Tout savoir sur le vol d'identifiants : techniques, détection et mesures de protection pour les entreprises

Aperçu de la situation

Le vol d'identifiants est la principale cause de violation de données. Les identifiants volés ont été à l'origine de 22 % de toutes les violations en 2025 (rapport DBIR de Verizon), le nombre de comptes compromis ayant bondi de 389 % par rapport à l'année précédente.
La chaîne d'approvisionnement des logiciels de vol d'informations est industrialisée. Les pirates ont récolté 1,8 milliard d'identifiants rien qu'au premier semestre 2025, soit une augmentation de 800 %, tandis que 16 milliards d'identifiants ont fait leur apparition dans une compilation record sur le dark web.
L'authentification à deux facteurs (MFA) traditionnelle ne suffit plus. La campagne SSO de ShinyHunters (janvier 2026) a contourné en temps réel l'authentification à deux facteurs basée sur les notifications push. Seule une authentification à deux facteurs phishing(FIDO2/clés d'accès) offre une protection efficace.
Les violations liées aux identifiants coûtent en moyenne 4,8 millions de dollars et il faut environ 292 jours pour les détecter et les maîtriser, ce qui rend leur détection précoce essentielle.
La défense nécessite une observabilité unifiée. Une protection efficace contre le vol d'identifiants combine l'analyse comportementale, la détection et la réponse aux menaces liées à l'identité (ITDR), zero trust » et une surveillance continue des identifiants sur l'ensemble du réseau, des identités et cloud.

Le vol d'identifiants s'accélère à un rythme que la plupart des équipes de sécurité ne parviennent pas à suivre. Selon le rapport DBIR 2025 de Verizon, les identifiants volés ont été à l'origine de 22 % de toutes les violations confirmées — soit le pourcentage le plus élevé parmi tous les vecteurs d'attaque — tandis que le rapport 2026 d'Unit 42 sur la réponse aux incidents a révélé que les failles d'identité jouaient un rôle déterminant dans 90 % des enquêtes. Ce guide détaille le cycle de vie du vol d'identifiants, de l'acquisition initiale à l'exploitation, et cartographie l'ensemble MITRE ATT&CK et présente les stratégies de détection et de prévention dont les entreprises ont besoin pour se défendre contre les attaques basées sur les identifiants en 2026 et au-delà.

Qu'est-ce que le vol d'identifiants ?

Le vol d'identifiants désigne l'acquisition non autorisée d'éléments d'authentification — noms d'utilisateur, mots de passe, jetons, cookies de session, clés API et certificats — utilisés pour usurper l'identité d'utilisateurs légitimes et obtenir un accès non autorisé à des systèmes, des applications et des données. Contrairement aux attaques par force brute qui tentent de deviner les identifiants, le vol d'identifiants cible des identifiants valides existants par le biais phishing, malware, d'ingénierie sociale ou de l'exploitation d'un stockage non sécurisé des identifiants.

Le vol d'identifiants est préoccupant car il permet aux attaquants d'évoluer au sein des environnements en se faisant passer pour des collaborateurs de confiance. Le rapport DBIR 2025 de Verizon a confirmé que les identifiants volés étaient à l'origine de 22 % de toutes les violations parmi 12 195 incidents confirmés — soit plus que tout autre vecteur d'accès initial. Le rapport TRU 2025 d'eSentire a fait état d'une hausse de 389 % d'une année sur l'autre du nombre de comptes compromis, les identifiants valides étant à l'origine de 55 % de tous les incidents de sécurité observés. Enfin, le rapport Unit 42 2026 sur la réponse aux incidents a révélé que les failles d'identité — dont beaucoup trouvent leur origine dans des identifiants volés ou compromis — ont joué un rôle déterminant dans 90 % des enquêtes, 65 % des accès initiaux ayant été spécifiquement facilités par des techniques de cyberattaques basées sur l'identité.

Ces chiffres témoignent d'un changement radical. Les pirates préfèrent de plus en plus se connecter plutôt que de s'introduire par effraction, faisant du vol d'identifiants la voie privilégiée pour commettre des violations de données, déployer des ransomwares et compromettre la chaîne d'approvisionnement.

Vol d'identifiants vs « credential stuffing »

Il est essentiel de bien comprendre la distinction entre ces termes apparentés pour réaliser une modélisation précise des menaces.

