Accueil / Cybersécurité / Justice / CrowdStrike sanctionne un « initié » après business pirate

CrowdStrike sanctionne un « initié » après business pirate

Par
6 Mins Read
30 décembre 2025

Sommaire de l'article

CrowdStrike a licencié un employé accusé d’avoir transmis des informations internes à un collectif de hackers. L’affaire illustre une menace difficile à neutraliser : l’abus de confiance, parfois plus simple qu’une intrusion technique.

CrowdStrike a confirmé le licenciement d’un employé ayant divulgué des informations internes à un groupe baptisé Scattered Lapsus Hunters, présenté comme une alliance mêlant des profils liés à Scattered Spider, LAPSUS$ et ShinyHunters. Des captures d’écran publiées sur un canal Telegram public montraient un tableau de bord interne de CrowdStrike, avec des liens vers des systèmes d’entreprise, dont l’authentification unique Okta. Les attaquants ont d’abord évoqué une compromission via le prestataire Gainsight et des cookies d’authentification. CrowdStrike nie toute intrusion externe et affirme qu’il s’agissait de photos prises par l’employé. ShinyHunters aurait proposé 25 000 $ (23 000 €) pour obtenir un accès.

Une fuite « par l’intérieur » plutôt qu’une brèche technique

Le cœur du dossier est une clarification d’attribution. Le groupe a, dans un premier temps, revendiqué une compromission de CrowdStrike via une plateforme tierce, Gainsight, en affirmant avoir récupéré des cookies d’authentification. CrowdStrike répond en niant catégoriquement toute attaque externe réussie. Selon l’entreprise, les images ne démontrent pas une intrusion : ce sont des captures prises par un employé depuis son propre écran, puis divulguées.

Les captures publiées sur Telegram auraient montré l’interface d’un tableau de bord interne, avec des liens vers des systèmes de l’entreprise, dont la page d’authentification unique Okta. Même sans accès direct, ce type d’éléments peut alimenter un repérage : cartographie des outils, vocabulaire interne, chemins d’accès, et indices sur la manière dont l’organisation structure ses contrôles.

Le récit insiste sur le risque interne. CrowdStrike place ce danger au même niveau que les vulnérabilités techniques, parce qu’un initié n’a pas besoin de “casser” la sécurité pour faire sortir de l’information. Il peut simplement la copier, la photographier ou la raconter, en profitant d’un accès déjà légitime.

L’offre financière et la tactique de « super alliance »

Une enquête plus poussée, selon CrowdStrike, a établi que ShinyHunters avait offert 25 000 $ (23 000 €). Cette somme suggère une logique de recrutement : payer pour accélérer l’accès, réduire les risques d’attaque directe, et contourner des défenses techniques coûteuses à franchir.

Le groupe cité, Scattered Lapsus Hunters, est décrit comme une « super alliance » rassemblant des membres de plusieurs collectifs connus. L’intérêt de ce type de bannière, dans une opération, est d’agréger des compétences et de maximiser l’impact psychologique, tout en brouillant les responsabilités. En prétendant à une intrusion via un tiers, l’attaquant peut aussi tester la réaction publique et pousser la cible à se défendre, ce qui révèle parfois des informations supplémentaires.

SERVICE DE VEILLE ZATAZ

Nous retrouvons vos données volées/perdues avant qu’elles ne se retournent contre vous.

Fuites de données, Veille web & dark web, alertes et priorisation des risques.

  

DÉCOUVRIR LA VEILLE

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

 

CrowdStrike affirme que son centre de sécurité a détecté l’anomalie à temps, que les attaquants n’ont pas réussi à établir un accès valide, et que l’événement a été rapidement contenu. L’entreprise indique que ses systèmes n’ont pas été compromis et que ses clients sont restés protégés. L’employé mis en cause a été licencié, et l’affaire a été transmise aux forces de l’ordre.

Ce passage met en avant une distinction essentielle : fuite d’information ne veut pas dire prise de contrôle. Ici, CrowdStrike sépare l’exposition, captures et éléments de connexion, d’une compromission effective de ses systèmes. Cette nuance compte, car les récits d’attaque jouent souvent sur l’ambiguïté entre “preuve de présence” et “preuve d’accès”, surtout lorsqu’une publication sur un canal public vise à créer une perception de défaillance.

Une leçon de chaîne d’approvisionnement, mais aussi de gestion RH

L’incident est rattaché à une série d’attaques récentes attribuées à ce même ensemble d’acteurs contre de grandes entreprises. Le texte souligne leur appétit pour les fournisseurs externes et prestataires, citant Salesforce et Gainsight comme exemples de surfaces privilégiées. Mais l’épisode CrowdStrike rappelle qu’un prestataire n’est pas la seule porte d’entrée : un employé peut jouer ce rôle, volontairement, sous contrainte ou contre rémunération.

