Les attaques basées sur l'identité dominent le paysage des cybermenaces (et font la une des journaux). S'agit-il d'une tendance entièrement nouvelle, ou est-ce seulement l'accent mis sur ces attaques qui est nouveau ?
Nick Ascoli, chercheur en sécurité et animateur de Leaky Weekly, s'est entretenu avec Mike Iaconiani, expert en sécurité des identités chez Flare, au sujet du rapport 2025 de Microsoft sur la défense numérique et de leurs questions à ce sujet.
Dans ce récapitulatif hebdomadaire de Leaky, nous abordons les points suivants :
- L'identité est-elle importante ? vraiment Un problème si important ?
- Une sécurité qui prend en compte les agents d'IA et les identités non humaines
- Augmentation des attaques par pulvérisation de mots de passe et des vols de jetons
- Le rôle des intermédiaires d'accès initial dans la cybercriminalité
- Les modifications de jeux (mods) comme vecteur d'attaque inattendu
- Remise en question des rapports de Microsoft sur les attaques de voleurs d'informations
Suivez ce reportage sur Spotify, Podcasts Apple, YouTube (ci-dessous), et/ou continuez à lire cet article pour en découvrir les points saillants.
La sécurité de l'identité est-elle un nouveau sujet de discussion ?
Ces deux dernières années, l'accent a été mis sur la protection des identités. Cela s'explique probablement par le fait que les données sensibles et réglementées, auparavant stockées sur site, sont désormais hébergées dans une application SaaS. De plus, une simple authentification via un cookie ou une autre forme d'accès à une application SaaS est possible.
Il y a une dizaine d'années, les acteurs malveillants devaient maîtriser le pivotement interne et le piratage, tandis que désormais, ils sont capables de trouver des identifiants fonctionnels avec beaucoup plus d'assurance grâce à de fichiers cleptogiciels et en martelant un portail de connexion.
Pour compléter ce changement de méthode d'attaque, les acteurs malveillants automatisent désormais les attaques par force brute grâce à des agents d'IA.
Notre conclusion : l’identité est devenue un sujet de discussion plus important ces dernières années, car le stockage des données et les méthodes de connexion ont évolué, tout comme les méthodes des acteurs malveillants.
Agents IA et identités non humaines : la prochaine frontière
L'une des conclusions les plus novatrices de Microsoft porte sur les identités non humaines : les comptes utilisés par les services, les applications et les agents d'IA/identités non humaines.
Les identités non humaines (INH) sont les identifiants, jetons et secrets utilisés par les applications, les services et les processus automatisés pour s'authentifier et communiquer entre eux. Il s'agit notamment des clés API, des identifiants de compte de service, des jetons OAuth, des chaînes de connexion aux bases de données et des certificats de communication machine à machine.
Les identités virtuelles (NHI) sont aujourd'hui bien plus nombreuses que les identités humaines dans la plupart des organisations, souvent dans un rapport de 10 pour 1, voire plus. Si ces agents disposent de larges autorisations API ou d'un accès à des bases de données sensibles, cela représente une faille de sécurité majeure. Elles sont intégrées aux pipelines CI/CD, à l'infrastructure cloud, aux intégrations tierces et à l'automatisation interne. Lorsque ces identifiants sont divulgués via des référentiels mal configurés, des fichiers de configuration exposés ou des environnements de développement compromis, ils offrent aux attaquants un accès persistant, souvent très privilégié, qui peut rester indétecté pendant des mois.
La surveillance des comptes d'identification nationaux exposés est essentielle car ils ne bénéficient généralement pas des mêmes contrôles de sécurité que les comptes humains : ils disposent rarement d'une authentification multifacteur, ils sont souvent surprivilégiés et leur compromission peut ne pas déclencher les mêmes alertes qu'une connexion humaine suspecte.
Mais l'IA n'est pas seulement une partie du problème, elle fait aussi partie de la solution. Microsoft encourage les équipes de sécurité à tirer parti de l'IA pour l'analyse à grande échelle des journaux, la gouvernance des identités et la détection des anomalies afin de devancer les attaques automatisées.
L'explosion des sprays de mots de passe et du vol de jetons
Les données télémétriques de Microsoft montrent que les acteurs malveillants changent régulièrement d'adresse IP pour échapper à la détection. De plus en plus, ces campagnes sont assistées par l'IA, des agents alimentant automatiquement les portails d'identité avec des listes d'identifiants. Nick souligne : « Si vous fournissez à un agent IA une liste d'identifiants et que vous lui demandez de se connecter à 50 portails, il le fera. Ce n'est pas de la théorie, c'est une réalité. »
Chez Flare, nous constatons une augmentation des discussions entre acteurs malveillants concernant le vol de jetons, et les logiciels malveillants voleurs d'informations ciblent le cookie ESTSAUTHPERSISTENT qui permet aux acteurs malveillants de contourner l'authentification multifacteur.