Tableau : Vol d'identifiants, credential stuffing et collecte d'identifiants.

Terme	Définition	Différence essentielle
Vol d'identité	La catégorie générale qui englobe toutes les méthodes de vol de données d'authentification (mots de passe, jetons, cookies, clés)	Terme générique désignant l'ensemble du cycle de vie d'une attaque
Remplissage de documents d'identité	Une technique spécifique (`T1110.004`) qui utilise des combinaisons nom d'utilisateur-mot de passe déjà compromises pour tenter de se connecter à d'autres services	Exploite la réutilisation des mots de passe ; nécessite une violation préalable
Récolte de données d'identification	La phase de collecte dans le cadre du vol d'identifiants, au cours de laquelle les pirates récupèrent des données d'authentification à grande échelle par le biais phishing, de programmes de vol d'informations ou du scraping	Se concentre sur la phase d'acquisition, et non sur l'exploitation

Avec un taux de réutilisation des mots de passe de 51 % entre les différents services (rapport DBIR 2025 de Verizon), le credential stuffing reste une technique très efficace — mais il ne s'agit là que d'une technique parmi d'autres dans le contexte plus large du vol d'identifiants.

Comment fonctionne le vol d'identifiants

Le vol d'identifiants moderne fonctionne comme une chaîne d'approvisionnement industrialisée comportant quatre phases distinctes. Comprendre chacune de ces phases aide les équipes de sécurité à mettre en place des contrôles de détection à chaque étape.

Compromission. Les pirates s'emparent des identifiants par le biais de phishing , malware de vol d'informations, d'ingénierie sociale ou de l'exploitation de bases de données d'identifiants exposées. Les plateformes Phishing(PhaaS) — disponibles pour 200 à 300 dollars par mois — ont été à l'origine de 63 % des compromissions de comptes en 2025, en utilisant des techniques d'« adversaire intermédiaire » (AitM) pour contourner l'authentification multifactorielle (MFA) et voler des jetons de session (eSentire 2025).
Collecte. Les identifiants volés proviennent de bases de données d'identifiants, de sauvegardes de mémoire du système d'exploitation, de coffres-forts de mots de passe des navigateurs et d'interceptions réseau. malware de type « infostealer » malware 1,8 milliard d'identifiants au cours du premier semestre 2025, soit une augmentation de 800 %, sur 5,8 millions d'hôtes compromis (analyse Flashpoint 2025 sur les infostealers).
Validation. Les pirates utilisent des outils automatisés pour tester à grande échelle les identifiants récupérés sur les services ciblés. Les outils de vérification des identifiants valident rapidement les paires d'identifiants volés, en distinguant les comptes actifs des identifiants expirés.
Exploitation. Des identifiants validés permettent l'accès aux comptes, la propagation latérale, l'escalade des privilèges, l'exfiltration de données et le déploiement de ransomware. En 2025, les 25 % d'intrusions les plus rapides ont abouti à l'exfiltration de données en seulement 72 minutes — contre 285 minutes en 2024 — tandis que le délai moyen de propagation des cybercrimes est tombé à 29 minutes (Rapport mondial sur les menaces 2026 de CrowdStrike).

*Le cycle de vie du vol d'identifiants, de l'acquisition initiale à l'exploitation.*

Le marché des identifiants sur le dark web amplifie chaque étape. Une fuite sans précédent survenue en février 2026 a révélé la présence de 16 milliards d'identifiants compilés sur le dark web, et le rapport DBIR 2025 de Verizon a révélé que seuls 49 % des mots de passe d'un utilisateur moyen, tous services confondus, étaient uniques — ce qui signifie que la réutilisation de 51 % des mots de passe alimente le « credential stuffing » à très grande échelle.

Types d'attaques visant le vol d'identifiants

Les pirates ont recours à un large éventail de techniques de vol d'identifiants, dont beaucoup sont officiellement répertoriées dans MITRE ATT&CK TA0006 (Accès aux identifiants) MITRE ATT&CK MITRE ATT&CK . Le MITRE ATT&CK recense 17 techniques, comprenant plus de 50 sous-techniques, dans le cadre de cette tactique. Voici les principales catégories.

