Le Rapport d'enquête sur les violations de données Verizon 2025 (DBIR)Cette étude, basée sur 22 052 incidents et 12 195 violations confirmées dans 139 pays, décrit en détail comment les acteurs malveillants obtiennent et conservent l’accès aux systèmes. Les vecteurs d’attaque basés sur l’identité, notamment l’utilisation d’identifiants volés, restent prédominants dans tous les environnements et secteurs.
Nous sommes fiers d'avoir contribué au rapport DBIR de Verizon et d'avoir aidé à mieux comprendre le rôle des identifiants volés dans les attaques.
-
Les identifiants volés règnent en maîtres comme méthode principale des attaques
Les identifiants étaient impliqués dans 88 % des violations d'attaques d'applications Web de base, ce qui en fait non seulement le vecteur d'attaque initial le plus courant, mais aussi, fréquemment, le seul.
Ces qualifications sont souvent obtenues par le biais de :
- Infovoleurs – Logiciel malveillant conçu pour extraire les mots de passe enregistrés, les cookies et les portefeuilles de cryptomonnaies.
- Attaques par force brute – deviner sans relâche les identifiants jusqu'à ce que l'un d'eux cède.
- Portes dérobées et systèmes C2S – accès persistant après compromission initiale.
Ces tactiques témoignent d'un écosystème criminel en pleine expansion où les identifiants de connexion sont précieux. Des marchés entiers ont émergé pour l'achat et la vente de données volées, notamment :
- Forums et places de marché du dark web
- salons de discussion à accès premium
- Bases de données de voleurs d'informations en direct
- Chaînes Telegram illicites
-
Un logiciel malveillant voleur d'informations affecte les actifs de l'entreprise
Le logiciel malveillant Infostealer ne se contente pas de voler les identifiants de connexion sur l'appareil de la victime ; il peut également dérober les mots de passe et les cookies enregistrés. D'après l'analyse de plus de 33,000 journaux de vol d'informationsDes chercheurs ont découvert que de nombreux identifiants donnent accès à bien plus que des messageries personnelles ou des services de streaming. Les cybercriminels obtiennent également un accès à :
- VPN
- Consoles d'administration cloud
- Dépôts GitHub internes
- Outils de développement
Parmi les journaux de vol de données analysés, 30 % des systèmes étaient des systèmes sous licence d'entreprise, c'est-à-dire des appareils appartenant à des sociétés. De plus, on estime que… 46 % des appareils compromis susceptibles de contenir des identifiants d'entreprise n'étaient pas gérés.—ce qui suggère des contrôles BYOD insuffisants ou une utilisation de l'informatique parallèle.
Des contrôles BYOD plus stricts permettraient aux organisations de se protéger contre l'accès non autorisé aux données de connexion de l'entreprise sur les appareils personnels.
Pour en savoir plus sur le rôle des journaux de vol dans la cybercriminalité concernant les appareils d'entreprise, consultez la section suivante : Journaux des voleurs, authentification unique et nouvelle ère de la cybercriminalité en entreprise.
-
Les logiciels malveillants voleurs d'informations et les rançongiciels sont corrélés.
Les identifiants volés se retrouvent également dans opérations de RançongicielsLe rapport DBIR révèle que :
- 54 % des victimes de Rançongiciels ont vu leurs identifiants retrouvés dans les journaux des voleurs d'informations.
- 40 % de ces journaux contenaient des courriels d'entreprise.
De plus, le délai médian entre la divulgation par la victime d'un Rançongiciels et la détection des identifiants volés associés étant de deux jours, cela indique fortement que les opérateurs de Rançongiciels exploitent des logiciels malveillants voleurs d'informations.
Il s'agit là de l'une des recherches les plus claires à ce jour établissant un lien entre la divulgation d'identifiants et les attaques de Rançongiciels.
Attaques simplifiées, impacts complexes
Le DBIR de cette année nous rappelle une fois de plus que Les violations complexes commencent souvent par quelque chose de simple.— un mot de passe réutilisé, un identifiant oublié ou une politique BYOD qui relève plus de la suggestion que de la norme. L’espionnage s’intensifie peut-être, mais le vecteur reste le même : les identifiants volés.
Principaux points à retenir pour les équipes de sécurité
- L'accès par identifiants reste le principal point d'entrée.Les organisations devraient accorder la priorité à la visibilité sur l'exposition des identifiants externes, notamment à partir des journaux des voleurs d'informations et des systèmes tiers.
- Les appareils non gérés représentent une surface d'exposition majeure aux risques liés à l'usurpation d'identité.Les données d'identité collectées à partir de points de terminaison non gérés doivent être évaluées en parallèle avec les données de télémétrie des points de terminaison.
- Les solutions SaaS/informatiques parallèles et la réutilisation des identifiants associés restent insuffisamment surveillées : La réduction du temps de correction des expositions d'identité SaaS non déclarées ou non prises en compte dans les solutions SaaS d'entreprise devrait être un indicateur clé de performance (KPI).
- Les secrets divulgués fonctionnent comme des artefacts identitaires.Traitez les jetons d'authentification, les clés API et les JWT comme des données d'identité de grande valeur nécessitant la même protection que les mots de passe.
- Les signaux comportementaux et liés à l'usage ne suffisent pas.Les renseignements externes sur les identifiants divulgués complètent la surveillance interne en fournissant des signaux de détection précoce qui ne sont pas visibles autrement.
Téléchargez et lisez le rapport complet : Rapport d'enquêtes sur la violation de données 2025 pour en savoir plus sur le paysage des menaces actuel.
Gestion de l'exposition aux menaces avec des fusées éclairantes
La fusée Gestion de l'exposition aux menaces (TEM) Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit.
