Archives par mot-clé : amazon

backdoor, Cybersécurité, Entreprise, Securite informatique

APT29 : la Russie piège le web avec des attaques « watering hole »

Une fausse page Cloudflare, un clic de routine, et l’espionnage commence. Les attaques de l’APT29 révèlent comment Moscou transforme les sites légitimes en armes numériques.

Le groupe APT29, lié au renseignement extérieur russe (SVR), a mis en place une nouvelle campagne d’attaques « watering hole » dévoilée par Amazon. En compromettant des sites populaires, ils ont piégé aléatoirement une partie des visiteurs avec de fausses pages de sécurité imitant Cloudflare. Derrière cette ruse, l’objectif n’était pas de voler des mots de passe mais d’exploiter l’authentification Microsoft pour obtenir un accès persistant aux comptes. L’opération illustre l’évolution constante des méthodes de l’APT29, déjà impliqué dans des campagnes contre universitaires, ONG et opposants russes. Elle met en évidence une stratégie de collecte de renseignement à grande échelle, jouant sur la confiance des internautes.

La patience des prédateurs

Le groupe APT29, aussi appelé Midnight Blizzard, n’agit pas comme un simple collectif cybercriminel. Ses opérations sont attribuées au Service de renseignement extérieur russe (SVR), héritier des réseaux d’espionnage de la guerre froide. Désormais, les agents ne déposent plus de messages secrets sous un banc public. Ils infiltrent des sites fréquentés chaque jour par des internautes ordinaires et attendent patiemment que leurs cibles idéales se présentent.

Amazon a révélé que cette opération récente reposait sur une stratégie de long terme. Plutôt que d’attaquer un seul organisme, les pirates ont compromis plusieurs sites de confiance, laissés en apparence intacts. Puis, ils ont installé un mécanisme sélectif : seuls 10 % des visiteurs étaient redirigés vers une fausse page Cloudflare, ce qui rendait la manœuvre difficile à détecter. Le reste du trafic continuait normalement, réduisant fortement les soupçons.

Ce choix tactique traduit la sophistication de l’APT29 : ils ne cherchent pas la masse mais la précision. L’approche aléatoire permet de collecter des profils variés, parmi lesquels certains deviennent de véritables cibles stratégiques.

L’art technique et psychologique

Le danger de l’APT29 ne réside pas uniquement dans ses liens présumés avec le SVR, mais dans sa maîtrise conjointe de la technique et de la psychologie des victimes. Le code malveillant, soigneusement analysé par Amazon, utilisait un encodage base64 pour échapper aux détections automatiques. Des cookies étaient placés pour éviter qu’un utilisateur redirigé une première fois le soit de nouveau, ce qui aurait éveillé les soupçons.

La copie des pages de vérification Cloudflare était parfaite : couleurs, logos, interface. Aux yeux d’un internaute pressé, tout semblait légitime. Mais le but n’était pas de capturer des identifiants saisis dans un formulaire. L’APT29 exploitait un mécanisme légal de Microsoft : le « device code authentication ». En incitant les victimes à autoriser un nouvel appareil, ils obtenaient un accès direct et durable aux comptes Microsoft des cibles, avec courriels, documents et données sensibles incluses.

Cette approche illustre une tendance croissante : détourner les fonctionnalités existantes plutôt que créer des malwares visibles. Le faux se mêle au vrai, et c’est l’utilisateur, confiant, qui ouvre lui-même la porte.

Un jeu du chat et de la souris permanent

Amazon a tenté de neutraliser l’opération en supprimant les domaines piégés. Mais l’APT29 a immédiatement rebondi, transférant ses infrastructures vers un autre fournisseur cloud et enregistrant de nouveaux noms de domaine, dont « cloudflare.redirectpartners.com ». Cette réactivité explique pourquoi ils figurent parmi les acteurs les plus persistants du cyberespionnage mondial.