Extraction des identifiants (T1003). Les pirates extraient les identifiants directement de la mémoire du système d'exploitation, de la base de données Active Directory ou de la réplication du contrôleur de domaine. Parmi les techniques utilisées, on trouve l'extraction de la mémoire LSASS (T1003.001), accès aux fichiers NTDS (T1003.003), ainsi que les attaques DCSync (T1003.006). Des outils tels que Mimikatz sont souvent utilisés pour extraire les identifiants dans le cadre d'attaques post-compromission.

Attaques par force brute (T1110). Le « password spraying » (T1110.003) consiste à tester des mots de passe courants sur de nombreux comptes pour éviter les blocages, tandis que le « credential stuffing » (T1110.004) exploite les paires déjà compromises pour attaquer de nouveaux services.

Collecte d'identifiants à partir de bases de données de mots de passe (T1555). Les pirates s'attaquent aux identifiants enregistrés dans le navigateur (T1555.003) et les gestionnaires de mots de passe (T1555.005). Selon le Rapport Picus Red 2026, T1555 (Les identifiants provenant de bases de données de mots de passe) ont été utilisés dans 23,49 % de toutes les attaques analysées, ce qui en fait l'une des techniques de vol d'identifiants les plus fréquemment observées.

phishing d'identifiants. Les attaques phishing spear phishing recourent à de fausses pages de connexion, au piratage des messageries professionnelles et phishing vocal phishing inciter les utilisateurs à divulguer leurs identifiants. Les plateformes PhaaS ont industrialisé ce vecteur d'attaque.

Kerberoasting (T1558.003). Les pirates demandent des tickets de service Kerberos pour des comptes de service et les déchiffrent hors ligne afin de récupérer les mots de passe en clair, ce qui leur permet élévation des privilèges.

Interception sur le réseau (T1557). Les attaques de type « man-in-the-middle », y compris l'empoisonnement LLMNR/NBT-NS (T1557.001), intercepter le trafic d'authentification sur le réseau afin de capturer les identifiants en transit.

Identifiants non sécurisés (T1552). Les identifiants stockés dans des fichiers en clair (T1552.001) ou accessibles via les API de métadonnées cloud (T1552.005) sont directement récupérées par les pirates disposant d'un accès au système.

Contournement de l'AMF (T1556.006, T1621). Les pirates modifient les processus d'authentification ou tirent parti de la lassitude liée à l'authentification multifactorielle en inondant les utilisateurs de notifications push répétées afin de contourner les protections multifactorielles.

Cartographie de l'accès MITRE ATT&CK

Le tableau ci-dessous met en correspondance les principales techniques d'accès MITRE ATT&CK avec leurs méthodes d'attaque et leurs approches de détection.

Tableau : Techniques d'accès MITRE ATT&CK (TA0006) mises en correspondance avec les méthodes de détection.

