Pour de nombreuses organisations, la compromission des identifiants (noms d’utilisateur et mots de passe) est perçue comme un problème du passé, explique Olivier Bilodeau, chercheur principal en cybersécurité chez Flare. L’adoption généralisée de l’authentification multifactorielle (MFA), la montée en puissance des programmes de sensibilisation et la maturité des politiques de sécurité ont contribué à reléguer ce risque au second plan. Cette perception est pourtant de plus en plus déconnectée de la réalité des modes opératoires actuels.
Les identifiants compromis : un risque sous-estimé à l’ère des infostealers
Aujourd’hui, une part significative des abus d’identifiants trouve son origine dans des malwares de type infostealer. Contrairement aux attaques traditionnelles, ces outils ne se limitent pas à collecter des couples identifiant/mot de passe. Ils exfiltrent un ensemble beaucoup plus large de données issues des terminaux compromis.
Les données collectées (historique de navigation, informations d’auto-complétion, éléments de session enregistrés, données financières, identifiants système, …) sont regroupées sous forme de « journaux de compromission » (“infostealers logs”). Pour les cybercriminels, ces logs sont une représentation structurée et exploitable de l’identité numérique d’un utilisateur, présentée sous un format facile à échanger, à commercialiser et à exploiter. Plutôt que de deviner comment un utilisateur pourrait s’authentifier ou agir, les hackers peuvent reproduire son comportement. Les cookies de session jouent ici un rôle clé. En les réutilisant, un attaquant peut se faire passer pour un utilisateur déjà authentifié, contournant dans certains cas les mécanismes de MFA. L’accès obtenu apparaît alors légitime, se conforme aux usages habituels et devient difficile à distinguer d’une activité habituelle.
Point notable : une large part de ces données provient non pas d’intrusions directes dans les systèmes d’entreprise, mais de journaux issus d’infections par infostealers sur des terminaux utilisateurs. Des campagnes comme l’opération Snow illustrent cette dynamique. Diffusé via une version piratée de Microsoft Office 2022, ce malware a collecté mots de passe, données navigateur et cookies de session à l’échelle internationale, avant de les agréger et de les proposer à la vente sur des places de marché clandestines.
Les dangers du brouillage de la frontière vie professionnelle/vie privée
Le brouillage des frontières entre usages professionnels et personnels accentue les risques. L’enregistrement d’adresses e-mail professionnelles sur des services grand public (réseaux sociaux, applications ou plateformes non vérifiées) expose ces identités lors de fuites de données externes.
Une violation sur un forum personnel ou un service tiers peut révéler une identité d’entreprise, et si les mots de passe sont réutilisés, cela permet aux attaquants d’obtenir un point d’entrée facile pour revenir dans les systèmes de l’entreprise.
Par ailleurs, l’usage d’équipements personnels complique la maîtrise du risque. Ces environnements intègrent fréquemment des logiciels non contrôlés, voire piratés, qui représentent des vecteurs privilégiés pour les infostealers. Lorsqu’un utilisateur les utilise pour se connecter à des services professionnels, les identifiants et sessions associées peuvent être captés sans que l’entreprise ne s’en aperçoive.
Les comptes à privilèges élevés (dirigeants et cadres supérieurs) sont particulièrement ciblés. Leur compromission permet de mener des fraudes au président, d’accéder à des informations sensibles ou d’orchestrer des attaques internes, sans recourir à des techniques d’intrusion complexes. Dans ces scénarios, la confiance devient le principal levier d’exploitation.
MFA : une protection nécessaire mais contournable
Bien qu’elle reste une protection essentielle, la MFA n’est pas infaillible. Lorsqu’un utilisateur se connecte avec succès et réussit un test d’authentification multifactorielle, le site web lui attribue un cookie pour le maintenir authentifié. En important un cookie volé, un attaquant peut effectivement tromper un site web en lui faisant croire qu’il est déjà authentifié et contourner complètement les contôles.
Une difficulté supplémentaire réside dans le fait que de nombreuses mesures de sécurité actuelles sont conçues pour simplifier la vie des utilisateurs et ne vérifient pas ce que ces derniers une fois connectés, toutes les activités ultérieures sont très souvent considérées comme légitimes.
Les criminels exploitent cette faille en agissant de manière régulière et prudente, en s’adaptant aux habitudes, plutôt qu’en déclenchant des alertes évidentes. Les informations d’accès obtenues à partir d’identifiants volés leur permettent de se connecter au moment prévu, depuis les endroits habituels de l’utilisateur, et à l’aide d’appareils ou de paramètres de navigateur reconnus. Cette discrétion complique la détection, même dans des environnements fortement sécurisés.
Vers une sécurité des identités continue et contextuelle
Ces évolutions mettent en évidence les limites des modèles de sécurité traditionnels, fondés sur une validation ponctuelle de l’identité. Le fait qu’un accès ait été légitime à un instant donné ne garantit pas sa légitimité dans la durée. La gestion des identités doit évoluer vers une approche continue, intégrant des signaux comportementaux, contextuels et de risque tout au long de la session. Sans ce changement, les entreprises resteront vulnérables face à des cybercriminels qui se contentent d’hériter d’une identité de confiance et de l’utiliser comme prévu, mais avec des intentions malveillantes.
La réduction du risque de prise de contrôle de compte passe par des pratiques rigoureuses, garantissant que l’accès est résilié dès qu’un employé quitte l’entreprise. L’authentification unique (Single Sign-On) devrait être utilisée partout pour permettre une révocation immédiate et centralisée des comptes.
Les employés devraient également être tenus d’utiliser des mots de passe forts et uniques pour tous leurs comptes. De plus, le recours à un fournisseur spécialisé dans l’exposition aux menaces aide les entreprises à identifier et à remédier aux fuites d’identifiants et de sessions affectant leurs employés avant que les attaquants ne puissent les utiliser.
Le vol d’identifiants de connexion reste un problème, non pas en raison d’un manque de défense, mais parce que le type d’accès autorisé a changé. À mesure que les environnements de travail évoluent pour s’effectuer depuis des lieux différents et que les identités sont utilisées sur de plus en plus d’appareils et de systèmes, les règles de sécurité doivent s’adapter.
L’enjeu n’est plus uniquement de comprendre comment les données sont compromises, mais comment elles sont exploitées. C’est à cette condition que les stratégies de sécurité pourront réellement s’adapter aux pratiques actuelles des attaquants.
