Le vol d’identifiants est devenu l’une des menaces les plus sérieuses du paysage actuel de la cybersécurité en 2024. Avec des mots de passe compromis vendus à peine 10 dollars sur des forums criminels, ces attaques constituent la principale cause de violation de données pour 80% des applications web. Malgré des budgets de cybersécurité atteignant des montants record, notamment 1 100 $ par utilisateur, les entreprises semblent incapables de contrer cette menace grandissante. Alors, pourquoi tant d’efforts n’aboutissent-ils pas aux résultats escomptés ?
Les attaques basées sur des identifiants volés en explosion
Snowflake : un cas emblématique
Les attaques contre les clients de Snowflake en 2024 ont marqué un tournant. Des identifiants récupérés via des malwares voleurs d’informations (infostealers) datant de 2020 ont permis à des cybercriminels d’accéder à des comptes dépourvus de authentification multifacteurs (MFA). Résultat : quelque 165 entreprises ont été touchées, des centaines de millions de données sensibles compromises, et au moins une victime a été contrainte de payer une rançon.
Des violations à grande échelle dans tous les secteurs
Les exemples sont nombreux. La violation massive de Change Healthcare a impacté 100 millions de clients, avec une demande de rançon atteignant 22 millions de dollars. Chez Disney, des données sensibles et des messages issus de 10 000 canaux Slack ont été exposés. Microsoft, quant à lui, a subi des fuites d’e-mails sensibles en raison de l’exploitation d’une application OAuth de test compromise par des identifiants volés. D’autres entreprises comme Schneider Electric, Finastra ou encore Roku ont également subi des cyberattaques similaires.
Pourquoi les identifiants volés restent un défi majeur ?
MFA : une protection encore trop incomplète
Malgré une adoption accrue, le MFA reste trop peu implémenté. Selon une étude de Push Security, 4 comptes sur 5 n’ont pas de protection MFA activée, dès lors qu’un mot de passe est la seule méthode d’authentification. Ce manque de couverture fournit un terrain fertile aux attaques.
L’essor des infostealers
Les logiciels malveillants voleurs d’informations, souvent commercialisés comme Malware-as-a-Service, représentent une menace croissante. Ces outils collectent non seulement des mots de passe, mais également des cookies de session, et prospèrent dans des canaux inattendus comme les forums de jeux en ligne ou les annonces sur les réseaux sociaux.
Ces malwares exploitent aussi les environnements professionnels modernes. Par exemple, si un utilisateur se connecte à un compte personnel sur un appareil d’entreprise ou inversement, les cybercriminels peuvent aisément récupérer des identifiants à valeur élevée.
Un écosystème SaaS de plus en plus complexe
Des outils modernes, mais des lacunes de sécurité
Avec l’adoption massive des applications SaaS, les entreprises se retrouvent avec des centaines d’applications et autant d’identités numériques à gérer. La visibilité sur l’état de sécurité de ces identités est souvent limitée, laissant des brèches exploitables par les attaquants.
Des attaques rapides et discrètes
Contrairement aux cyberattaques traditionnelles, les attaques par prise de contrôle de comptes ne nécessitent souvent qu’un accès initial. Une fois dans l’application, les attaquants exfiltrent rapidement les données. Les systèmes de sécurité classiques peinent à détecter ces activités malveillantes.
Comment renforcer la défense contre le vol d’identifiants ?
Tirer parti de l’intelligence sur les identifiants compromis
Les flux d’informations sur les identifiants volés sont nombreux, mais exploitent rarement leur plein potentiel. Selon Push Security, moins de 1% des identifiants inclus dans ces flux s’avèrent encore actifs. Une solution moderne doit permettre de les corréler efficacement avec les mots de passe réellement utilisés en entreprise.
Utiliser des outils basés sur la télémétrie du navigateur
Une approche innovante consiste à observer directement les comportements de connexion via un agent installé dans le navigateur des employés. Cela permet de détecter les identifiants compromis, d’identifier et combler les lacunes en matière de MFA, et de prévenir les attaques avant qu’elles ne se concrétisent.
Chez CyberCare, nous offrons des solutions de sécurité avancées, conçues pour détecter et prévenir les violations dues aux identifiants volés, afin de protéger vos applications SaaS et sécuriser vos données critiques.