ID de la technique	Nom de la technique	Méthode d'attaque	Approche de détection
`T1003.001`	Extraction des informations d'identification du système d'exploitation : mémoire LSASS	Extraire les identifiants de la mémoire du processus LSASS de Windows	Surveiller les accès à LSASS par des processus non standard
`T1003.003`	Extraction des identifiants du système d'exploitation : NTDS	Accéder au fichier de base de données du domaine Active Directory	Détecter l'utilisation de ntdsutil.exe et la création de clichés de volume
`T1003.006`	Extraction des identifiants du système d'exploitation : DCSync	Exploitation abusive du protocole de réplication des contrôleurs de domaine	Surveiller les demandes de réplication inhabituelles provenant d'hôtes qui ne sont pas des contrôleurs de domaine
`T1110.003`	Force brute : attaque par pulvérisation de mots de passe	Vérifier les mots de passe courants sur plusieurs comptes	Alerte concernant des échecs d'authentification sur plusieurs comptes
`T1110.004`	Force brute : Credential Stuffing	Utiliser des paires d'identifiants piratées pour accéder à de nouveaux services	Détecter les tentatives de connexion massives provenant de sources inhabituelles
`T1555.003`	Identifiants provenant des magasins de mots de passe : navigateurs Web	Extraire les identifiants enregistrés dans le navigateur	Surveiller l'accès aux fichiers contenant les bases de données d'identifiants des navigateurs
`T1555.005`	Identifiants provenant de bases de données de mots de passe : gestionnaires de mots de passe	Cibler les coffres-forts de credentials tiers	Détecter les accès non autorisés aux fichiers du coffre-fort de mots de passe
`T1056.001`	Capture des saisies : enregistrement des frappes	Enregistrer les frappes pour récupérer les identifiants au fur et à mesure qu'ils sont saisis	Surveiller les indicateurs de processus des enregistreurs de frappe et les hooks API
`T1557.001`	Attaque de type « adversaire au milieu » : empoisonnement LLMNR/NBT-NS	Falsification de la résolution de noms pour l'interception des informations d'identification	Surveiller les réponses LLMNR/NBT-NS provenant d'hôtes inattendus
`T1558.003`	Vol ou falsification de tickets Kerberos : Kerberoasting	Demander et déchiffrer des tickets de service Kerberos hors ligne	Alerte concernant un volume élevé de demandes de tickets du service Kerberos
`T1558.001`	Vol ou falsification de tickets Kerberos : le « golden ticket »	Falsifier des TGT à l'aide d'un hachage KRBTGT volé	Détecter les anomalies de la cible (TGT) et les authentifications de domaine inhabituelles
`T1539`	Voler un cookie de session Web	Obtenir des cookies de session pour l'accès authentifié	Surveiller la réutilisation des jetons de session à partir de nouveaux emplacements
`T1528`	Voler le jeton d'accès de l'application	Obtenir des jetons OAuth ou API pour accéder au service	Suivre les schémas d'autorisation OAuth et les anomalies dans l'utilisation des jetons
`T1552.001`	Identifiants non sécurisés : identifiants contenus dans des fichiers	Rechercher les identifiants en clair dans les fichiers et les scripts	Analyser les référentiels à la recherche de secrets ; générer une alerte en cas d'accès à un fichier contenant des identifiants
`T1552.005`	Identifiants non sécurisés : API des métadonnées Cloud	Interroger les points de terminaison cloud pour obtenir les informations d'identification	Surveiller les modèles d'accès à l'API des métadonnées à partir des charges de travail
`T1556.006`	Modifier le processus d'authentification : MFA	Désactiver ou modifier les mécanismes d'authentification à plusieurs facteurs	Détecter les modifications apportées à la configuration de l'authentification multifactorielle (MFA) et aux politiques
`T1621`	Génération d'une demande de MFA	Contourner l'authentification à deux facteurs (MFA) en raison de la lassitude face aux notifications push	Alerte concernant des demandes répétées d'authentification multifactorielle (MFA) sur une courte période
`T1606.002`	Créer des identifiants Web : jetons SAML	Générer des jetons SAML pour l'accès fédéré	Surveiller les anomalies au niveau des assertions SAML et les modifications apportées à la signature

Le rapport Picus Red 2026 a également relevé une baisse de 38 % du déploiement de ransomwares, ce qui témoigne d'une tendance générale vers une « présence silencieuse » reposant sur l'utilisation d'identifiants volés — les attaquants utilisant ces identifiants pour conserver un accès persistant et furtif plutôt que de déployer des logiciels malveillants bruyants malware.

Nouveaux vecteurs de vol d'identifiants

Le paysage du vol d'identifiants évolue rapidement, dépassant le simple vol de mots de passe traditionnel. Plusieurs vecteurs que les concurrents négligent systématiquement constituent un risque croissant pour les entreprises.

Vol de jetons et de sessions (T1539, T1528). Le vol d'identifiants modernes vise de plus en plus les jetons d'authentification et les cookies de session plutôt que les mots de passe. Le vol de cookies de session contourne totalement l'authentification multifactorielle (MFA), car le pirate hérite d'une session déjà authentifiée. L'utilisation abusive des jetons OAuth confère un accès persistant aux API qui survit aux réinitialisations de mot de passe. Ce vecteur de menace prend de l'ampleur à mesure que les organisations adoptent des architectures cloud et fortement axées sur le SaaS.

malware de type « infostealer ». Ces logiciels malveillants s'étendent désormais de Windows à macOS ; des chercheurs de Microsoft ont ainsi recensé des variantes multiplateformes telles que DigitStealer, MacSync et AMOS, qui recourent à l'exécution sans fichier et à l'automatisation via AppleScript. De nouvelles méthodes de diffusion, comme ClickFix (faux pièges CAPTCHA), contournent les contrôles de sécurité traditionnels des e-mails.

