particularité d’avoir concentré l’effort d’exploitation sur la composante humaine du système d’information de la cible, en commençant par la mise en œuvre d’une technique en particulier : le quishing. En définitive, les opérateurs ont pu compromettre l’ensemble des trophées en un temps très restreint, sans détection, et sans mobiliser d’importants savoirs et ressources techniques.
Cela a fait émerger un constat sans appel. La compromission d’une organisation en profondeur peut parfois ne nécessiter qu’un effort technique limité pour qui sait tirer parti des failles dont sont caractérisés les principaux éléments d’un système d’information : les humains.
Rappel sur le déroulé d’une opération Red Team, et pourquoi l’intrusion initiale reste décisive
Schématiquement, une opération Red Team peut se décomposer dans la succession d’étapes suivante :
Si chaque phase est indispensable et implique le succès de la précédente, la phase d’intrusion s’avère l’une des plus décisives et conditionne le succès de l’opération dans sa globalité. Toutefois, les audits se déroulant malgré tout en temps contraint, les opérateurs ont une sorte de désavantage vis-à-vis d’attaquants réels. Les surfaces externes ne livrent pas toujours de vulnérabilités exploitables dans le temps imparti.
Parallèlement, les environnements Microsoft 365 contemporains - très répandus en entreprise - disposent d’un éventail de mécanismes défensifs étoffé : politiques SPF/DKIM/DMARC, contrôle de la réputation des domaines, sandboxing dynamique, attribution de scores aux courriels, Cyber Threat Intelligence (CTI), programmes de sensibilisation internes, etc. Ces dispositifs rendent le phishing par e‑mail significativement moins efficace. Chaque lien envoyé depuis l’externe est analysé, chaque pièce jointe inspectée.
La démocratisation de la mise en place de l’authentification multi-facteurs contraint également les attaquants à adopter des stratégies plus complexes de contournement.
Chaque contexte étant unique, le temps représente une des principales difficultés pour des opérateurs Red Team en phase externe, qui doivent fréquemment adapter leurs pratiques. Dans les environnements les plus exigeants, ce temps peut faire défaut et constituer un handicap de poids vis-à-vis de l’attaquant réel que l’on cherche à simuler.
Pour pallier cela et tester malgré tout l’ensemble de la chaine d’attaque, un dispositif « Assume Breach » est généralement mis en place par le commanditaire de l’audit : un accès est fourni aux auditeurs pour permettre la poursuite de l’opération sur le périmètre interne sans consommer l’ensemble des charges de la mission. Si cela s’avère indispensable dans de nombreux cas, cela implique malgré tout une perte de réalisme. Il arrive d’ailleurs que certains commanditaires refusent de sacrifier au réalisme et ne fournissent pas cette option.
Ainsi, l’élaboration d'une stratégie permettant le contournement des protections techniques, dont la sécurité des courriels et les filtres, constitue un avantage crucial à toute Red Team pour obtenir un premier point d’appui au sein du Système d’Information en un délai raisonnable.
La méthode d’intrusion :une chaîne hybride, simple et efficace
Fort du constat précédent, étant donné le temps extrêmement court imparti à la mission – et significativement plus faible qu’à l’accoutumée pour ce type d’opération – , la stratégie d’infiltration a été pensée pour utiliser un vecteur combinant espace physique et accès numérique : le quishing. Cela consiste à diffuser de façon contrôlée des QR codes menant à un parcours d’authentification frauduleux, dans le but d’obtenir des accès illicites aux espaces Cloud dans un laps de temps réduit, et faire fi de certaines protections techniques et réflexes spécifiques à l’usage de postes de travail, généralement abolis à l'usage de téléphones professionnels.
Pour le lecteur pressé, le macro-scénario de l’opération est décomposé dans le schéma suivant :
Obtention de l'accès initial
En premier lieu, l’accès aux locaux s’est appuyé sur une vulnérabilité humaine banale : un collaborateur a accepté de badger pour ouvrir une porte d’entrée à deux personnes inconnues mais exerçant une pression cordiale suffisante à la réalisation de l'action. Ce type de faille sociale est fréquemment observé dans les audits et ne nécessite aucune sophistication.
NB : l’adresse des locaux d’une entreprise, systématiquement fournie dans un contexte de Red Team, peut facilement être retrouvée par un attaquant réel via quelques recherches rapides en sources ouvertes.
Les auditeurs ont ensuite déposé des flyers plastifiés dans les espaces détente (machine à café, tables communes). Les emplacements ont été déterminés pour correspondre aux zones où la vigilance baisse, sans tenter d’accéder à des zones protégées comme les bureaux de VIP ou de la DSI. Il s’agissait en réalité d’une attaque par trou d’eau dans le monde physique. Les flyers restaient simples visuellement : thème générique, mais contextualisé à la population ciblée.
