Qu’est-ce que la compromission des informations d’identification ?

La compromission des identifiants se produit lorsque des personnes non autorisées accèdent à des informations de connexion telles que des noms d’utilisateur, des mots de passe ou des réponses de sécurité.

Ces identifiants volés sont souvent obtenus par le biais d’attaques de phishing, de violations de données, de malwares ou d’enregistreurs de frappe, permettant aux attaquants d’usurper l’identité d’utilisateurs légitimes. L’une des méthodes les plus répandues est le credential stuffing, qui consiste à tester automatiquement les mots de passe volés sur plusieurs comptes.

Les cybercriminels exploitent fréquemment les pratiques de sécurité insuffisantes, telles que la réutilisation des mots de passe ou les identifiants par défaut comme « admin » ou « 123456 », qui apparaissent encore dans des millions d’identifiants divulgués.

Des études récentes montrent que 94 % des mots de passe sont réutilisés ou dupliqués, et que 86 % des violations de données impliquent des identifiants volés. Ce problème a connu une croissance exponentielle, les attaques par compromission d’identifiants ayant augmenté de 71 % d’une année sur l’autre et coûtant en moyenne 4,45 millions de dollars par violation aux entreprises.

Les conséquences vont bien au-delà de l’accès non autorisé au système. Les pirates exploitent les identifiants compromis pour voler des données sensibles, déployer des ransomwares ou détourner des comptes à des fins de fraude financière.

Par exemple, en 2023, des acteurs soutenus par l’État russe ont utilisé des identifiants volés pour infiltrer les systèmes de Microsoft pendant plusieurs mois, tandis que la violation d’Okta a exposé les systèmes d’assistance à la clientèle à des tactiques similaires. Ces incidents montrent que même les organisations les plus solides restent vulnérables lorsque les identifiants sont mal gérés.

Pour les entreprises, les risques sont multiples : les violations entraînent souvent des temps d’arrêt opérationnels, des sanctions réglementaires et une atteinte durable à la réputation. Les environnements cloud étant de plus en plus ciblés (47 % des attaques cloud en 2024 provenaient d’identifiants faibles), les mesures proactives telles que l’authentification multifactorielle et l’hygiène des mots de passe ne sont plus facultatives.

Le rapport 2024 Data Breach Investigations Report (DBIR) de Verizon souligne que les attaques par phishing et les identifiants compromis sont à l’origine de près de 80 % des violations de données. Jenny Chen et Pablo Passera, de Proofpoint, résument la nature omniprésente de ces menaces : « Bien que les exploits de vulnérabilité aient fortement augmenté en tant que vecteur d’attaque privilégié l’année dernière, l’utilisation d’identifiants par les cybercriminels reste aujourd’hui la principale méthode d’attaque. »

Les identifiants étant leur cible principale, les cybercriminels combinent exploits techniques et manipulation psychologique pour voler les informations de connexion. Si les tactiques varient, voici les méthodes les plus courantes utilisées pour compromettre les identifiants :

• Phishing : des emails, SMS ou sites Web frauduleux usurpent l’identité d’organisations de confiance pour inciter les utilisateurs à partager leurs mots de passe. Les pirates imitent souvent les pages de connexion ou les demandes urgentes afin de contourner la méfiance des utilisateurs.
• Credential phishing : forme ciblée de phishing, cette méthode est l’une des tactiques les plus couramment utilisées par les acteurs malveillants. « Ces attaques consistent à envoyer un email contenant une URL qui redirige les victimes vers un faux site web conçu pour voler leurs identifiants », explique Neko Papez, responsable marketing produit chez Proofpoint.
• Violations de données : les pirates informatiques infiltrent des bases de données ou des systèmes cloud mal sécurisés afin de récolter les identifiants stockés, qui sont ensuite vendus sur les marchés du dark web ou réutilisés pour des attaques.
• Malwares/keyloggers : des logiciels malveillants s’infiltrent dans les appareils pour enregistrer les frappes au clavier, capturer des captures d’écran ou récupérer les mots de passe stockés dans le navigateur à l’insu de l’utilisateur.
• Credential stuffing : des outils automatisés testent les mots de passe divulgués lors d’une violation sur d’autres plateformes et exploitent l’habitude très répandue de réutiliser les mots de passe.
• Mauvaises pratiques en matière de mots de passe : les mots de passe faibles (par exemple, « admin » ou « password »), réutilisés sur plusieurs comptes, et l’absence d’authentification multifactorielle rendent les comptes vulnérables aux attaques par force brute.
• Attaques de type « Adversary-in-the-Middle » (AitM) : les attaquants interceptent le trafic réseau non crypté, par exemple sur les réseaux Wi-Fi publics, afin de capturer les identifiants pendant leur transmission. Cette méthode cible souvent les utilisateurs qui accèdent à des comptes sensibles sans VPN ni cryptage HTTPS.
• Spray de mots de passe : les cybercriminels testent des mots de passe courants (par exemple, « Summer2025 ! ») sur de nombreux comptes afin d’éviter de déclencher des verrouillages, comme on l’a vu dans les récentes attaques contre les environnements Microsoft des entreprises.

