Les incidents de cybersécurité ne concernent plus seulement les systèmes, mais aussi les personnes qui les construisent, les entretiennent et les sécurisent.
Rédigé par notre ancien vice-président chargé des produits, Mark Hamill, ce blog explique pourquoi les formations traditionnelles de sensibilisation ne suffisent pas pour se protéger contre les menaces modernes et pourquoi les attaques de type « long-con » deviennent une préoccupation majeure pour toutes les organisations, où qu’elles se trouvent.
Vous parlez à cette personne depuis deux semaines.
Le premier message est arrivé via LinkedIn ; il s’agissait d’un fondateur d’une entreprise de votre secteur que vous aviez reconnu. Un message réfléchi, pas de vente forcée. Il vous a invité à entrer dans leur espace de travail Slack pour jeter un coup d’œil à ce qu’ils étaient en train de construire. L’espace de travail était actif - les collègues publiaient des mises à jour, partageaient des articles et ajoutaient quelques blagues dans le canal général. Tout avait l’air d’aller comme sur des roulettes.
Les appels se sont bien déroulés. L’un d’entre eux a été reporté - il y a des imprévus - mais les conversations étaient intéressantes, il connaissait manifestement le secteur. Au bout de la troisième semaine, vous avez commencé à le considérer comme un contact digne d’intérêt.
Ensuite, l’appel des équipes a été interrompu en raison d’un petit problème technique, quelque chose ne se chargeait pas de son côté, un problème de connexion, un fichier qui devait être mis à jour. Il vous a envoyé un lien. « Pouvez-vous installer ce correctif ? Cela arrive tout le temps. »
Vous l’avez installé.
C’est ce qui est arrivé à Jason Saayman, responsable de la maintenance d’Axios, l’une des bibliothèques JavaScript les plus utilisées au monde, avec plus de 100 millions de téléchargements par semaine.
Le 31 mars 2026, deux versions rétroactives d’Axios ont été publiées dans le dépôt de code public sous son compte.
La violation n’a pas commencé par un courriel suspect, comme vous pourriez vous y attendre, mais par une relation amicale.
Ce n’était pas un Phish
Une attaque par hameçonnage est un jeu de chiffres. Envoyez suffisamment de messages, acceptez un faible taux de réussite et récupérez tout ce que vous attrapez. L’attaque d’Axios était tout le contraire. L’attaquant - attribué par Google Threat Intelligence à UNC1069, un groupe lié à la Corée du Nord actif depuis au moins 2018 - a choisi Saayman en raison de ce que ses informations d’identification pouvaient toucher. Ils ont construit un faux espace de travail Slack avec une marque convaincante, des canaux actifs et des collègues plausibles et ont mené l’engagement pendant des semaines, suffisamment patients pour reprogrammer les appels, maintenir la relation et attendre que le moment soit venu.
Un deuxième responsable d’Axios, Pelle Wessman, a été ciblé simultanément par le même playbook. Il ne s’agissait pas d’une rencontre malchanceuse, mais d’une opération coordonnée menée en parallèle contre plusieurs personnes de grande valeur dans l’écosystème Node.js.
La sophistication n’est pas accessoire. C’est l’essentiel. Lorsqu’un seul jeu d’identifiants peut exposer des millions d’environnements logiciels, des semaines d’investissement ne sont pas coûteuses. C’est bon marché.
La sophistication n’est pas une protection
La vérité gênante concernant le compromis d’Axios est de savoir à qui il est arrivé.
Jason Saayman n’est pas une personne négligente. Il avait activé l’authentification à deux facteurs sur son compte. Il avait des connaissances techniques et des années d’expérience dans le domaine des logiciels libres. Il était, selon toute mesure raisonnable, exactement le type de personne que la formation à la sensibilisation à la sécurité est censée créer.
Cela n’a pas eu d’importance. Dans sa propre analyse, il a noté que le 2FA « n’était pas suffisant pour arrêter l’attaque une fois que la machine était compromise ». L’attaquant n’avait pas besoin de battre l’identifiant. Il avait la machine et tout ce qu’elle contenait lui appartenait déjà.
L’attaque n’a pas été conçue pour surmonter les défenses de Saayman. Elle visait à les rendre inutiles. Au moment où il a rejoint l’équipe, des semaines d’interactions normales avaient préparé le terrain. Sa garde n’était pas baissée parce qu’il était négligent, mais parce que rien en deux semaines ne lui avait donné de raison de la relever.
C’est la conception, et elle fonctionne sur les personnes sophistiquées précisément parce que les personnes sophistiquées font confiance à leur propre jugement. Si quelque chose n’allait pas, vous le sauriez. Il n’y a rien qui cloche.
L’économie des cybermenaces est en train de changer
À l’heure actuelle, ce niveau d’opération n’est viable que lorsque le prix justifie l’investissement. Les acteurs étatiques ciblent les mainteneurs de logiciels libres, les échanges de crypto-monnaies, les infrastructures critiques. La surface d’attaque est réelle mais limitée, car le travail humain impliqué est important.