Vol d'identifiants orchestré par l'IA. L'indice IBM X-Force 2026 Threat Index a signalé l'apparition de plus de 300 000 identifiants ChatGPT sur le dark web et une augmentation globale de 44 % des attaques. Les identifiants volés sont utilisés pour détourner des systèmes d'IA agentique — ce que SecurityWeek qualifie de « problème de rayon d'action » —, les identifiants compromis permettant d'accéder non seulement à des comptes individuels, mais aussi à des flux de travail automatisés dans leur intégralité. La sécurité des IA agentiques devient une préoccupation majeure, car les agents IA héritent des autorisations de leurs comptes de service.

CiblageCloud . Le vol d'identifiants est la principale technique utilisée contre les infrastructures cloud ; selon Thales, 67 % des organisations sont concernées. Le rapport Unit 42 2026 a révélé que 99 % des cloud , rôles et services cloud disposaient de droits d'accès excessifs — notamment des accès inutilisés depuis 60 jours ou plus —, créant ainsi une vaste surface d'attaque pour cloud volés.

Le vol d'identifiants dans la pratique

Les violations de sécurité survenues dans la réalité montrent comment le vol d'identifiants se déroule, depuis l'accès initial jusqu'à ses conséquences catastrophiques. Ces études de cas présentent un schéma commun : un seul identifiant volé, une authentification multifactorielle (MFA) inexistante ou contournable, et des conséquences en cascade considérables.

Fuite de données chez Snowflake (2024). L'acteur malveillant UNC5537 a utilisé des identifiants volés via malware de type « infostealer » malware dont certains remontent à 2020 — pour accéder à environ 160 instances de clients Snowflake, notamment AT&T, Ticketmaster et Santander Bank. Aucun des comptes concernés n'avait activé l'authentification multifactorielle (MFA), ce qui a permis une authentification à facteur unique à l'aide d'identifiants volés datant de plusieurs années. La chaîne d'attaque est passée de l'infection par un logiciel « infostealer » à la collecte d'identifiants, puis à leur vente sur le dark web et enfin à l' Usurpation de compte et l'exfiltration de données dans 160 organisations. (Analyse de laCloud Alliance; analyse de Google/Mandiant sur UNC5537)

Schéma : Chaîne d'attaque de la violation de Snowflake illustrant le déroulement des événements, depuis l'infection par un logiciel de vol d'informations (2020) jusqu'à la collecte d'identifiants, la vente sur le dark web, l'accès à des comptes sans authentification multifactorielle (MFA), l'exfiltration de données sur 160 instances, et enfin les répercussions en aval sur AT&T, Ticketmaster et Santander. Légende : « Chaîne d'attaque de la violation de Snowflake : comment des identifiants volés des années auparavant ont permis une violation massive de la chaîne d'approvisionnement. »

Faille de sécurité chez PowerSchool (janvier 2025). Un seul ensemble d'identifiants piratés — non protégés par une authentification multifactorielle (MFA) — a permis à un pirate d'accéder au portail d'assistance client de PowerSchool, compromettant ainsi les données personnelles d'environ 62 millions d'élèves et d'enseignants dans 18 000 établissements scolaires, notamment leurs numéros de sécurité sociale et leurs informations médicales. (Analyse de TechTarget sur PowerSchool)

Campagne SSO de ShinyHunters (janvier 2026). Le groupe malveillant ShinyHunters (répertorié sous le nom d'UNC6661) a pris pour cible une centaine d'organisations en utilisantphishing avancéesphishing afin de voler des identifiants SSO Okta et d'enregistrer des appareils contrôlés par les attaquants dans le système d'authentification multifactorielle (MFA) des victimes. Parmi les cibles figuraient Atlassian, Canva, Epic Games, HubSpot, Harvard et l'UPenn. Les attaquants ont utilisé un panneau web en temps réel pour manipuler dynamiquement phishing tout en parlant aux victimes au téléphone, démontrant ainsi que l'authentification multifactorielle (MFA) traditionnelle basée sur des notifications push n'est plus suffisante. (Campagne SSO de ShinyHunters; analyse de ShinyHunters par Google/Mandiant)

Colonial Pipeline (2021). Les pirates ont utilisé un seul jeu d'identifiants VPN volés provenant d'un ancien compte dépourvu d'authentification multifactorielle (MFA) pour accéder au réseau de Colonial Pipeline, où ils ont déployé le ransomware DarkSide, provoquant l'interruption de la distribution de carburant sur toute la côte est des États-Unis pendant six jours. Ce cas montre que les comptes inactifs dotés d'identifiants valides constituent une surface d'attaque critique.

