Les entreprises gèrent aujourd’hui des milliers d’identités humaines et non humaines qui sont réparties sur des services cloud, des applications en mode SaaS, des terminaux et des environnements distants. Le travail hybride, l’utilisation de matériel personnel et les accès tiers se généralisent, ce qui fait que les équipes de sécurité perdent la visibilité sur qui a accès à quoi et si cet accès est fiable.
Les attaquants exploitent cette complexité, car compromettre un compte est souvent plus rapide et discret que d’exploiter directement des vulnérabilités d’infrastructure. Pour les défenseurs, détecter une activité malveillante liée à une identité légitime représente encore un défi majeur.
Hameçonnage de session, et non plus de mot de passe
L’exploitation d’identifiants demeure une méthode fiable pour les attaquants. Elle représente 22% des violations de données en 2025. Les attaquants obtiennent les noms d’utilisateur et les mots de passe grâce à des logiciels malveillants de type infostealer, via des campagnes de phishing ou en récupérant des identifiants qui fuient lors d’anciennes brèches.
Si l’authentification multifacteur reste une défense essentielle contre la compromission de comptes, les attaquants ont adapté leurs tactiques pour cibler le processus d’authentification lui-même.
Une technique courante est la fatigue MFA, aussi appelée « prompt bombing ». L’attaquant déclenche de façon répétée des demandes d’approbation jusqu’à ce que l’utilisateur finisse par en accepter une, souvent par agacement face au déluge de notifications.
Un exemple célèbre remonte à 2022, lorsque des attaquants ont ciblé un employé d’Uber avec des requêtes MFA incessantes jusqu’à l’approbation d’une d’entre elles.
Ce premier accès a permis aux attaquants d’élever leurs privilèges et de pénétrer plus profondément dans l’environnement d’Uber, ce qui a finalement abouti à la compromission d’une grande partie de son infrastructure cloud et à l’exposition de données personnelles des employés.
Les attaquants utilisent aussi des outils d’interposition ou de détournement de session pour contourner totalement la MFA en volant les jetons de session authentifiés après la connexion.
Les attaques de phishing d’identifiants contournent les protections traditionnelles
Le phishing pour voler des identifiants reste répandu. Les attaques actuelles atteignent un niveau de sophistication inédit. Les attaquants emploient désormais des services d’hébergement légitimes, des domaines de confiance, des proxies inverses et du contenu généré par intelligence artificielle pour créer des pages de phishing qui imitent fidèlement des portails de connexion authentiques.
Des chercheurs en menaces chez Outpost24 ont récemment découvert une campagne de phishing qui utilisait un domaine légitime de Cisco via une attaque de redirection en chaîne, une méthode conçue pour échapper à la détection et gagner en crédibilité.
De telles campagnes montrent combien ces attaques peuvent être difficiles à identifier, même pour des utilisateurs sensibilisés à la sécurité.
Le rapport d’enquête sur les violations de données de Verizon indique que les identifiants volés sont impliqués dans 44,7% des brèches.
Les terminaux étendent la surface d’attaque
Les employés accèdent régulièrement aux applications de l’entreprise depuis des ordinateurs portables personnels, des appareils mobiles non gérés et des systèmes qui opèrent en dehors des contrôles de sécurité traditionnels.
Par conséquent, le service informatique dispose d’une visibilité limitée sur le fait que les employés se connectent aux réseaux internes avec des appareils dont les mises à jour de sécurité sont manquantes ou qui sont infectés par des logiciels malveillants.
Les terminaux compromis offrent aussi une voie d’entrée précieuse vers des environnements de confiance. Les logiciels infostealer sont devenus un contributeur majeur à l’activité de prise de contrôle de compte, car ils collectent directement depuis les appareils des utilisateurs les identifiants, les mots de passe enregistrés dans le navigateur et les cookies de session authentifiés.
Les solutions spécialisées comme Specops Device Trust interviennent à ce niveau. En procédant à des analyses continues tout au long des sessions, cette solution vérifie la présence de menaces actives comme des contrôles de sécurité désactivés ou des logiciels obsolètes.
L’intégration avec les fournisseurs d’identité existants, les VPN et les outils d’authentification unique permet aux équipes de sécurité d’étendre leur configuration actuelle plutôt que de la remplacer. Cela renforce les décisions d’accès sans entraver l’expérience des utilisateurs.

Pourquoi les attaques basées sur l’identité sont si difficiles à stopper
L’une des raisons principales du succès persistant des prises de contrôle de compte est que de nombreux contrôles de sécurité considèrent encore l’authentification réussie comme la seule preuve de confiance. Les outils traditionnels de gestion des identités et des accès sont conçus pour vérifier les identifiants et les flux d’authentification, mais pas nécessairement pour déterminer si la personne qui les utilise est digne de confiance.
Ce défi s’accentue avec l’adoption de modèles de travail hybride, d’infrastructures cloud-first et de politiques d’utilisation de matériel personnel. Les équipes de sécurité doivent équilibrer des contrôles d’accès stricts avec les exigences d’utilisabilité et de productivité.
Cela crée un compromis difficile : soit elles bloquent l’accès depuis les appareils qui ne respectent pas les normes de sécurité et risquent de perturber les utilisateurs, soit elles autorisent l’accès et acceptent que certains appareils soient peut-être déjà compromis. La plupart des organisations se retrouvent dans une position intermédiaire, sans résoudre complètement le problème sous-jacent de confiance.
Des incidents très médiatisés chez des organisations comme Clorox et Marks & Spencer ont confirmé la même leçon : l’identité seule ne suffit plus comme indicateur de confiance.
Stopper les attaques modernes de prise de contrôle de compte exige plus que la simple validation des noms d’utilisateur et des mots de passe. Les organisations ont aussi besoin d’une visibilité sur la posture des appareils, le risque de session et les signaux comportementaux pendant tout le cycle de vie de l’accès.
Cette évolution suscite un intérêt croissant pour les modèles de vérification continue, où la confiance est évaluée non seulement à la connexion, mais tout au long de la session.
Gérer le risque de prise de contrôle de compte avec Specops
Specops Device Trust incarne l’évolution nécessaire à la sécurité des identités en mode Zero Trust. En introduisant la confiance des appareils dans l’équation, les équipes de sécurité obtiennent une image plus claire de qui accède aux ressources grâce à :
- Authentification des appareils : Garantir que seuls les appareils approuvés peuvent accéder aux ressources sensibles en associant les utilisateurs à des appareils de confiance.
- Vérification continue des appareils : Contrôler la posture des appareils au moment de la connexion et pendant toute la session, sur des critères comme les mises à jour du système d’exploitation, les versions des navigateurs et les outils de sécurité.
- Couverture flexible des appareils : Appliquer des politiques à la fois sur les appareils d’entreprise et personnels, avec la capacité d’adapter l’accès en fonction du risque et du contexte.
- Correction à l’accès : Traiter les problèmes dès qu’ils surviennent sans interrompre inutilement les utilisateurs. Au lieu d’imposer des réinitialisations de mot de passe ou de bloquer complètement l’accès, vous pouvez guider les utilisateurs pour qu’ils résolvent les problèmes et continuent à travailler en sécurité.
En intégrant la confiance des appareils avec Specops, vous réduisez les chances d’une prise de contrôle de compte sans ralentir vos équipes.
Article sponsorisé et rédigé par Specops Software.
