Articles / Et si votre prochaine intrusion ne venait pas d’un hacker… m

Et si votre prochaine intrusion ne venait pas d’un hacker… mais de votre prestataire ?

ump — Un mot de passe pourri recent 2026-03-31 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
276 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Votre EDR est parfait, votre MFA activé, votre SOC opérationnel. Mais votre prestataire IT, lui, a un RDP ouvert sur Internet et un compte Domain Admin sans MFA. Devine par où ils vont rentrer. https://unmotdepassepourri.substack.com/p/et-si-votre-prochaine-intrusion-ne

📅 21/04 à 19h58 il y a 33j
✓ Publié 21/04 à 19h58
🧵 Thread posted
1699 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Quand une boîte renforce sa sécu (EDR, MFA, segmentation), les attaquants ne forcent plus la porte. Ils sonnent chez le prestataire IT qui a les clés. C'est ça, une attaque supply chain.

2/8

2/ Les MSP et prestataires cumulent souvent : - VPN permanents - Comptes admin AD - Outils RMM (type Kaseya, N-able) - Accès aux serveurs critiques Un seul compte compromis = accès à 50 clients d'un coup.

3/8

3/ Rappel : l'attaque Kaseya/REvil en 2021. Compromission de la console RMM → déploiement de ransomware chez 1500 organisations via leurs MSP. Pas 1500 intrusions. Une seule.

4/8

4/ Ce qu'on voit en pentest : - Comptes prestataires jamais désactivés après fin de mission - MFA absent sur les accès critiques - Pas de segmentation réseau pour les tiers - Aucune supervision SOC sur leurs actions

5/8

5/ Les bons réflexes : Vérifier si ton prestataire utilise : - Bastions dédiés (pas de RDP direct) - MFA matériel obligatoire - Comptes JIT (accès temporaires) - Journalisation centralisée Sinon, c'est toi qui prends le risque.

6/8

6/ Bonus OSINT rapide pour évaluer un fournisseur : subfinder + httpx → services exposés HaveIBeenPwned → fuites de credentials crt.sh → infra cachée via certificats SSL Si tu trouves un Fortinet SSL-VPN non patché… red flag.

7/8

7/ En interne, commence par ça : Get-ADGroupMember "Domain Admins" Si tu vois un compte prestataire dedans, t'as déjà un problème. Ils n'ont JAMAIS besoin d'être DA de façon permanente.

8/8

8/ La sécu, c'est jamais juste ton SI. C'est aussi celle de tous ceux qui y ont accès. Article complet ici 👇 https://unmotdepassepourri.substack.com/p/et-si-votre-prochaine-intrusion-ne

📅 27/04 à 12h15 il y a 27j
✓ Publié 27/04 à 12h15
💡 Standalone #1 posted
213 chars
Sans lien · Matin 7h30–9h · 70% du mix

En pentest, 80% du temps on entre par un compte prestataire oublié dans l'AD. Pas de MFA, dernière connexion il y a 3 ans, toujours dans "Remote Desktop Users". Vous durcissez vos users. Mais vos tiers ? Jamais.

📅 23/04 à 08h44 il y a 31j
✓ Publié 23/04 à 08h44
💬 Standalone #2 posted
192 chars
Sans lien · Matin 7h30–9h · 70% du mix

Votre MSP a un accès RMM qui peut exécuter du code SYSTEM sur 300 postes. Cet accès n'est pas supervisé par votre SOC. Vous appelez ça de la confiance. Un attaquant appelle ça une autoroute.

📅 29/04 à 08h23 il y a 25j
✓ Publié 29/04 à 08h23
🔥 Provoc posted
224 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Les questionnaires ISO 27001 de vos prestataires ne valent rien. Pose plutôt une question : "Vos accès RMM sont protégés par du MFA matériel ou juste un SMS ?" La réponse dit tout. Le reste, c'est du théâtre.

📅 01/05 à 19h44 il y a 23j
✓ Publié 01/05 à 19h44