La commercialisation des outils d’attaque met des techniques avancées à portée d’acteurs non spécialisés

Ce qu’il faut retenir

Les techniques d’attaque avancées (session hijacking, bypass MFA, AiTM) ne sont plus réservées aux APT ou aux groupes cybercriminels sophistiqués. Elles sont packagées, vendues en abonnement, livrées avec une interface graphique, du support Telegram, et une gestion d’équipes. Le niveau d’entrée s’est effondré.

Ce modèle — MaaS (Malware-as-a-Service), PhaaS (Phishing-as-a-Service), RaaS (Ransomware-as-a-Service) — implique une division du travail : les développeurs créent et maintiennent l’outil, les opérateurs l’utilisent, les affiliés le distribuent. Chaque rôle est spécialisé, le risque est mutualisé.

La menace ne vient plus seulement d’acteurs étatiques ou de groupes élites. Elle vient aussi d’individus avec $900/mois et une connexion internet. La sophistication des outils ne reflète plus la sophistication des attaquants.

Illustrations

Cas 1 : Storm infostealer — modèle MaaS (2026)

Ce qui s’est passé : Storm est vendu sur des forums cybercriminels à $300(d\acute{e}mo7jours),$900/mois (standard), $1800/mois (équipe de 100 opérateurs, 200 builds). Le panel inclut gestion de logs, restauration de session, détection automatique par service (Google, Facebook, cPanel…). Les builds continuent de fonctionner après expiration de l’abonnement — les victimes restent compromises indéfiniment.

Pourquoi c’est arrivé : Le marché cybercriminel suit les mêmes logiques que le marché SaaS légitime : abonnements, interface utilisateur, support, mises à jour. La barrière technique a été externalisée vers les développeurs du tool.

Conséquences : Des acteurs sans expertise technique peuvent lancer des campagnes de vol de credentials sophistiquées pour moins de $1000/mois. Le volume d’attaques augmente mécaniquement avec l’accessibilité.

Cas 2 : SessionShark — PhaaS avec support Telegram (2025)

Ce qui s’est passé : SessionShark est un kit de phishing AiTM vendu en SaaS avec interface de gestion, logs en temps réel via Telegram, antibot intégré, compatibilité Cloudflare, et… support client. Les créateurs le présentent comme “à des fins éducatives” pour une dénégation plausible sur les forums.

Pourquoi c’est arrivé : Le marché PhaaS reproduit les pratiques du SaaS légitime (documentation, support, mises à jour) pour maximiser l’adoption. La commercialisation réduit le temps de mise en œuvre pour les acheteurs.

Conséquences : Un acteur sans compétence en développement peut déployer une attaque AiTM bypass-MFA contre M365 en quelques heures.

Articles liés

• The silent Storm — BleepingComputer — angle : Storm, pricing, modèle MaaS
• SessionShark — Varonis Threat Labs — angle : PhaaS, marketing cybercriminel, support Telegram
• Cookie-Bite — Varonis Threat Labs — angle : écosystème MaaS documenté (opérateurs, affiliés, marchés darknet, acheteurs)

Principes liés

• Voler une session authentifiée est plus précieux que voler un mot de passe — elle bypasse le MFA et donne un accès immédiat
• Compromettre un mainteneur de package populaire revient à compromettre tous les projets qui en dépendent