La tendance qui se dégage de ces quatre incidents est claire : le vol d'identifiants, associé à l'absence ou au contournement de l'authentification multifactorielle (MFA) et à l'existence d'identifiants inactifs et non gérés, crée des points de défaillance uniques qui facilitent les mouvements latéraux, l'amplification via la chaîne d'approvisionnement et les violations de données catastrophiques.

Impact sur l'entreprise et coût du vol d'identifiants

Les violations liées aux identifiants entraînent des coûts financiers et opérationnels quantifiables qui justifient pleinement d'investir dans la détection et la prévention du vol d'identifiants.

Tableau : Impact financier chiffré du vol d'identifiants en 2025-2026.

Métrique	Valeur	Source	Année
Coût moyen par violation liée aux identifiants	4.8 million	Étude IBM sur le coût d'une violation de données en 2025	2025
Durée moyenne d'identification et de confinement	292 jours	Étude IBM sur le coût d'une violation de données en 2025	2025
Victimes de ransomware dont les identifiants ont déjà été compromis	54%	Rapport annuel sur la sécurité des données de Verizon 2025	2025
Un logiciel malveillant d'extraction d'informations d'entreprise enregistre des identifiants d'entreprise	2,05 millions	Étude Flare 2026	2026
Augmentation des opérations menées par des adversaires utilisant l'IA	89 % en glissement annuel	Rapport mondial sur les menaces 2026 de CrowdStrike	2026

Le rapport Flare Research 2026 a également révélé que l'exposition des identités d'entreprise avait plus que doublé, passant de 6 % des infections par des logiciels de vol d'informations au début de l'année 2024 à près de 14 % à la fin de l'année 2025. Le lien entre le vol d'identifiants et les ransomwares est direct : 54 % des victimes de ransomwares avaient vu leurs identifiants précédemment exposés dans les journaux des logiciels de vol d'informations, dont 40 % contenaient des adresses e-mail professionnelles (Verizon DBIR 2025).

Ces indicateurs de cybersécurité mettent en évidence un défi majeur : les attaques par usurpation d'identifiants sont à la fois les plus coûteuses et les plus longues à détecter, ce qui laisse aux pirates près de dix mois pour agir avant que les entreprises ne parviennent à identifier et à contenir la faille.

Détection et prévention du vol d'identifiants

Une défense efficace contre le vol d'identifiants nécessite la mise en place de contrôles de détection et de prévention à plusieurs niveaux. L'objectif est de réduire à la fois le risque de compromission des identifiants et la durée de présence du pirate après la compromission.

Méthodes de détection

Analyse comportementale. Surveillez les schémas d'authentification anormaux, notamment les déplacements impossibles (connexions depuis des lieux géographiquement éloignés dans des délais impossibles), les heures de connexion inhabituelles, les accès anormaux aux ressources et les élévations de privilèges suspectes. La détection comportementale permet de repérer les abus d'identifiants qui échappent aux règles statiques et aux outils basés sur les signatures.

Détection et réponse aux menaces liées à l'identité (ITDR). Les plateformes ITDR détectent les abus d'identifiants au niveau de l'identité — en surveillant en temps réel les anomalies de session, les abus de protocoles d'authentification, l'escalade de privilèges et les mouvements latéraux basés sur l'identité. L'ITDR s'intègre aux solutions SIEM et SOAR pour automatiser les procédures d'intervention lorsque des indicateurs de vol d'identifiants apparaissent.

détection et réponse aux incidents (NDR). L'analyse du trafic réseau détecte l'exfiltration d'identifiants, les communications de commande et de contrôle, ainsi que les mouvements latéraux utilisant des identifiants volés, offrant ainsi une visibilité même lorsque endpoint sont compromis ou absents.

Honeytokens et identifiants leurres. Déployez des identifiants leurres dans l'ensemble de l'environnement. Lorsqu'un attaquant tente d'utiliser un honeytoken, cela déclenche une alerte très fiable qui confirme qu'un vol d'identifiants est en cours.

