Les cyberattaques ne commencent plus toujours par une faille technique ou un mail de phishing. De plus en plus souvent, elles débutent par un virement en cryptomonnaie et une poignée de messages échangés sur le darknet. Selon les travaux récents de Check Point, les cybercriminels recrutent désormais des employés à l’intérieur même des organisations.
Le cybercrime change de porte d’entrée
Pendant des années, les entreprises ont renforcé leurs remparts : segmentation réseau, EDR, MFA, Zero Trust. Mais une tendance lourde vient fragiliser ces architectures pourtant sophistiquées. Les attaquants ne cherchent plus uniquement à contourner les systèmes, ils achètent l’accès à ceux qui les utilisent. Banques, télécoms, entreprises technologiques : aucun secteur critique n’est épargné.
Dans ses observations, Check Point décrit un glissement clair des modes opératoires. Les forums du darknet et certaines messageries chiffrées regorgent d’annonces visant explicitement des salariés disposant d’accès légitimes à des environnements internes, des outils cloud ou des bases de données sensibles. « Lorsqu’un employé désactive volontairement des mécanismes de sécurité ou transmet des identifiants valides, l’attaque devient presque indétectable », souligne l’équipe de recherche.
L’industrialisation du recrutement interne
Les annonces analysées sont souvent brèves, directes, presque banalisées. Elles proposent des rémunérations allant de quelques milliers à plusieurs dizaines de milliers de dollars pour un accès ponctuel, une extraction de données ou une action ciblée. Certaines vont plus loin et cherchent à instaurer des relations durables, assimilables à un emploi parallèle, avec des paiements réguliers.
Dans un message repéré à l’été dernier, un groupe incitait des employés à « échapper au cycle sans fin du travail » en collaborant avec des acteurs cybercriminels, promettant des gains à cinq ou six chiffres. Une rhétorique qui mêle opportunisme financier, manipulation psychologique et, parfois, ressentiment professionnel.
Banques et finance : des cibles structurelles
Sans surprise, le secteur financier reste l’un des plus convoités. Des annonces proposent des rémunérations élevées pour des accès aux systèmes bancaires, à des historiques de transactions ou à des infrastructures centrales. Certaines visent même des institutions monétaires ou leurs partenaires, avec une logique d’exploitation à grande échelle.
Pour les attaquants, la valeur d’un insider bancaire ne réside pas uniquement dans la donnée, mais dans la capacité à rendre une attaque crédible, rapide et difficilement attribuable. « Un accès interne permet de court-circuiter des mois de préparation technique », rappellent les chercheurs de Check Point.
Cryptomonnaies et plateformes numériques sous pression
Les plateformes d’échange de cryptomonnaies figurent également en bonne place dans ces campagnes de recrutement. L’objectif est double : accéder à des fonds, mais aussi à des bases clients massives permettant des attaques ciblées ultérieures. Certaines offres mentionnent explicitement la vente de jeux de données complets, incluant des millions de profils utilisateurs, pour des montants dépassant les 20 000 dollars.
Au-delà de la finance, des entreprises technologiques grand public et des fournisseurs cloud apparaissent régulièrement dans ces annonces. Leur rôle dans la chaîne de valeur numérique en fait des points d’entrée idéaux vers des écosystèmes entiers.
Télécoms et logistique : des maillons humains critiques
Les opérateurs télécoms sont particulièrement exposés via les schémas de SIM swapping. En recrutant un employé capable de réassigner un numéro ou d’intercepter des communications, les cybercriminels peuvent contourner l’authentification multifacteur et prendre le contrôle de comptes sensibles. Les montants proposés témoignent de l’efficacité redoutable de ces attaques.
Dans la logistique, d’autres formes de compromission émergent. Accès aux systèmes de suivi, manipulation de contrôles douaniers ou redirection de cargaisons : là encore, l’intervention humaine fait toute la différence.
Ransomware : l’insider comme accélérateur
Le phénomène ne se limite pas aux marchés clandestins classiques. Certains groupes de ransomware recrutent ouvertement des insiders, des courtiers d’accès ou même des pentesters sur des plateformes chiffrées. L’objectif est clair : multiplier les points d’entrée et industrialiser les campagnes d’extorsion.
« L’insider devient un accélérateur de ransomware », résume Check Point. Une fois l’accès obtenu, le chiffrement, l’exfiltration et la négociation peuvent s’enchaîner à une vitesse incompatible avec les temps de réaction traditionnels des SOC.
Les motivations des employés impliqués sont multiples, appât du gain, pression financière, ressentiment, idéologie, et rendent la menace difficile à modéliser. Cette dynamique rejoint et prolonge une autre tendance déjà observée : l’utilisation des deepfakes pour infiltrer les entreprises via le recrutement. Nous rappelions au mois d’octobre que des attaquants usent de visages synthétiques, de faux CV et d’entretiens générés par IA pour se faire embaucher comme développeurs, ingénieurs ou spécialistes cyber, obtenant ainsi un accès légitime aux systèmes d’information avant de déployer leurs opérations malveillantes.