Ce n’est pas une première. En octobre 2024, Amazon avait déjà interrompu une tentative d’usurpation de ses propres services par le groupe russe. En juin 2025, Google avait signalé des campagnes de phishing contre chercheurs et critiques du Kremlin. Chaque épisode montre une adaptation rapide, une volonté d’apprendre de ses échecs et une extension progressive du champ d’action.

L’APT29 ne vise pas une opération unique. Il perfectionne un modèle, teste ses armes numériques, observe les réactions adverses et prépare déjà la prochaine vague.

Le facteur humain au cœur de la manœuvre

Cette campagne ne se distingue pas par une complexité technique extrême. Elle se distingue par sa capacité à exploiter la confiance. Les sites étaient authentiques. Les pages de sécurité paraissaient ordinaires. Les demandes d’autorisation venaient de Microsoft.

Tout reposait sur un principe simple : inciter les gens à suivre ce qui semblait être la procédure normale. C’est pourquoi la formation en cybersécurité atteint vite ses limites. Expliquer qu’il faut « se méfier de tout » reste théorique. En pratique, un employé cherchant un document ou un particulier voulant lire ses courriels cliquera souvent sans réfléchir. C’est cette normalité apparente qui rend l’attaque redoutable.

Derrière, les conséquences dépassent la simple compromission d’un compte personnel. L’échantillon aléatoire de victimes peut contenir des fonctionnaires, des contractants de la défense, des journalistes ou des militants. Autant de profils qui intéressent directement Moscou dans une logique de renseignement.

Cette campagne montre que la guerre de l’information ne passe plus uniquement par les réseaux diplomatiques ou militaires. Elle s’insinue dans les gestes banals du numérique quotidien. La vraie question est donc la suivante : jusqu’où les acteurs étatiques comme l’APT29 peuvent-ils exploiter la routine des internautes avant que les systèmes de défense collectifs ne s’adaptent ?

backdoor, Cyber-attaque, Cybersécurité, Entreprise, Espionnage Spy, Piratage

Amazon déjoue une attaque sophistiquée d’APT29

Amazon a bloqué une opération de watering-hole d’APT29, visant à subtiliser des identifiants Microsoft grâce à des sites compromis, du JavaScript obfusqué et des redirections sélectives.

Amazon a neutralisé une campagne d’APT29, groupe lié au renseignement russe, qui exploitait des sites web compromis pour piéger des connexions Microsoft. Les assaillants utilisaient du JavaScript obfusqué et des mécanismes de redirection conditionnelle afin de tromper une partie des visiteurs. Près de 10 % du trafic était renvoyé vers des domaines contrôlés par l’attaquant, imitant Cloudflare pour capter les identifiants via le flux d’authentification par code d’appareil de Microsoft. Amazon a isolé les instances malveillantes et collaboré avec Microsoft et Cloudflare pour interrompre les infrastructures frauduleuses. Aucun système AWS n’a été compromis. Cette opération illustre le raffinement technique d’APT29 et la réponse coordonnée nécessaire pour contrer ces campagnes.

Attaque sur des sites légitimes

En août, plusieurs sites web authentiques ont été piégés par l’ajout d’un script JavaScript malveillant. Ce code, fortement obfusqué, recourait à l’encodage base64 pour masquer ses fonctions et compliquer l’analyse. Sa mission : déterminer si l’utilisateur devait être redirigé vers une infrastructure contrôlée par APT29. Seule une minorité de visiteurs, environ 10 %, était ciblée, réduisant le risque de détection. Les victimes aboutissaient sur un domaine imitant une vérification Cloudflare, notamment findcloudflare[.]com. Cette fausse étape permettait d’exploiter le flux d’authentification par code de périphérique de Microsoft et d’intercepter les tentatives de connexion.

L’activité a été repérée sur des instances EC2 utilisées à des fins malveillantes. Amazon a immédiatement isolé ces serveurs, bloqué leurs communications et engagé une coopération avec Cloudflare et Microsoft. Ensemble, ils ont procédé à la désactivation rapide des domaines frauduleux. Chaque fois qu’APT29 tentait de rétablir son infrastructure avec de nouveaux serveurs ou domaines, l’alliance technique permettait une coupure immédiate. Amazon a assuré qu’aucun système interne n’avait été touché par la campagne.