Seules une quinzaine de minutes ont été nécessaires pour faire le dépôt des flyers, à une heure où la majorité des collaborateurs étaient au travail. L’expérience démontre que le succès de ce type d’opération, une fois entré dans les lieux, est essentiellement lié à certains détails vestimentaires et de posture, qui désamorcent immédiatement tout embryon de questionnement chez les personnes rencontrées. Cela étant fait, la présence sur site n’était plus nécessaire.
Au scan du QR code, l’utilisateur est dirigé vers une page évoquant un concours local anodin, tel que le flyer le présentait. Lorsque l’utilisateur clique sur « participer », une procédure de connexion Microsoft est déclenchée.
Le flux est alors intercepté :
- Identifiants récupérés, pour rejeu ultérieur
- Authentification forte validée en temps réel
- Cookies de session capturés permettant l’usurpation de la session Microsoft 365
La subtilité et la réussit d'une telle attaque ne réside pas dans la technique, mais dans l’habillage et la crédibilité du contexte.
Escalade de privilège
L’accès utilisateur obtenu offre rarement une visibilité suffisante pour valider immédiatement les trophées. L’étape suivante consiste donc à étendre le rayon d’action via un ou plusieurs rebonds internes. Dans la lignée de la démarche déjà entreprise, et par la possibilité acquise après quishing d’accéder à des échanges Outlook et Teams, les opérateurs ont décidé d’aller plus avant dans l’exploitation des mécanismes d’ingénierie sociale. Cependant, à nouveau s’est posée la question de la transmission des éléments permettant la compromission de la cible.
Les canaux Teams et Outlook sont très surveillés par Microsoft Defender for Office 365, même lors d’échanges internes comme l’illustre la capture Teams suivante pouvant survenir après transmission d’un lien frauduleux :
Pour autant, les tests ont révélé que Microsoft Loop, au moment de l’audit, faisait l’objet d’une couverture défensive moins complète et offraient des fonctionnalités intéressantes dans un contexte attaquant. Contrairement aux liens envoyés par message, les contenus Loop :
- Ne bénéficient pas des mêmes analyses de Microsoft Defender for Office 365
- Permettent de déclencher des notifications automatiques, notamment par courriel, via les mécanismes de tâches assignées
- Augmentent la probabilité de clic rapide via l’automatisation des relances
Des campagnes internes de phishing utilisant Loop ont donc été lancées depuis les comptes compromis, avec un taux de clic extrêmement élevé : la communication provenait d’un collègue, dans un outil de collaboration interne, hors du radar habituel des utilisateurs comme des outils défensifs.
NB : il est intéressant de noter que cette méthode est d’autant plus efficace dans un contexte international avec décalage horaire, où d’éventuels questionnements via Teams émanant des cibles peuvent être interceptés et masqués à leurs véritables destinataires par les opérateurs Red Team.
Résultat, il a été possible de :
- Compromettre de nouveaux comptes plus privilégiés
- Obtenir des accès à des espaces SharePoint et des NAS contenant des informations métier et techniques hautement confidentielles
- Accéder à des identifiants et clés secrètes permettant la connexion à des zones restreintes (VPN et consoles administratives)
Sans entrer dans le détail de chacune des actions techniques mises en œuvre, l’opération peut être résumée ainsi : les différentes séquences d’ingénierie sociale ont permis d’obtenir les éléments nécessaires à l’accès initial, lequel a ensuite été exploité pour conduire une élévation de privilèges progressive via un outil collaboratif et, dans un délai particulièrement court, réaliser l’ensemble des actions de post‑exploitation aboutissant à la compromission des trophées définis.
Eléments clés liés à l’approche hybride
Plusieurs enseignements et points de vigilance sont identifiés par les auditeurs Akyl.
Sur l'élaboration des flyers et QR codes
Tout d’abord, l’ensemble de la progression repose sur une réalité opérationnelle impliquant l’absence de nécessité d’usage de techniques avancées et d’exploitations logiques complexes, mais de la mise en œuvre d’un enchaînement cohérent de failles humaines et organisationnelles. Elle démontre qu’il peut être parfois plus rentable pour un attaquant de combiner intrusion physique, quishing et rebond par phishing interne, plutôt que de tenter de forcer frontalement des protections techniques matures.
Cependant, le succès de cette approche est dépendant en premier lieu de la capacité à s’introduire dans les locaux de la cible, cela nécessitant malgré tout une phase de reconnaissance rigoureuse : les points d’entrées doivent être identifiées, les failles dans la sécurité physique repérées, et les habitudes des collaborateurs analysées.