Pour les organisations, le message est concret. Renforcer les défenses techniques reste indispensable, mais l’angle mort se situe souvent dans la gouvernance des accès : qui voit quoi, à quel moment, avec quelles traces, et avec quelles barrières contre l’exfiltration “banale”, photo d’écran, export, copie. La prévention passe aussi par la détection comportementale interne et par une politique claire sur les dispositifs personnels, les canaux de messagerie, et la gestion des alertes quand un salarié devient un point de risque.

Cette affaire illustre une réalité opérationnelle : l’attaquant n’a pas toujours besoin d’exploiter une faille, il peut acheter ou manipuler un accès humain, puis fabriquer un récit d’intrusion externe pour amplifier l’effet. La question, côté cyber et renseignement, est désormais de savoir comment mesurer et réduire la probabilité de trahison opportuniste, sans bloquer le travail quotidien : quelles combinaisons de contrôle d’accès, de traçabilité et de signaux RH permettent de détecter un initié avant la fuite publique ?

News & alertes actualités cyber

Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes.
S’abonner à la NewsLetter ZATAZ

Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber.

YouTube
Whatsapp
GNews
Autres
Étiquetté :
Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Articles similiares

La stratégie cyber de Trump muscle l’offensive américaine
11 mars 2026
Incident de sécurité chez Wikimedia via un ver JavaScript
11 mars 2026
TriZetto : 3,4 millions de patients touchés
11 mars 2026
Ancien pilote américain accusé d’avoir formé l’armée chinoise
11 mars 2026
Prince Group : 62 inculpations dans une vaste fraude en ligne
11 mars 2026
Phobos : le développeur clé plaide coupable aux États-Unis
11 mars 2026
Cyberfraude : Washington prépare un fonds pour les victimes
11 mars 2026
Nouveau malware Android vole les codes SMS bancaires
11 mars 2026
Le Parlement européen coupe l’IA des tablettes des élus
6 mars 2026

Nos partenaires

Actualités du mois

mars 2026
L M M J V S D
 1
2345678
9101112131415
16171819202122
23242526272829
3031  

Articles en UNE

Actus zataz

Réseaux sociaux

Facebook21,615FansJ'aimeX (Twitter)25,823AbonnésSuivreInstagram17,539AbonnésSuivrePinterest15,260AbonnésEpinglerYoutube8,922AbonnésS'abonnerTiktok4,205AbonnésSuivreTelegram1,203MembresRejoindreSoundcloud15,259AbonnésSuivreVimeo25,096AbonnésSuivreDribbble15,260AbonnésSuivre

Liste des sujets

<!-- Cyber'Émission ZATAZ — badge volant (déplaçable) + réduire/fermer -->
<div class="zataz-yt-float" id="zatazYtFloat" role="region" aria-label="Cyber'Émission ZATAZ">
  <div class="zataz-yt-float__bar" id="zatazYtBar">
    <span class="zataz-yt-float__title">Cyber'Émission ZATAZ</span>

    <div class="zataz-yt-float__actions">
      <button type="button" class="zataz-yt-float__btn" id="zatazYtMin" aria-label="Réduire">—</button>
      <button type="button" class="zataz-yt-float__btn zataz-yt-float__btn--close" id="zatazYtClose" aria-label="Fermer">×</button>
    </div>
  </div>

  <a class="zataz-yt-badge" href="https://www.youtube.com/@ZATAZCOM" target="_blank" rel="noopener noreferrer"
     aria-label="Regarder Cyber'Émission ZATAZ sur YouTube (nouvel onglet)">
    <span class="zataz-yt-badge__thumb" aria-hidden="true">
      <span class="zataz-yt-badge__play" aria-hidden="true"></span>
    </span>
  </a>
</div>

<style>
  .zataz-yt-float{
    position:fixed;
    right:18px;
    bottom:18px;
    z-index:99999;
    width:320px;
    max-width:calc(100vw - 36px);
    border-radius:14px;
    overflow:hidden;
    background:linear-gradient(135deg,#111827,#0b1220 55%,#111827);
    border:1px solid rgba(255,255,255,.12);
    box-shadow:0 14px 40px rgba(0,0,0,.35);
    transform:translateZ(0);
    user-select:none;
    touch-action:none; /* drag mobile */
  }

  /* Barre de drag + boutons */
  .zataz-yt-float__bar{
    display:flex;
    align-items:center;
    justify-content:space-between;
    gap:10px;
    padding:10px 10px 10px 12px;
    font-family:system-ui,-apple-system,Segoe UI,Roboto,Arial,sans-serif;
    color:#fff;
    background:rgba(0,0,0,.18);
    border-bottom:1px solid rgba(255,255,255,.10);
    cursor:grab;
  }
  .zataz-yt-float__bar:active{ cursor:grabbing; }
  .zataz-yt-float__title{
    font-weight:800;
    letter-spacing:.2px;
    font-size:15px;
    line-height:1;
    white-space:nowrap;
    overflow:hidden;
    text-overflow:ellipsis;
  }
  .zataz-yt-float__actions{ display:flex; gap:8px; }
  .zataz-yt-float__btn{
    appearance:none;
    border:1px solid rgba(255,255,255,.18);
    background:rgba(0,0,0,.28);
    color:#fff;
    width:32px;
    height:28px;
    border-radius:10px;
    font-weight:900;
    line-height:1;
    cursor:pointer;
    display:grid;
    place-items:center;
  }
  .zataz-yt-float__btn:hover{ background:rgba(255,255,255,.08); border-color:rgba(255,255,255,.28); }
  .zataz-yt-float__btn--close:hover{ background:rgba(239,68,68,.22); border-color:rgba(239,68,68,.45); }