Tactiques techniques et sophistication

Les techniques employées confirment le niveau avancé d’APT29. Le JavaScript obfusqué rendait son contenu difficile à déchiffrer, dissimulant les instructions de redirection. Des redirections côté serveur permettaient d’alterner les comportements selon l’adresse IP, l’agent utilisateur ou le fuseau horaire du visiteur. L’usage de cookies servait à limiter la fréquence des redirections, empêchant un analyste de reproduire facilement le scénario d’attaque. Cette approche réduisait fortement les traces visibles et rendait l’infection plus persistante. Enfin, la rotation d’infrastructures, avec migration rapide entre domaines et serveurs compromis, ajoutait une résilience opérationnelle. Ces choix tactiques révèlent un objectif clair : espionner durablement sans attirer l’attention des défenses automatisées.

APT29, affilié au SVR russe, multiplie les campagnes contre les cibles stratégiques. Après des tentatives de phishing imitant AWS en 2024 et une campagne contre chercheurs et universitaires en 2025, le groupe renforce ses méthodes. Le recours à l’obfuscation avancée et aux redirections sélectives montre une stratégie d’ingénierie discrète, adaptée aux environnements cloud et aux services massivement utilisés. L’objectif reste constant : collecter des identifiants pour pénétrer des réseaux sensibles.

Les autorités américaines ont saisi deux domaines utilisés par le service de renseignement russe SVR (APT29/Cozy Bear) dans une vaste campagne de piratage. En mai 2021, les attaquants ont compromis un compte de l’USAID sur Constant Contact pour envoyer près de 3 000 e-mails piégés à plus de 150 organisations dans 24 pays. Les liens redirigeaient vers theyardservice[.]com, qui distribuait un malware installant Cobalt Strike. Les communications passaient aussi par worldhomeoutlet[.]com. Déjà en mai 2018, les États-Unis avaient saisi des domaines liés au botnet VPNFilter d’APT28. Microsoft a mené des actions similaires en 2018 et 2021.

L’affaire démontre la capacité d’APT29 à développer des outils furtifs et l’importance d’une veille proactive pour détecter l’obfuscation et les redirections conditionnelles. Jusqu’où ces techniques d’évasion, à la frontière entre espionnage discret et attaques massives, peuvent-elles encore progresser face aux systèmes de défense automatisés ?

Cybersécurité, Entreprise

Les faux avis positifs, de faux amis pour les distributeurs et commerçants

69 % des consommateurs français estiment que c’est aux professionnels du secteur de la distribution que revient le soin de mettre en place des règles pour lutter contre les faux avis. Ceci alors que la directive Omnibus est entrée en vigueur le 28 mai 2022, renforçant l’arsenal des mesures contre ces avis tronqués.

C’est dans ce contexte qu’Amazon vient d’attaquer pénalement un courtier italien en faux avis en octobre 2022 : une première en Europe. Selon l’accusation, le courtier mettait en relation des vendeurs et des clients d’Amazon, publiant des avis notés cinq étoiles en échange du remboursement intégral du produit en faveur du client.

Ce procédé est non seulement illégal mais aussi contreproductif. La présence de faux avis positifs engendre une perte de confiance en la marque selon 38 % des personnes sondées par Bazaarvoice. Les consommateurs peuvent se détourner complètement des produits d’une marque s’ils détectent ne serait-ce qu’un avis frauduleux, qu’il soit positif ou négatif (23 %).

Android, backdoor, Cybersécurité, Espionnae, ID, Identité numérique, IOT, Leak, Particuliers, Piratage, Securite informatique, Smartphone, Téléphonie

Amazon retire de la vente des smartphones Chinois BLU

La boutique en ligne Amazon vient de retirer de la vente des smartphones Chinois de la marque BLU. Un logiciel espion y était caché à l’insu du constructeur !