Ensuite, les flyers doivent être suffisamment contextualisés pour inciter les cibles à scanner le QR code. Cependant, la conception de ces derniers ne doit pas indiquer qu’ils seraient issus d’un service précis de l’entreprise visée, au risque de causer une détection interne triviale et rapide par un membre véritable de ce service qui constaterait l’anomalie. De manière moins prégnante, il est également préférable que les auditeurs ne soient pas remarqués au moment de leur dépôt, cela rendant particulièrement intéressant le ciblage des espaces de pause et de restauration plutôt que des zones plus sensibles, et facilitant par la même occasion le succès de l’intrusion physique.
L'apparence du QR Code peut également avoir un intérêt pour attirer l’œil du collaborateur distrait sans exagérer le contenu du flyer. Cela peut être fait facilement en tirant parti des possibilités de personnalisation offertes par la norme, par exemple via l'usage de logo comme présenté ci-contre.
Sur les différences d'impact entre quishing et phishing
Il apparait que la démarche de scan d’un QR code n’est pas comparable à l’ouverture d’un lien dans un courriel. En effet, sur la base des constats issus de cette mission, l’action de scan est déterminante. Là où dans un phishing classique il n’est pas rare de voir des connexions être effectuées (signifiant qu’un clic sur le lien a eu lieu) sans que l’utilisateur n’entrent ses identifiants, le quishing présente un taux de réussite bien supérieur. Les différences suivantes semblent pouvoir expliquer ce phénomène :
- Les QR codes sont scannés depuis des smartphones, là où les liens sont souvent ouverts depuis des ordinateurs ; les repères changent, les cibles sont déroutées, et les réflexes issus des sessions de sensibilisation s’activent moins
- La démarche de scan d’un QR code, par sa « complexité » relative en comparaison d’un simple clic sur un lien, est plus engageante et le retour en arrière moins évident pour la victime
- Le dépôt du QR code dans un lieu considéré « de confiance » – dans l’entreprise, dans un espace détente – infléchit fortement la vigilance des collaborateurs
En définitive, une technique simple, peu usitée… et redoutable
L’imaginaire collectif associe les opérations de piratage de grande ampleur à la création de malwares sophistiqués, à l’exploitation de vulnérabilités complexes ou à la mise en œuvre de techniques réservées à des attaquants très expérimentés. Si cela peut évidemment être le cas, l’expérience démontre que ce n’est pas toujours indispensable : une approche hybride simple, méthodique et centrée sur l’humain peut permettre de contourner des défenses techniques robustes, et annihiler en quelques jours des mois d’efforts passés à sécuriser le périmètre exposé sur Internet.
Le niveau de sécurité d’un système d’information est égal au niveau de sécurité de son élément le plus faible.
Il apparait parfois que l’élément le plus faible soit l’humain pour lequel le système d’information a été bâti.
L’opération présentée confirme qu’une intrusion physique légère, combinée à un quishing soigneusement contextualisé et à un rebond interne via un composant collaboratif, peut suffire à initier et amplifier une compromission.
La force de cette approche ne réside ni dans une sophistication technique extrême, ni dans une exploitation de vulnérabilités exotiques. Elle repose sur la capacité à contourner des lignes de défenses en déplaçant l’attaque vers le monde physique ou vers des canaux moins surveillés, et sur l’exploitation contrôlée de la confiance interne (locaux d’entreprise, outil collaboratif, comptes légitimes) pour accroître la crédibilité.
Au regard des constats français récents – phishing majoritaire comme vecteur d’attaque en entreprise, hausse des violations notifiées à la CNIL et pression opérationnelle relevée par l’ANSSI – l’intégration de scénarios de quishing dans les tests et exercices internes s’impose : cette approche, encore peu usitée, présente une complexité réelle limitée pour une efficacité élevée, et doit donc figurer en priorité dans les plans de défense et de sensibilisation. Cette sensibilisation gagnera en pertinence si elle traite également le risque de phishing interne, car l’attaque peut aussi provenir de comptes légitimes préalablement compromis et/ou, comme l’a été démontré, être menée depuis les locaux d’entreprise. Préparer les équipes à reconnaître ces deux facettes du même problème renforce concrètement la robustesse de l’organisation face au risque d'ingénierie sociale.
Dans cette optique, l’approche d’Akyl consiste autant à tester les organisations par des scénarios réalistes et parfois atypiques qu’à les accompagner sur le volet de la gouvernance, afin d’anticiper ce type de menaces et de renforcer durablement leur capacité à y faire face.
.svg)
