En février 2026, la société de services financiers Figure a divulgué près de 967 200 enregistrements d’emails lors d’une violation de données récemment rendue publique. Étonnamment, aucune vulnérabilité n’a été exploitée; les informations étaient simplement accessibles, tombant désormais entre les mains d’agresseurs.
Souvent, l’analyse des violations de données s’arrête au nombre des enregistrements exposés, oubliant que ce chiffre n’est que le début des risques réels. Pour évaluer correctement les dangers, il est essentiel de comprendre la chaîne d’attaques permise par une telle exposition d’identifiants et de se demander si les contrôles d’authentification en place peuvent interrompre cette chaîne.
Exploitation des enregistrements d’emails exposés
Les adresses email ne sont pas des données statiques, mais des éléments actifs. Dans les heures suivant la divulgation, les agresseurs mettent en œuvre plusieurs processus professionnels. Tout d’abord, ils s’attaquent au credential stuffing, utilisant des bases de données de violations antérieures comme celles de LinkedIn ou Dropbox pour tester des combinaisons d’adresses et de mots de passe sur des portails d’entreprise, des passerelles VPN et des systèmes comme Microsoft 365 ou Okta. Ce processus, automatisé, réussit généralement dans deux à trois pour cent des cas, ce qui pourrait aboutir à environ 19 000 à 29 000 identifiants valides.
Ensuite, les campagnes de phishing ciblé font leur apparition. Grâce à des outils assistés par IA, les agresseurs peuvent générer des courriels personnalisés à partir de la liste d’emails en quelques minutes, imitant les communications internes et la marque de l’organisation.
Une autre stratégie implique l’ingénierie sociale via le support technique. En utilisant une adresse email valide, les agresseurs se font passer pour des employés, demandant des réinitialisations de mots de passe ou de dispositifs d’authentification multifactorielle. Cette méthode contourne totalement les technologies d’authentification en ciblant le processus humain.
Ces approches ne nécessitent aucune faille technique pour fonctionner; l’objectif est d’accéder au système en se présentant comme un utilisateur légitime. La violation ne crée pas d’accès, elle établit les conditions permettant d’y parvenir à travers le système d’authentification.
L’incapacité des MFA classiques
Beaucoup d’organisations croient à tort que leur déploiement de MFA les protège contre de telles attaques. Cependant, les méthodes modernes, comme les attaques adversary-in-the-middle, démontent cette certitude. Ici, un agresseur crée un proxy inversé qui se place entre la victime et le service légitime. Une fois que la victime soumet ses identifiants sur une page falsifiée, le proxy les transmet et récupère ensuite le défi MFA du site réel, le renvoyant à la victime.
Les méthodes d’authentification comme les notifications poussées et les codes SMS sont vulnérables à ce type d’attaques. Elles vérifient souvent seulement l’échange de codes, sans s’assurer que le véritable titulaire du compte est celui qui se connecte.
Les outils qui facilitent ce type d’attaques sont largement accessibles et ne nécessitent pas d’habiletés techniques avancées. De plus, la fatigue causée par les demandes d’authentifications répétées pousse souvent les utilisateurs à cautionner des demandes par frustration.
Les lacunes de l’éducation des utilisateurs
Face aux échecs d’authentification, la réaction habituelle est d’éduquer les utilisateurs. Cela dit, cette réponse est devenue insuffisante, non pas à cause d’un manque de motivation, mais en raison d’un problème architectural. Les attaques relayées ne dépendent pas de la capacité de l’utilisateur à identifier une page de phishing, car le défi MFA reçu est réel et émis par le service légitime. Il n’y a rien d’anormal à détecter.
La question fondamentale, souvent négligée, est de savoir si l’individu autorisé était physiquement présent et vérifié biométriquement lors de l’authentification. Les dispositifs de token USB ne prouvent que la présence de l’appareil, mais pas de l’utilisateur.
Exigences pour une authentification résistante au phishing
Pour lutter efficacement contre les relays d’attaques, une authentification résistante nécessite trois éléments : lien d’origine cryptographique, clés privées liées au matériel et vérification biométrique en temps réel. Lorsqu’un attaquant tente d’accéder à une session falsifiée, le lien cryptographique échoue, rendant l’attaque impossible.
Ces exigences sont cruciales; sans elles, les attaques pourront toujours aboutir. Le principe de TokenCore repose sur une vérification stricte de l’utilisateur, non de la session ou de l’appareil. Avec une forte combinaison de biométrie, d’authentification cryptographique et de vérification de proximité, l’accès est accordé uniquement lorsque toutes les conditions sont réunies.