Les téléphones portables BLU ont le blues ! Les smartphones sont des cibles privilégiées dès que cela concerne l’interception de données. Des sociétés se sont spécialisées dans ce genre d’agissement, comme l’entreprise Chinoise Adups. Cette entreprise avait diffusé, il y a quelques mois, un spyware via des smartphones sortis d’usine. L’éditeur de solutions de sécurité informatique Kryptowire avait découvert en octobre 2016 qu’ADUPS avait équipé des téléphones portables à petit prix de son spyware et récupérait de nombreuses données personnelles via les téléphones infiltrés dont les messages, et les appels.

Dix mois plus tard, l’espion d’ADUPS a été modifié et de nouveau caché dans des smartphone low-cost dont ceux de la société BLU. Un spyware caché dans la chaîne d’assemblage des appareils. Le problème pour Adups est qu’une fois encore, son petit manège a été détecté par Kryptowire qui a expliqué le fonctionnement de cet espionnage lors du Black Hat de Las Vegas, l’avant DEF CON. Seulement, cette fois, un dommage collatéral vient d’apparaître.

L’un des fabricants de téléphone, lui même piégé cette infiltration, vient de voir ses téléphones interdits à la vente sur Amazon. La cyber boutique américaine a retiré de son référencement l’intégralité des produits de BLU.

Chiffrement, cryptage, Cybersécurité, Logiciels, Mise à jour, Patch, Wordpress, Wordpress

Double authentification pour Amazon

2 commentaires

Le site de vente en ligne Amazon propose une nouvelle sécurité, la double authentification. Explication !

Comme DataSecurityBreach.fr a déjà pu vous le proposer pour DropBox, gMail, Facebook, Youtube… la sécurité par double authentification est devenue une obligation aujourd’hui. « L’attaque est le secret de la défense, la défense permet de planifier une attaque. » comme le dit l’adage. La double authentification permet de créé un second mot de passe via votre téléphone portable, valable quelques secondes, en plus de votre identifiant de connexion de base. Bilan, si votre mot de passe est subtilisé, le pirate ne pourra pas l’utiliser. Il faut les deux identifiants pour accéder à votre compte. Amazon vient de rentrer dans cette grande famille. DataSecurityBreach.fr vous conseille fortement de l’utiliser.

Mode d’emploi double authentification Amazon

D’abord, connectez-vous à votre compte Amazon. Ensuite, dans « Your Account« , dirigez-vous vers les options de modification de votre compte « Change Account Settings« . Choisissez ensuite « Advanced Security Settings« . C’est dans cette option qu’il va vous être possible de créer la double authentification Amazon. Intéressant, Amazon propose deux sécurités. D’abord par le logiciel Authenticator, et par SMS. Bilan, dès que vous souhaitez vous connecter, Amazon vous contactera par l’un de ces deux moyens.

A noter qu’il est possible d’utiliser cette double authentification pour votre blog, site Internet, Steam, Cloudflare, Gandi ou encore OVH.

Argent, Arnaque, Cybersécurité, escroquerie, Justice, Particuliers, Social engineering

Amazon traque les faux avis 5 étoiles

Amazon vient de tirer à boulet rouge sur les avis de faux consommateurs. Le géant américain en aurait découvert un millier qui se feraient payer le « 5 étoiles ».

Avoir des avis positifs sur Internet, c’est gage de qualité, de service rendu. Seulement, les faux avis positifs sont nombreux, très nombreux. Amazon vient d’indiquer qu’il en avait repéré plusieurs centaines. Ces derniers passeraient par le site Fiverr.com. Un portail qui permet de vendre « son avis ». Les avis 5 étoiles sont vendus, par exemple, 5 dollars. Amazon a déposé plainte contre X et espère faire disparaître le site, comme ce fût le cas pour buyamazonreviews.com, bayreviews.net et buyreviewsnow.com.