  /* Contenu (votre vignette) */
  .zataz-yt-badge{
    display:block;
    text-decoration:none;
    color:#fff;
  }
  .zataz-yt-badge__thumb{
    display:block;
    height:180px;
    background:#0f172a url("https://i.ytimg.com/vi/HUo8dnD6Swk/hqdefault.jpg") center/cover no-repeat;
    position:relative;
  }
  .zataz-yt-badge__play{
    position:absolute;
    left:50%;
    top:50%;
    width:54px;
    height:54px;
    margin:-27px 0 0 -27px;
    border-radius:999px;
    background:rgba(0,0,0,.55);
    border:1px solid rgba(255,255,255,.25);
    box-shadow:0 10px 22px rgba(0,0,0,.35);
  }
  .zataz-yt-badge__play:before{
    content:"";
    position:absolute;
    left:22px;
    top:16px;
    width:0;height:0;
    border-top:11px solid transparent;
    border-bottom:11px solid transparent;
    border-left:16px solid #fff;
  }

  .zataz-yt-float:hover{
    box-shadow:0 18px 55px rgba(0,0,0,.45);
    border-color:rgba(255,255,255,.18);
  }
  .zataz-yt-badge:active{ transform:scale(.99); }

  /* Etat réduit */
  .zataz-yt-float.is-min .zataz-yt-badge{ display:none; }
  .zataz-yt-float.is-min{ width:260px; }

  /* Mobile : plus compact */
  @media (max-width:480px){
    .zataz-yt-float{ width:280px; right:12px; bottom:12px; }
    .zataz-yt-badge__thumb{ height:158px; }
    .zataz-yt-float.is-min{ width:220px; }
  }
</style>

<script>
(() => {
  const box = document.getElementById('zatazYtFloat');
  const bar = document.getElementById('zatazYtBar');
  const btnMin = document.getElementById('zatazYtMin');
  const btnClose = document.getElementById('zatazYtClose');

  if (!box || !bar || !btnMin || !btnClose) return;

  // Réduire / restaurer
  btnMin.addEventListener('click', (e) => {
    e.stopPropagation();
    box.classList.toggle('is-min');
    btnMin.textContent = box.classList.contains('is-min') ? '▢' : '—';
    btnMin.setAttribute('aria-label', box.classList.contains('is-min') ? 'Restaurer' : 'Réduire');
  });

  // Fermer
  btnClose.addEventListener('click', (e) => {
    e.stopPropagation();
    box.remove();
  });

  // Drag (souris + tactile) via Pointer Events
  let dragging = false;
  let startX = 0, startY = 0;
  let startLeft = 0, startTop = 0;

  // Position initiale: on convertit right/bottom en left/top pour le drag
  const init = () => {
    const r = box.getBoundingClientRect();
    box.style.left = r.left + 'px';
    box.style.top  = r.top  + 'px';
    box.style.right = 'auto';
    box.style.bottom = 'auto';
  };
  init();

  const clamp = (v, min, max) => Math.min(Math.max(v, min), max);

  bar.addEventListener('pointerdown', (e) => {
    // pas de drag quand on clique sur les boutons
    if (e.target === btnMin || e.target === btnClose) return;

    dragging = true;
    bar.setPointerCapture(e.pointerId);

    const r = box.getBoundingClientRect();
    startX = e.clientX;
    startY = e.clientY;
    startLeft = r.left;
    startTop = r.top;

    e.preventDefault();
  });

  bar.addEventListener('pointermove', (e) => {
    if (!dragging) return;

    const dx = e.clientX - startX;
    const dy = e.clientY - startY;

    const r = box.getBoundingClientRect();
    const w = r.width;
    const h = r.height;

    const maxLeft = window.innerWidth - w - 8;
    const maxTop  = window.innerHeight - h - 8;

    box.style.left = clamp(startLeft + dx, 8, maxLeft) + 'px';
    box.style.top  = clamp(startTop + dy, 8, maxTop) + 'px';
  });

  const endDrag = () => { dragging = false; };
  bar.addEventListener('pointerup', endDrag);
  bar.addEventListener('pointercancel', endDrag);

  // Re-clamp au resize
  window.addEventListener('resize', () => {
    const r = box.getBoundingClientRect();
    const maxLeft = window.innerWidth - r.width - 8;
    const maxTop  = window.innerHeight - r.height - 8;
    box.style.left = clamp(r.left, 8, maxLeft) + 'px';
    box.style.top  = clamp(r.top, 8, maxTop) + 'px';
  });
})();
</script>