Chaque méthode alimente les autres ; par exemple, les identifiants piratés alimentent les campagnes de phishing, tandis que les infections par des malwares commencent souvent par des leurres de phishing. Une surveillance proactive et la formation des employés sont essentielles pour briser ce cycle.

La compromission des identifiants crée un effet domino, permettant aux pirates d’étendre leur accès et de causer des dommages multiples. Voici les risques les plus graves auxquels les entreprises sont confrontées lorsque leurs identifiants de connexion tombent entre de mauvaises mains :

Violations de données

Les identifiants volés servent souvent de passerelle vers des informations sensibles, notamment les données des clients et la propriété intellectuelle. La violation de Snowflake en 2024 a compromis 165 organisations dans le monde entier après que des pirates aient utilisé des identifiants divulgués via un malware de type « infostealer », exposant ainsi des centaines de millions de dossiers clients.

Pertes financières

Les pirates exploitent les comptes piratés pour effectuer des transactions frauduleuses ou obtenir le paiement de rançons. La violation de Change Healthcare en 2024 a causé 872 millions de dollars de dommages, tandis que dans certaines régions spécifiques comme la Nouvelle-Zélande, le NCSC du pays a signalé une augmentation trimestrielle de 24 % des pertes liées à la cybercriminalité, atteignant 6,8 millions de dollars au quatrième trimestre 2024.

Atteinte à la réputation

Les violations répétées érodent la confiance des clients et la crédibilité de la marque. À la suite de la violation de MOAB, les entreprises ont fait l’objet d’une nouvelle surveillance, car les identifiants agrégés ont alimenté les campagnes de phishing et les vols d’identité, aggravant ainsi l’atteinte à la réputation existante.

Sanctions réglementaires

Une gestion laxiste des identifiants risque d’entraîner des violations de lois telles que la loi HIPAA, avec des amendes pouvant atteindre 2,1 millions de dollars par incident. En 2024, un prestataire de soins de santé s’est vu infliger une amende de 5,5 millions de dollars après avoir divulgué des informations médicales protégées (PHI) à des employés et au personnel administratif affilié.

Perturbation opérationnelle

La récupération après une violation épuise les ressources et freine la productivité. Après la violation d’AT&T qui a compromis 73 millions de comptes, le fournisseur tiers impliqué a déposé le bilan en raison des poursuites judiciaires et des coûts de refonte de l’infrastructure.

Ces risques soulignent pourquoi la sécurité des identifiants est fondamentale pour la résilience organisationnelle. Des mesures proactives telles que l’authentification multifactorielle et la surveillance continue sont essentielles pour atténuer les répercussions en cascade.

