Outils / Actualités / Un seul attaquant a compromis 50 entreprises via leurs portails de partage de fichiers cloud. Sans exploit.
Presse

Un seul attaquant a compromis 50 entreprises via leurs portails de partage de fichiers cloud. Sans exploit.

· VaultTools

Une campagne suivie sous le nom 'Zestix' a utilisé des identifiants volés par des infostealers pour s'introduire dans les instances ShareFile, Nextcloud et OwnCloud d'une cinquantaine de grandes entreprises mondiales début 2026. Aucune faille logicielle requise. Seulement des fichiers hébergés et un MFA absent.

VaultTools · 20 mars 2026

Écran d'ordinateur sombre avec du code et un curseur, représentant une cyberattaque en cours. Photo de Shahadat Rahman sur Unsplash

Table des matières


Ce Qui S’est Passé

En janvier 2026, des chercheurs d’Hudson Rock ont publié leurs conclusions sur un acteur malveillant suivi sous le nom « Zestix » (également identifié comme « Sentap »), qui avait systématiquement compromis l’infrastructure de partage de fichiers cloud d’environ 50 grandes entreprises mondiales. Les données volées, incluant des plans d’ingénierie, des fichiers de projets de défense, des dossiers médicaux et des archives financières, ont ensuite été mises aux enchères sur des forums de cybercriminalité.

La campagne était active depuis au moins fin 2024. Les preuves publiques, les notifications aux victimes et les enchères actives sur le dark web ont émergé simultanément en janvier 2026, suscitant une couverture de BleepingComputer, The Register, SecurityWeek et d’autres. Des recherches d’attribution de DarkSignal relient l’acteur à un ressortissant iranien lié au groupe cybercriminel Funksec.

Comment L’attaque A Fonctionné

Aucune vulnérabilité logicielle n’a été exploitée. L’attaquant a obtenu des identifiants d’employés valides à partir de journaux de malwares infostealers. Des stealers comme RedLine, Lumma et Vidar collectent les mots de passe enregistrés dans les navigateurs et les applications. Ces identifiants ont ensuite été utilisés pour se connecter directement aux portails ShareFile, Nextcloud et OwnCloud des entreprises.

La majorité des organisations touchées n’avaient pas imposé d’authentification multi-facteurs sur leurs portails de partage de fichiers. Avec des identifiants valides et sans second facteur, l’accès était immédiat. Une fois à l’intérieur, l’attaquant a téléchargé les fichiers disponibles et mis les données en vente.

La surface d’attaque n’était pas une faille logicielle. C’étaient les fichiers eux-mêmes, posés sur des serveurs accessibles, attendant d’être récupérés par quiconque possédait le bon mot de passe.

Qui A Été Touché

Les victimes confirmées couvrent l’aviation, la défense, la santé, les services publics, les infrastructures et les contractants gouvernementaux dans environ 50 entreprises à travers le monde. Hudson Rock a identifié Iberia Airlines, dont 77 Go de données techniques de sécurité et de flotte ont été dérobés, et Intecro Robotics, dont 11,5 Go incluant de la propriété intellectuelle militaire ont été volés. La liste complète des victimes s’étend à des organisations en Europe, au Moyen-Orient et dans les Amériques.

Pourquoi Les Fichiers Hébergés Sont La Cible

Les plateformes de partage de fichiers cloud conservent des documents parce que c’est leur fonction. Un utilisateur téléverse un contrat sensible, un fichier de conception ou un dossier médical pour le partager ou le convertir, et ce fichier reste sur l’infrastructure de la plateforme jusqu’à ce qu’il soit explicitement supprimé. Il est accessible via la couche d’authentification de la plateforme tant qu’il y est stocké.

Cela crée un dépôt durable et centralisé de documents sensibles. Les attaquants qui obtiennent des identifiants valides, par hameçonnage, infections par infostealers ou achats auprès de courtiers en données, accèdent à tout ce qui y est stocké. La violation ne nécessite pas un exploit sophistiqué. Elle nécessite un mot de passe.

Les outils de traitement de fichiers en ligne créent la même exposition. Un PDF téléversé vers un service de compression ou de conversion basé sur le cloud transite vers un serveur distant, où il est traité et conservé temporairement ou indéfiniment selon la politique de rétention du service. Le fichier échappe au contrôle de l’utilisateur dès le moment du téléversement.

Ce Que Cela Signifie Pour La Confidentialité Des Fichiers

La campagne Zestix démontre que le risque lié à la gestion de fichiers dans le cloud n’est pas hypothétique. Les fichiers confiés à des serveurs tiers ne sont aussi sécurisés que les identifiants qui protègent ces serveurs, et le vol d’identifiants par des malwares infostealers est industrialisé et répandu.

Les outils de traitement de fichiers qui s’exécutent entièrement dans le navigateur via WebAssembly éliminent cette exposition par conception. Le document est lu depuis le disque de l’utilisateur, traité localement dans l’onglet du navigateur et renvoyé sur le disque. Aucun serveur ne reçoit le fichier. Il n’y a pas d’identifiant à voler, pas de politique de rétention à inspecter et pas de serveur à compromettre.

La campagne Zestix ciblait le stockage de fichiers cloud parce que c’est là que les fichiers s’accumulent. Le traitement dans le navigateur signifie que les fichiers ne s’accumulent jamais nulle part en dehors de l’appareil.


Sources