Recherche
En ce moment En ce moment

/ Cybersécurité

Les helpdesks sous attaque : votre plus grande faille ?

Les agents des helpdesks sont là pour aider et nous préférons tous parler à une personne compréhensive plutôt qu'à un chatbot lorsque nous faisons face à un problème informatique. Malheureusement, c'est précisément cet aspect humain que les cybercriminels cherchent à exploiter lorsqu'ils s'attaquent aux helpdesks. Ils ont recours à des techniques d'ingénierie sociale pour amadouer les agents, les incitant à révéler des identifiants, réinitialiser des mots de passe ou approuver un accès non autorisé.

Publié par le | mis à jour à BRANDVOICE 
Lecture
5 min
  • Imprimer
Les helpdesks sous attaque : votre plus grande faille ?
Getting your Trinity Audio player ready...

Dans cet article, nous vous expliquons comment ils procèdent et vous conseillons pour combler cette brèche dans la chaîne de sécurité, sans pour autant perdre le contact humain.

Attaques récentes contre les helpdesks

La sécurité des helpdesks a récemment fait la une de l'actualité, plusieurs grandes enseignes britanniques ayant été ciblées par le ransomware DragonForce. Dans ces cas, l'accès initial a été obtenu grâce à une technique d'ingénierie au helpdesk, vraisemblablement par le groupe cybercriminel Scattered Spider, basé aux États-Unis et au Royaume-Uni.

  • Marks & Spencer (avril-mai 2025) : Les hackers ont trompé le helpdesk informatique de M&S afin d'obtenir la réinitialisation de mots de passe. Ils ont ainsi accédé aux systèmes de l'entreprise et exfiltré des données personnelles de clients. Cette violation a paralysé les commandes en ligne ainsi que le service de retrait en magasin pendant plus de trois semaines.
  • Co-Op Group (mai 2025) : En suivant un scénario pratiquement identique, les cybercriminels ont convaincu les agents du helpdesk de leur accorder un accès au niveau système. Résultat : des données de contact clients et des identifiants du personnel ont été dérobés, entraînant également des ruptures de stock dans les 2300 magasins de l'enseigne.
  • Harrods (mai 2025) : La célèbre marque de luxe a été la troisième entreprise britannique en moins de deux semaines à faire face à une cyberattaque. Harrods a détecté et bloqué des tentatives d'accès non autorisées (qui seraient également liées à Scattered Spider), avant que des données ne soient compromises.
  • MGM Resorts (septembre 2023) : En 2023, Scattered Spider a passé un appel de "vishing" au helpdesk de MGM Resort. Ils ont trompé les agents afin qu'ils désactivent l'authentification à deux facteurs (2FA) d'un cadre dirigeant, déclenchant ensuite une campagne de ransomware qui a paralysé les réseaux, les distributeurs automatiques, les machines à sous et les systèmes de clés numériques dans les casinos de Las Vegas.

Pourquoi les hackers ciblent-ils vos helpdesks ?

En clair, il est plus rapide et plus simple de manipuler une personne que de mener une attaque technique. Les équipes des helpdesks sont formées pour résoudre les problèmes rapidement et remettre les utilisateurs en activité au plus vite. Les hackers se font passer pour des cadres paniqués ou des prestataires de confiance, puis exploitent des normes sociales comme la serviabilité, le respect de l'autorité ou l'évitement du conflit. Ils utilisent l'empathie, l'urgence et la confiance comme des armes pour pousser le personnel à se précipiter ou à contourner les procédures. Une fois qu'ils ont obtenu un premier accès, ils peuvent passer à l'extension des droits ou au déploiement d'un ransomware.

Comment les attaques d'ingénierie sociale se déroulent-elles ?

  • Reconnaissance : Certains hackers ciblent les helpdesks sans distinction, tandis que d'autres passent des heures à éplucher des sources publiques pour prendre l'avantage (profils LinkedIn, communiqués de presse de l'entreprise, organigrammes, réseaux sociaux).

  • Élaboration du prétexte : Grâce à des informations crédibles (comme l'emplacement des bureaux ou des projets récents de l'entreprise), le hacker monte un scénario plausible dans lequel il prétend avoir perdu l'accès à son compte et demande la réinitialisation de son mot de passe ou l'authentification multifacteur (MFA).

  • L'appel : Le hacker passe à l'action, souvent à un moment stratégique, comme une période de forte activité. Le groupe Scattered Spider, par exemple, a réussi à piéger des entreprises au Royaume-Uni et aux États-Unis grâce à leur maîtrise de l'anglais natif. Certains vont encore plus loin, ils se mettent à utiliser l'IA pour pratiquer le vishing, c'est-à-dire imiter la voix d'un véritable collaborateur de l'entreprise afin de se faire passer pour lui.

  • Créer un sentiment d'urgence et instaurer la confiance : C'est à ce moment-là que le cybercriminel met la pression sur l'agent du helpdesk. Il peut citer le nom d'un client important ou d'un cadre de l'entreprise, ou encore évoquer un projet connu de l'agent pour gagner sa confiance. Il invoque ensuite une fausse urgence liée à une activité critique pour l'entreprise afin de justifier un accès immédiat.

  • Contourner l'authentification multifacteur (MFA) : Lorsque l'agent demande une confirmation via MFA, le cybercriminel affirme ne jamais l'avoir reçue. Il peut aussi prétexter que le téléphone nécessaire est perdu ou en panne. Il demande alors une réinitialisation de la MFA, en évoquant une "validation managériale" et en s'appuyant sur une prétendue procédure interne d'accès d'urgence. L'agent, soucieux et inquiet de retarder le travail d'un cadre, finit par accepter.

  • Réinitialisation des identifiants et remplacement des jetons : L'agent du helpdesk suit la procédure, désactive le dispositif MFA existant et en configure un temporaire. Le hacker reçoit immédiatement la nouvelle notification, la valide en temps réel et confirme la connexion réussie.

  • Point d'ancrage initial : Avec des identifiants valides et une session active, le hacker dispose désormais d'une porte d'entrée dans l'environnement de l'organisation.

Renforcer la vérification ou s'exposer aux intrusions

Les formations et les simulations d'hameçonnage permettent à vos équipes de rester vigilantes et de détecter les écarts par rapport aux procédures. Vous pouvez également appliquer le principe du moindre privilège en limitant par défaut ce que les agents sont autorisés à faire (par exemple, exiger une validation managériale pour les actions à risque, isoler les systèmes de tickets des bases de données d'identité et conserver une trace de chaque étape). Mais pour vraiment accompagner vos agents dans chaque interaction, le plus efficace reste de leur fournir les outils nécessaires pour appliquer une vérification systématique.

Sans vérification rigoureuse de l'identité, votre helpdesk devient une porte d'entrée pour les hackers qui exploitent la confiance humaine. Imposer une vérification ajoute une barrière supplémentaire capable de déjouer même les scénarios les plus convaincants. Specops Secure Service Desk intègre la vérification multifacteur, l'évaluation du risque en temps réel et des processus de contrôle personnalisables, pour que vos équipes puissent vérifier l'identité avec assurance et bloquer l'ingénierie sociale dès le premier contact.

En intégrant ces contrôles à chaque demande de réinitialisation de mots de passe, d'extension des droits ou de session à distance, vous réduisez considérablement la surface d'attaque humaine. Vous souhaitez voir comment Secure Service Desk peut s'intégrer à votre environnement ? Réservez une démonstration en direct.

Sur le même thème

Voir tous les articles Cybersécurité

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine Se connecter
Retour haut de page