La détection précoce des identifiants compromis est essentielle pour minimiser les dommages. Les organisations s’appuient sur des outils spécialisés et des indicateurs comportementaux pour identifier les activités suspectes avant que les pirates ne renforcent leur accès. Voici les principales stratégies permettant de détecter les identifiants compromis :

Outils de surveillance

• Analyse du dark web : des plateformes automatisées surveillent les forums clandestins, les sites et les canaux Telegram illicites à la recherche d’identifiants exposés liés à des domaines d’entreprise. Ces outils recoupent les bases de données divulguées avec les modèles d’emails des organisations et alertent les équipes afin qu’elles réinitialisent de manière proactive les mots de passe vulnérables.
• Analyse du comportement des utilisateurs et des entités (UEBA) : des modèles d’apprentissage automatique analysent l’activité typique des utilisateurs, telle que la fréquence de connexion, les modèles d’accès aux données et l’utilisation des appareils, afin de signaler les anomalies telles que l’accès soudain à des systèmes restreints ou les téléchargements de fichiers anormaux.
• Systèmes SIEM : les outils SIEM (Security Information and Event Management) agrègent les journaux provenant des réseaux, des terminaux et des services cloud afin de corréler les événements. Ils détectent des schémas tels que les échecs répétés de connexion sur plusieurs comptes ou les mouvements latéraux entre les systèmes.
• Détection et réponse aux menaces d’identité (ITDR) : des solutions spécialisées surveillent les protocoles d’authentification à la recherche de signes d’utilisation abusive des identifiants, tels que les tentatives d’élévation de privilèges ou l’accès non autorisé à des comptes de service.
• Détection et réponse aux terminaux (EDR) : des agents sur les appareils suivent les processus et les modifications du registre afin d’identifier les malwares tels que les enregistreurs de frappe ou les scripts de collecte d’identifiants.

Indicateurs clés de compromission (IoC)

• Heures/emplacements de connexion inhabituels : accès depuis des régions à haut risque ou en dehors des heures d’ouverture normales, en particulier pour les comptes privilégiés.
• Échecs de connexion multiples : tentatives successives d’attaques par force brute visant les portails administratifs ou les services cloud.
• Changements de mot de passe inattendus : réinitialisations non autorisées via le service d’assistance, l’ingénierie sociale ou les portails en libre-service.
• Transferts de données anormaux : téléchargements volumineux de fichiers ou de bases de données sensibles incompatibles avec les rôles des utilisateurs.
• Activité suspecte par email : emails de spam ou de phishing envoyés à partir de comptes compromis à des contacts internes.
• Empreintes digitales d’appareils non reconnues : connexions à partir d’appareils dont les versions de navigateur, les versions du système d’exploitation ou les configurations des outils de sécurité ne correspondent pas.
• Alertes de sécurité provenant de services tiers : notifications provenant d’outils externes de surveillance des violations concernant des identifiants exposés.
• Modifications de configuration inexpliquées : nouveaux utilisateurs administrateurs, politiques de sécurité modifiées ou paramètres DNS modifiés.

La combinaison de ces outils et indicateurs permet une défense multicouche. Par exemple, les alertes du dark web peuvent déclencher un examen UEBA des comptes concernés, tandis que les outils EDR mettent en quarantaine les appareils présentant un comportement de collecte d’identifiants.

Une défense proactive contre la compromission des identifiants nécessite une approche multicouche combinant technologie, politique et sensibilisation des utilisateurs. Vous trouverez ci-dessous les stratégies essentielles pour réduire le risque de vol ou d’utilisation abusive des identifiants de connexion :

Politiques de mots de passe forts

Imposez des exigences en matière de mots de passe complexes et uniques, combinant des lettres, des chiffres et des symboles, tout en évitant les combinaisons prévisibles telles que « Motdepasse123 ». Imposez des mises à jour régulières (par exemple, tous les 90 jours) et interdisez la réutilisation des mots de passe sur plusieurs comptes. Les gestionnaires de mots de passe aident les utilisateurs à stocker et à générer des identifiants en toute sécurité, sans avoir recours à des raccourcis peu sûrs.

Authentification multifactorielle (MFA)

La MFA ajoute une redondance essentielle en exigeant une vérification secondaire via des scans biométriques, des jetons matériels ou des codes à usage unique. Même si les mots de passe sont compromis, la MFA bloque 99,9 % des attaques automatisées, selon des études du secteur. Privilégiez les méthodes résistantes au phishing, telles que les clés de sécurité FIDO2, pour les comptes à haut risque.

