L’analyse d’une attaque menée contre une PME automobile française révèle qu’un attaquant peu expérimenté peut maintenir des accès persistants, voler des identifiants et reprendre le contrôle plusieurs semaines après la coupure de son serveur C2.
Cato Networks publie une analyse de Cato CTRL portant sur une cyberattaque menée en France entre le 30 mars et le 1er mai 2026. L’opération a ciblé une PME du secteur automobile ainsi que plusieurs particuliers. Elle montre que les petites structures peuvent être exposées à des attaques durables, même lorsque l’attaquant ne dispose pas de moyens avancés.
L’attaquant, identifié sous le pseudonyme « Poisson », présente le profil d’un opérateur peu expérimenté. Il utilise des services gratuits ou peu coûteux, commet des erreurs de sécurité opérationnelle et échoue dans plusieurs de ses tentatives. Pourtant, il parvient à compromettre plusieurs machines, à installer un keylogger, à collecter des identifiants et à mettre en place des accès persistants.
Cette réalité est importante pour les DSI et responsables IT. Les attaques qui touchent les PME ne sont pas toujours menées par des groupes de ransomware structurés ou des acteurs étatiques. Elles peuvent aussi venir d’opérateurs moins qualifiés, mais capables de s’appuyer sur des outils accessibles, des scripts existants et des services légitimes détournés de leur usage.
Dans le cas étudié par Cato CTRL, l’attaquant a installé un keylogger Python afin de collecter les frappes clavier des victimes. L’objectif n’était pas de chiffrer les systèmes ou de voler tous les fichiers disponibles, mais de récupérer des accès à forte valeur immédiate : comptes bancaires, messageries, portails administratifs ou services utilisés au quotidien.
Le point le plus préoccupant concerne la persistance. Le 7 avril, l’attaquant a installé OpenSSH et Tailscale VPN sur une machine compromise. Le lendemain, son serveur de commande et contrôle est devenu indisponible. Mais l’accès aux systèmes est resté actif. Dix-huit jours plus tard, lorsque le C2 est revenu en ligne, les agents se sont reconnectés automatiquement.
Cette séquence montre que la remédiation ne peut pas s’arrêter à la suppression d’un malware ou à la coupure d’un serveur malveillant. Une entreprise doit aussi vérifier si l’attaquant a installé des accès secondaires, créé des tâches planifiées, modifié les paramètres d’alimentation, ajouté des outils d’accès distant ou laissé des mécanismes capables de relancer l’intrusion.
Pour les PME, l’enjeu est autant organisationnel que technique. Beaucoup ne disposent pas de SOC, de MDR ou d’équipe dédiée à la threat intelligence. Elles doivent donc pouvoir s’appuyer sur des contrôles simples, mais efficaces : surveillance des outils d’accès distant, détection des connexions sortantes inhabituelles, contrôle des privilèges élevés et alertes sur les modifications système anormales.
L’analyse de Cato Networks met en évidence un changement important : une attaque peut rester active même lorsque l’infrastructure principale de l’attaquant disparaît. Pour les DSI, la priorité n’est donc plus seulement de bloquer l’intrusion, mais de s’assurer que tous les chemins d’accès laissés par l’attaquant ont bien été identifiés et supprimés.