Les équipes de sécurité peuvent également intégrer l'automatisation et l'IA pour lutter contre les attaques par pulvérisation de mots de passe, détecter les abus d'identifiants et appliquer des politiques MFA adaptatives dans les environnements cloud et SaaS.
Les courtiers en accès initial et leurs compétences spécialisées
Le rapport de Microsoft consacre une section à courtiers d’accès initial (IAB), qui sont des acteurs malveillants spécialisés dans la vente de points d'entrée dans les environnements d'entreprise.
Les données montrent que 80 % des vecteurs d'accès initiaux utilisés par les courtiers d'accès commencent par une compromission basée sur les identifiants. Ces identifiants sont souvent récupérés par des logiciels malveillants voleurs d'informations et revendus sur marchés du dark web.
Cela peut être lié à une infection par Rançongiciels ciblant une entreprise dont les journaux de vol de données pourraient circuler. VerizonDBIR Un indicateur relativement fiable suggère que les voleurs d'informations sont utilisés par les auteurs de rançongiciels. Le rapport souligne que le délai médian entre la divulgation de l'information par la victime et la détection des identifiants volés est de deux jours.
ClickFix et les mods de jeux : des vecteurs d’infection inattendus
Parmi les révélations les plus surprenantes issues de la télémétrie de Microsoft figure l'essor de l'attaque d'ingénierie sociale ClickFix : les victimes sont invitées à saisir des commandes malveillantes dans la boîte de dialogue Exécuter de Windows sous prétexte de dépannage.
Microsoft attribue près de la moitié des événements d'accès initiaux (47 %) liés aux infections par des voleurs d'informations à une tromperie de type ClickFix.
Plus surprenant encore ? Les faux mods pour Roblox et Minecraft restent de puissants vecteurs d’infection. Comme le souligne Mike : « Ils sont probablement à l’origine de certaines des plus importantes violations de données de ces deux dernières années – et ce n’est pas une blague. »
Lumma Stealer domine le marché du vol d'informations
Le rapport identifie Lumma Stealer comme le voleur d'informations le plus répandu en 2025, responsable de 51 % de toutes les infections observées, suivi par Atomic Stealer (21 %).
Un chiffre a particulièrement retenu l'attention de nos chercheurs : la Russie se classe deuxième au niveau mondial en termes d'appareils « infectés ». Étant donné que la plupart des logiciels espions sont conçus pour ne pas s'exécuter sur les systèmes russes, les données de Microsoft reflètent probablement des charges utiles bloquées ou non exécutées, et non des exfiltrations réussies.
Nick résume : « Ces journaux ne circulent probablement pas — ils sont détectés avant l'exécution. Mais il s'agit néanmoins d'une télémétrie fascinante. »
Points clés à retenir pour votre équipe de sécurité
Les conseils de Mike en conclusion sont pratiques et urgents.
- Activez l'authentification multifacteur (MFA) de manière universelle, en particulier pour les applications cloud et SaaS.
- Audit des comptes de service et des identités non humaines
- Limiter les autorisations des applications OAuth et surveiller l'utilisation des jetons
- Formez vos hommes, car les hommes constituent la première ligne de défense.
Les organisations qui privilégient la protection de l'identité, qu'elle soit humaine ou machine, seront les mieux préparées à évoluer avec l'IA.
Leaky Weekly et Flare Academy
Leaky Weekly vous est présenté par Flare, solution de gestion de l'exposition aux menaces et ensemble de données de pointe sur la cybercriminalité qui s'intègre à votre programme de sécurité en 30 minutes. Découvrez ce qui se trouve sur le dark web (et plus encore) concernant votre organisation avec un essai gratuit.
Finalisez la commande Flare Academy:
- Notre série de formations gratuites, animée par des experts, aborde des sujets essentiels tels que le renseignement sur les menaces, la sécurité opérationnelle et les techniques d'enquête avancées (obtenez des crédits CPE pour vos certifications en cybersécurité).
- Notre communauté Discord est un espace d'apprentissage auprès de professionnels et d'étudiants en cybersécurité, où vous pouvez consulter les ressources de formation précédentes et vous tenir informé des formations à venir.