Mesures de prévention

Les organisations doivent mettre en place les mesures de contrôle suivantes afin de prévenir le vol d'identifiants. Chaque étape correspond à une phase spécifique du cycle de vie du vol d'identifiants.

Déployer une authentification multifactorielle (MFA) phishing(FIDO2/clés d'accès) sur tous les comptes
Vérifier les mots de passe par rapport aux bases de données d'identifiants compromis, conformément à la norme NIST SP 800-63B
Mettre en place une gestion des accès privilégiés avec un provisionnement à la demande
Adopter zero trust avec vérification continue conformément à la norme NIST SP 800-207
Surveiller le dark web afin de détecter toute fuite d'identifiants au sein de l'organisation
Supprimer les comptes inactifs et mettre en œuvre la gestion du cycle de vie des identifiants
Déployez des gestionnaires de mots de passe pour mettre fin à la réutilisation des mots de passe (taux de réutilisation de 51 % selon le rapport DBIR 2025 de Verizon)
Former les employés à reconnaître les techniques d'ingénierie sociale et phishing vocal

L'authentification multifactorielle (MFA) Phishing: la nouvelle norme

Les méthodes traditionnelles d'authentification multifactorielle — codes SMS, notifications push et TOTP — sont de plus en plus faciles à contourner. En janvier 2026, la campagne SSO « ShinyHunters » a démontré qu'il était possible de contourner l'authentification multifactorielle en temps réel par le biais phishing vocal phishing de l'enregistrement d'appareils contrôlés par les attaquants (analyse Google/Mandiant ShinyHunters).

Le NIST recommande les dispositifs d'authentification phishing — notamment FIDO2/WebAuthn et les clés d'accès — comme norme en matière d'authentification forte. La CISA a publié des exemples de réussite agences gouvernementales FIDO2, et le consensus qui se dégage est clair : les organisations devraient déployer une authentification multifactorielle (MFA) phishing plutôt que de s'en remettre à des méthodes MFA traditionnelles que les techniques de vol d'identifiants peuvent contourner.

Vol d'identifiants et conformité

Les mesures de contrôle contre le vol d'identifiants correspondent directement aux exigences des principaux cadres de sécurité et normes de conformité. Le tableau de correspondance ci-dessous aide les équipes GRC à établir un lien entre leurs investissements dans la protection des identifiants et les éléments probants d'audit.

Tableau : Mesures de contrôle contre le vol d'identifiants, mises en correspondance avec les principaux cadres de conformité.

Le cadre	ID de contrôle	Importance du vol d'identifiants	Lien vers les preuves
NIST CSF 2.0	PR.AA, DE.CM	Gestion des identités, authentification, surveillance continue	Cadre de cybersécurité du NIST
NIST SP 800-63B	AAL2/AAL3	Vérification des mots de passe par rapport à des bases de données piratées ; authentification multifactorielle (MFA) phishing	NIST SP 800-63B
CIS Controls v8	Commandes 5, 6, 16	Gestion des comptes, contrôle d'accès, vérification des identifiants	Mappage des contrôles CIS
ISO 27001:2022	A.8.5, A.5.16, A.8.16	Authentification sécurisée, gestion du cycle de vie des identités, surveillance	Référence de mise en correspondance ISO 27001
PCI DSS v4.0	Exigence n° 8, exigence n° 10	Authentification multifactorielle (MFA) pour l'accès aux données des titulaires de carte, la journalisation et la surveillance	Référence aux normes PCI DSS et HIPAA
HIPAA	164.312(d), 164.308(a)(5)	Authentification des utilisateurs, formation à la sensibilisation à la sécurité	Référence aux normes PCI DSS et HIPAA

Tendances futures et considérations émergentes

Le paysage du vol d'identifiants évolue rapidement. Au cours des 12 à 24 prochains mois, plusieurs tendances vont influencer la manière dont les entreprises abordent la protection et la détection des identifiants.