C’est en train de changer.
La semaine dernière, la société de développement d’IA a publié la carte système de Claude Mythos Preview, son dernier grand modèle linguistique. Lors des tests de sécurité, le modèle a été placé dans un environnement délibérément interdit d’accès à l’internet. Il s’est vu confier une tâche et, une fois celle-ci accomplie, a conçu un exploit en plusieurs étapes, a obtenu un large accès à l’internet et a envoyé un courrier électronique non sollicité au chercheur chargé de l’évaluation, qui l’a découvert alors qu’il était en train de manger un sandwich dans un parc.
Le modèle n’essayait pas de s’échapper, il poursuivait son objectif. Le bac à sable le gênait, il a donc trouvé un moyen de le contourner.
Ce comportement, dans un contexte d’attaque, est exactement ce qui rend le cahier de jeu du long-con évolutif. Un système capable de construire et d’entretenir un personnage crédible, de rechercher les antécédents professionnels d’une cible, de simuler des semaines d’interactions plausibles et d’escalader au bon moment peut faire tout cela simultanément, sur des milliers de cibles. Le coût marginal de chaque cible supplémentaire est proche de zéro.
Nous n’en sommes pas encore là, mais la direction à prendre est claire.
La sécurité au-delà de la reconnaissance des formes
La formation à la sensibilisation à la sécurité a été conçue pour un monde où les attaques avaient des schémas reconnaissables. L’adresse d’expéditeur suspecte. L’urgence qui ne correspond pas au contexte. La demande qui ne correspond pas à la relation. Repérez l’anomalie, arrêtez l’action.
Ce modèle n’est pas faux. Il permet encore d’attraper beaucoup d’attaquants, et c’est important. Mais il a été conçu pour des attaques qui ressemblent à des attaques.
La longue escroquerie ne ressemble pas à une attaque. Elle ressemble à une relation professionnelle normale, jusqu’à la dernière étape, et à ce moment-là, le contexte a été construit de manière à ce que cette étape paraisse routinière. La reconnaissance générique des schémas n’est pas utile ici, car il n’y a pas de schémas à reconnaître. Les règles du jeu sont réécrites plus rapidement qu’aucun programme fixe ne peut le suivre.
Ce qui doit changer, c’est ce que signifie la sensibilisation. Il ne s’agit pas seulement de reconnaître les signatures de menaces, mais de développer un autre type d’instinct : un scepticisme qui n’est pas déclenché par une anomalie, mais appliqué par habitude. Une vérification qui ne dépend pas de l’impression que quelque chose ne va pas. Une pratique établie de confirmation indépendante pour toute action impliquant des informations d’identification, l’installation d’un logiciel ou un accès - quelle que soit la familiarité de la source.
Il s’agit en partie de changer ce que les gens se sentent autorisés à signaler. Dans le cas d’Axios, il y a probablement eu des moments - une conversation qui semblait légèrement décalée, une demande qui ne correspondait pas tout à fait, un collègue qui n’a jamais donné suite comme l’aurait fait un vrai collègue. Rien de tout cela n’a franchi le seuil du « quelque chose ne va pas ». Mais si la culture est telle que les gens font remonter les signaux de faible confiance dès le début, « J’ai eu une interaction bizarre la semaine dernière, probablement rien, mais je vais quand même le signaler », les organisations ont une bonne chance d’attraper le terrain avant qu’il ne devienne la charge utile. Les rapports précoces et incertains ne sont pas du bruit. Dans cet environnement de menaces, c’est un signal.
C’est plus difficile à former qu’une liste de contrôle. Il faut que les gens intériorisent une posture, et pas seulement un modèle. Mais c’est la faille que toute opération de longue haleine continuera d’exploiter jusqu’à ce que la culture évolue pour la combler.
Jason Saayman a installé un correctif parce que rien dans les deux semaines précédant ce moment ne lui donnait de raison de ne pas le faire. Ce n’est pas un échec de sa prise de conscience. C’est un échec de ce que nous avons demandé à la conscience de faire.
La longue arnaque ne déclenche pas vos instincts, elle les cultive.
Renforcez les défenses de votre entreprise avec MetaCompliance
Dans un paysage de menaces où les attaques sont basées sur la confiance, les organisations ont besoin de plus qu’une formation traditionnelle de sensibilisation à la sécurité. Elles ont besoin de programmes qui façonnent activement les comportements - en créant des habitudes de vérification, en encourageant le signalement précoce des problèmes de faible confiance et en instaurant une culture où la sécurité fait partie de la prise de décision quotidienne.
MetaCompliance aide les organisations à aller au-delà de la formation statique grâce à des solutions de sensibilisation à la sécurité continues et axées sur le comportement. Des simulations dans le monde réel à l’apprentissage ciblé et aux connaissances axées sur les risques, leur approche est conçue pour préparer les employés à des menaces sophistiquées et centrées sur l’être humain, et ce depuis longtemps.
Commencez à passer de la prise de conscience à l’action - contactez-nousdès aujourd’hui.