Formation des utilisateurs

Formez vos employés à identifier les tentatives de phishing, les liens suspects et les tactiques d’ingénierie sociale à l’aide d’exercices de simulation. Des mises à jour régulières sur les nouvelles menaces, telles que les deepfakes générés par l’IA ou le phishing par code QR, permettent de garder la sécurité à l’esprit et de réduire le partage involontaire d’identifiants.

Contrôles d’accès

Adoptez le principe du moindre privilège en limitant l’accès au système à ce dont les utilisateurs ont besoin pour exercer leurs fonctions. Segmentez les réseaux afin d’isoler les données sensibles et mettez en place un accès juste à temps pour les tâches administratives afin de réduire au minimum les privilèges permanents.

Audits réguliers

Effectuez des examens périodiques des autorisations des utilisateurs, des comptes inactifs et des modèles de connexion. Des outils automatisés rationalisent la surveillance continue, en signalant les identifiants obsolètes ou les droits d’accès excessifs. La révocation immédiate des comptes inutilisés limite la capacité des attaquants à exploiter les points d’entrée oubliés.

Ensemble, ces mesures constituent une stratégie de défense en profondeur robuste. Par exemple, l’authentification multifactorielle (MFA) atténue l’impact des mots de passe faibles, tandis que les contrôles d’accès limitent les mouvements latéraux même si les identifiants sont volés.

Lorsque des identifiants sont compromis, il est essentiel d’agir rapidement et de manière structurée afin de limiter les dommages et d’éviter que cela ne se reproduise. Vous trouverez ci-dessous les mesures essentielles à prendre pour limiter immédiatement les dégâts et assurer une résilience à long terme :

Mesures immédiates

• Réinitialisez les mots de passe concernés : invalidez immédiatement les identifiants compromis et exigez leur remplacement par des mots de passe forts et uniques. Imposez l’authentification multifactorielle (MFA) pendant le processus de réinitialisation afin d’empêcher les pirates de se reconnecter aux comptes. Donnez la priorité aux comptes disposant de privilèges élevés, tels que ceux des administrateurs ou des cadres, afin de bloquer les mouvements latéraux.
• Informez les utilisateurs et les parties prenantes concernés : alertez les employés, les clients ou les partenaires concernés afin qu’ils réinitialisent leurs identifiants et surveillent toute fraude. La conformité à des réglementations telles que le RGPD ou l’HIPAA peut imposer la divulgation officielle des violations dans les 72 heures. En interne, informez les équipes informatiques, juridiques et exécutives afin de coordonner les efforts de confinement.
• Enquêtez sur la source de la violation : exploitez les journaux des systèmes SIEM, des outils de terminaux et des plateformes d’authentification pour retracer comment les identifiants ont été volés. Déterminez si la violation provient d’une attaque par phishing, d’un malware ou d’une vulnérabilité tierce, puis isolez les systèmes affectés afin d’empêcher toute exploitation supplémentaire.
• Révoquez les sessions actives : mettez fin à toutes les sessions actives liées aux comptes compromis afin d’empêcher les attaquants de conserver leur accès via des jetons authentifiés. Cette étape est essentielle, car la réinitialisation des mots de passe ne suffit pas toujours à déconnecter les sessions existantes.

Mesures à long terme

• Réexaminez et renforcez les politiques de sécurité : mettez à jour les règles de complexité des mots de passe, l’application de l’authentification multifactorielle et les contrôles d’accès en fonction des conclusions de l’enquête sur la violation. Par exemple, si la compromission résulte d’un phishing, mettez en place un filtrage des emails plus strict et organisez des simulations de formation trimestrielles.
• Mettez en place des outils de sécurité supplémentaires : déployez une surveillance du dark web pour détecter les futures fuites d’identifiants ou investissez dans des solutions ITDR pour signaler les modèles d’accès anormaux. Intégrez ces outils aux plateformes SIEM ou SOAR existantes pour automatiser les workflows de réponse.
• Surveillez les activités suspectes : restez vigilant pendant plusieurs mois après la violation, car les pirates conservent souvent un accès via des portes dérobées. Planifiez des audits réguliers des autorisations des utilisateurs et des journaux d’accès afin d’identifier les menaces persistantes.
• Réalisez des analyses post-incident : organisez des rétrospectives interdépartementales afin d’identifier les lacunes en matière de détection, de réponse et de communication. Utilisez ces informations pour affiner les plans d’action en cas d’incident et clarifier les rôles en cas de futures violations.

