Articles / Un log. Toute l’entreprise.

Un log. Toute l’entreprise.

ump — Un mot de passe pourri recent 2026-04-21 · Voir sur Substack ↗

Pas d'image extraite du Substack pour cet article. Les posts seront publiés sans image.
← Retour
📢 Tweet Teaser posted
248 chars
Avec lien Substack · Soir 18h30–20h · 30% du mix

Un attaquant n'a plus besoin de scanner ton infra. Les infostealers le font pour lui. Domaine → 47 identités → VPN → infra interne. Tout ça sans jamais toucher ton périmètre. https://unmotdepassepourri.substack.com/p/un-log-toute-lentreprise

📅 22/06 à 19h07 dans 29j
✓ Publié 22/06 à 19h07
🧵 Thread posted
1505 chars
Lien en dernier tweet seulement · Midi 12h–13h30
1/8

1/ Les logs d'infostealers sont devenus la vraie phase de reconnaissance. Pas de scan. Pas de bruit. Juste des millions de credentials, cookies, URLs agrégés. Tapez un domaine → l'infra remonte toute seule.

2/8

2/ 47 identités corporate compromises. 83 machines analysées. VPN, SSO, M365. Pas besoin de phishing : le credential existe déjà. L'attaquant entre par la porte, avec un badge valide.

3/8

3/ Les URLs enregistrées dans les navigateurs révèlent tout : jenkins.intranet, grafana.ops, citrix.entreprise.fr. Des sous-domaines invisibles en DNS public. L'architecture interne se dessine sans un seul paquet réseau.

4/8

4/ Les credentials VPN dans un log = jackpot. Pas de CVE. Pas de mouvement latéral visible. L'attaquant se connecte comme un utilisateur légitime. Aucun SOC ne tique.

5/8

5/ Bonus : l'analyse statistique des mots de passe. Les patterns de réutilisation permettent de deviner les comptes admin. Entreprise2024! → Admin2024!. C'est systématique.

6/8

6/ Les infostealers cartographient mieux ton SI que ton CMDB. Shadow IT, outils DevOps, portails internes : tout ce que les gens utilisent vraiment, pas ce que la DSI croit contrôler.

7/8

7/ Bilan terrain : un domaine suffit. En 3 min, tu sais qui, où, avec quoi. Les EDR ne voient rien. Les VPN loguent une connexion normale. Le credential a 6 mois mais il marche encore.

8/8

8/ Article complet ici, avec la méthodo exacte et les outils OSINT qu'on utilise en mission : https://unmotdepassepourri.substack.com/p/un-log-toute-lentreprise

📅 29/06 à 13h14 dans 36j
✓ Publié 29/06 à 13h14
💡 Standalone #1 posted
207 chars
Sans lien · Matin 7h30–9h · 70% du mix

Un log d'infostealer sur un poste RH, c'est jenkins.intranet + grafana.ops + le VPN. En 2 min t'as l'archi interne complète. Pas un scan, pas un paquet. Juste les URLs que le gars a enregistrées dans Chrome.

📅 24/06 à 08h31 dans 31j
✓ Publié 24/06 à 08h31
💬 Standalone #2 posted
208 chars
Sans lien · Matin 7h30–9h · 70% du mix

Les infostealers cartographient mieux ton SI que ton CMDB. Shadow IT, portails internes, outils DevOps : tout ce que les gens utilisent vraiment, sans que la DSI le sache. C'est ça la vraie surface d'attaque.

📅 01/07 à 07h33 dans 38j
✓ Publié 01/07 à 07h33
🔥 Provoc posted
202 chars
Sans lien · Valide avant de publier · Soir 18h30–20h

Ton EDR détecte rien. Le VPN logue une connexion normale. Le credential a 6 mois mais marche encore. Les infostealers ont tué la phase de reconnaissance — et personne n'a adapté son modèle de détection.

📅 03/07 à 19h30 dans 40j
✓ Publié 03/07 à 19h30