L’année 2024 a marqué un tournant dans le paysage de la cybersécurité. Plus que jamais, les cybercriminels ont su innover, tirant profit de l’intelligence artificielle, des environnements cloud et de la négligence humaine pour contourner les défenses. Derrière les attaques spectaculaires, ce sont souvent des tactiques discrètes mais redoutablement efficaces qui ont permis aux attaquants de s’introduire dans les systèmes d’information. Retour sur les TTPs (Tactiques, Techniques et Procédures) qui ont marqué l’année 2024.
Cyberattaques en 2024 : top 5 des TTPs
1. L’IA, nouveau levier des attaquants
2024 aura été l’année de la démocratisation de l’intelligence artificielle… aussi chez les cybercriminels. Un chiffre résume l’ampleur du phénomène : 87 % des professionnels interrogés par SoSafe déclarent avoir été confrontés à des cyberattaques pilotées par l’IA.
Qu’il s’agisse de générer des e-mails d’hameçonnage crédibles, d’automatiser la reconnaissance d’infrastructure ou de concevoir des malwares capables d’évoluer en temps réel pour éviter leur détection, l’IA a transformé la chaîne d’attaque. Elle est désormais utilisée par tous types d’acteurs, des APT aux script kiddies, pour renforcer la rapidité, la précision et l’ampleur des offensives.
2. Infostealers et vol massif d’identifiants
Le vol d’identifiants reste le premier point d’entrée des cyberattaques en 2024, avec près d’un quart des intrusions initiales reposant sur cette technique. En cause : la généralisation des infostealers comme Lumma, RisePro ou Stealc, souvent accessibles pour quelques dizaines d’euros sur le dark web via des offres de type Malware-as-a-Service (MaaS).
L’impact est colossal : Forbes estime à 3,9 milliards le nombre de mots de passe accessibles en 2024. Pire, les données volées sont souvent réutilisées à l’identique entre sphères pro et perso, et servent de tremplin à des attaques plus complexes. Certaines campagnes ont même abusé de l’image de ChatGPT ou de jeux vidéo pour inciter les utilisateurs à s’infecter eux-mêmes.
3. Cloud : le transfert ou la suppression de tenants comme arme
Si le cloud a longtemps été vu comme un rempart, il devient en 2024 une cible privilégiée. Les attaquants vont désormais au-delà du simple vol de données : ils transfèrent des tenants entiers vers des environnements qu’ils contrôlent, voire les suppriment pour déstabiliser leur cible. Même les tenants protégés par MFA ne sont pas à l’abri : compromission de compte administrateur, token hijacking ou MFA bombing sont utilisés pour passer outre les protections.
4. Captchas détournés et phishing-as-a-service
Les campagnes d’hameçonnage évoluent aussi. En 2024, certaines attaques exploitent le mécanisme des Captchas pour inciter l’utilisateur à exécuter une commande encodée en base64… qui télécharge en réalité une charge malveillante. Ces campagnes ont été largement portées par Lumma Stealer.
Par ailleurs, le phishing-as-a-service (PhaaS) explose. Des plateformes comme Darcula (plus de 20 000 domaines et 11 000 adresses IP utilisées) proposent désormais des kits prêts à l’emploi via abonnement, parfois à partir de 250 dollars par mois. Ces services rendent accessibles à des cybercriminels peu techniques des attaques sophistiquées, capables de contourner les mécanismes de double authentification.
5. Adversary-in-the-middle et contournement du MFA
Les attaques de type Adversary-in-the-Middle (AiTM) font un retour en force. Elles permettent aux attaquants d’intercepter des échanges légitimes sans que les victimes ne s’en rendent compte. Résultat : même les authentifications à double facteur peuvent être contournées si elles ne sont pas rigoureusement mises en œuvre.
Des vulnérabilités critiques toujours plus nombreuses
En parallèle de ces tactiques, 2024 aura vu exploser le nombre de vulnérabilités publiées : +38,6 % par rapport à 2023, soit 40 291 failles référencées. Toutefois, 244 d’entre elles ont été activement exploitées par des attaquants, notamment dans des campagnes de ransomware.
Certaines failles ont fait l’objet d’exploitations massives :
- CVE-2024-21762 (Fortinet SSLVPN) : potentiellement 150 000 machines exposées.
- CVE-2024-21887 + CVE-2023-46805 (Ivanti) : chaînes d’exploitation permettant exécution de code et contournement de sécurité.
- CVE-2024-3400 (Palo Alto GlobalProtect) : exécution de code arbitraire avec privilèges root.
Les groupes APT comme APT28, Citrinel Sleet ou Volt Typhoon n’hésitent pas à exploiter ces vulnérabilités pour des objectifs de cyberespionnage, de sabotage ou de vol de données, avec une efficacité redoutable.
Une certitude : il faut se préparer
Face à cette sophistication croissante, la préparation est plus que jamais indispensable. Notre Rapport sur l’état de la menace 2024-2025 ne s’arrête pas à l’observation : il propose également des recommandations opérationnelles pour les contenir. De la protection des accès aux environnements industriels à la remédiation des failles périmétriques, en passant par la gestion des identifiants exposés, chaque action compte.
📘 Téléchargez gratuitement le rapport complet pour accéder aux préconisations des experts Advens et anticiper les menaces de demain.