En combinant une réponse rapide et des améliorations systémiques, les organisations peuvent transformer les violations en opportunités pour renforcer leur posture de sécurité.

La compromission des identifiants a été à l’origine de certains des incidents cybernétiques les plus dommageables de ces dernières années. Voici quelques exemples notables qui soulignent les conséquences en cascade du vol ou de l’utilisation abusive d’identifiants de connexion :

Espionnage industriel chez Ticketmaster

Dans un cas rare de vol d’identifiants par un initié, un ancien employé d’une société concurrente a fourni aux dirigeants de Ticketmaster des identifiants de connexion volés pour accéder à des systèmes confidentiels de prévente de billets. À l’aide de ces identifiants, les employés de Ticketmaster ont piraté à plusieurs reprises les comptes de leurs concurrents afin de voler des informations commerciales, ce qui leur a valu une amende de 10 millions de dollars pour violation de la loi sur la fraude et les abus informatiques. Cet incident a mis en évidence la manière dont des contrôles d’accès laxistes et la réutilisation non éthique d’identifiants peuvent faciliter l’espionnage industriel systématique.

Violation de données chez Snowflake

Des pirates ont compromis le compte d’un ingénieur commercial de Snowflake à l’aide du malware Lumma Stealer, exploitant l’authentification à facteur unique pour infiltrer les systèmes de l’entreprise. Cette violation a exposé les données sensibles de clients prestigieux tels que Santander Bank et Ticketmaster, touchant des millions de personnes dans le monde entier. Les pirates ont utilisé un outil personnalisé, « RapeFlake », pour exfiltrer les données de 500 environnements de démonstration et les vendre sur des forums du dark web. Cet incident a mis en évidence les risques liés aux écosystèmes tiers et aux protocoles d’authentification inadéquats.

Attaque par fatigue MFA contre Uber

Les identifiants d’un sous-traitant ont été compromis grâce à une nouvelle tactique de fatigue MFA. Les attaquants ont bombardé l’appareil de la victime de notifications push MFA incessantes jusqu’à ce que celle-ci, par inadvertance, accorde l’accès à des systèmes internes tels que Slack, AWS et Google Workspace. Cette violation a exposé des données financières sensibles et contraint Uber à fermer temporairement des outils essentiels, soulignant les vulnérabilités de la gestion des accès tiers.

La compromission des identifiants reste l’une des cybermenaces les plus répandues et les plus dommageables. Alors que les pirates affinent leurs tactiques, telles que le phishing basé sur l’IA et le credential stuffing, les entreprises doivent donner la priorité à la sécurisation des identifiants de connexion, qui constituent la pierre angulaire de leur stratégie de cybersécurité. Les conséquences de l’inaction, telles que les sanctions financières, l’atteinte à la réputation et la surveillance réglementaire, l’emportent largement sur l’investissement dans des défenses proactives.

Pour atténuer les risques, les entreprises doivent régulièrement évaluer leurs protocoles d’authentification, mettre en œuvre l’authentification multifactorielle (MFA) et former leurs utilisateurs à reconnaître les pièges de l’ingénierie sociale. Une surveillance continue via l’analyse du dark web et l’analyse comportementale, associée à des contrôles d’accès stricts, permet de créer plusieurs niveaux de défense contre les menaces en constante évolution.

Un partenariat avec des experts tels que Proofpoint peut faciliter cette transition en proposant des solutions avancées de défense contre le phishing, de détection des menaces et de protection des identifiants adaptées aux surfaces d’attaque modernes. En intégrant ces outils à une culture de sensibilisation à la sécurité, les organisations peuvent transformer leurs vulnérabilités en résilience et protéger leurs actifs les plus critiques dans un paysage numérique de plus en plus hostile. Contactez Proofpoint pour en savoir plus.