Attaques par usurpation d'identifiants accélérées par l'IA. Le rapport « CrowdStrike 2026 Global Threat Report » a fait état d'une augmentation de 89 % des opérations menées par des cybercriminels utilisant l'IA, tandis que l'indice « IBM X-Force 2026 Threat Index » a signalé une hausse globale de 44 % des attaques. L'IA permet aux attaquants de mettre au point phishing plus convaincantes à grande échelle, d'automatiser la validation des identifiants et d'accélérer l'exploitation des systèmes après leur compromission. L'émergence du vol d'identifiants d'agents IA — les premiers voleurs d'informations ciblant les identifiants d'agents IA ayant été découverts en février 2026 — indique que la surface d'attaque s'étend aux systèmes autonomes.

Accélération de l'adoption des clés d'accès et de la norme FIDO2. L'authentification multifactorielle (MFA) traditionnelle s'avérant de plus en plus facile à contourner, les entreprises vont accélérer l'adoption des clés d'accès et des clés matérielles FIDO2. La pression réglementaire s'intensifie : la mise à jour de la norme NIST SP 800-63 rev. 4 et l'entrée en vigueur de la directive NIS2 de l'UE en 2026 pourraient introduire de nouvelles exigences en matière d'authentification phishing.

Passage des ransomwares à la présence silencieuse. Le rapport Picus Red 2026 fait état d'une baisse de 38 % du déploiement de ransomwares, les attaquants recourant de plus en plus à des identifiants volés pour conserver un accès persistant et furtif à des fins de vol de données et d'espionnage, plutôt que de déployer des ransomwares qui attirent l'attention. Cette évolution nécessite une détection comportementale capable d'identifier les schémas d'utilisation abusive des identifiants sur des périodes de présence prolongées.

Convergence entre NDR et ITDR. Les capacités de détection s'unifient à travers cloud réseau, d'identité et cloud . Les entreprises doivent privilégier les plateformes capables de mettre en corrélation les signaux liés à l'identité (déplacements impossibles, élévation de privilèges, authentifications inhabituelles) avec les comportements réseau (mouvements latéraux, exfiltration de données) et cloud , afin de détecter le vol d'identifiants dans l'ensemble de l'environnement hybride.

Recommandations de préparation. Les organisations devraient accélérer le déploiement d'une authentification multifactorielle (MFA) phishing sur l'ensemble des comptes (en donnant la priorité aux comptes privilégiés et aux comptes de service), mettre en place une surveillance continue des identifiants afin de détecter toute exposition sur le dark web, investir dans des outils d'analyse comportementale capables de détecter l'utilisation abusive des identifiants sans recourir à des signatures, et établir des procédures d'intervention en cas d'incident couvrant l'ensemble du cycle de vie du vol d'identifiants.

Approches modernes de la lutte contre le vol d'identifiants

Le secteur s'accorde sur plusieurs capacités de défense contre le vol d'identifiants : les plateformes ITDR qui détectent en temps réel les attaques ciblant l'identité, l'analyse comportementale qui identifie l'utilisation abusive d'identifiants sans recourir à des signatures, le NDR avec corrélation d'identité pour une visibilité au niveau du réseau, l'automatisation SIEM/SOAR pour la gestion des incidents liés aux identifiants, et zero trust qui imposent une vérification continue.

Les approches les plus efficaces reposent toutes sur un principe commun : partir du principe que les identifiants seront compromis et mettre en place des capacités de détection et d'intervention permettant d'intercepter les attaquants après leur accès initial, mais avant qu'ils n'atteignent leurs objectifs. Cela implique une observabilité unifiée couvrant le réseau, l'identité et cloud corrélant les signaux sur ces trois couches afin de mettre en évidence les véritables cas d'utilisation abusive des identifiants.

Comment Vectra AI la protection contre le vol d'identifiants

La solution « Attack Signal Intelligence Vectra AI Attack Signal Intelligence les comportements des attaquants sur les réseaux, les identités et cloud détecter les techniques de vol d’identifiants qui échappent aux outils traditionnels. La plateforme met en corrélation les signaux liés aux identités — déplacements impossibles, élévation de privilèges, schémas d’authentification inhabituels — avec les comportements réseau pour mettre en évidence les véritables abus d’identifiants, réduisant ainsi le bruit des alertes tout en accélérant la détection des menaces et la réponse. Avec 12 références dans MITRE D3FEND (plus que tout autre fournisseur) et 35 brevets dans le domaine de l'IA appliquée à la cybersécurité, Vectra AI la clarté des signaux dont les équipes opérationnelles SOC ont besoin pour détecter les attaques basées sur les identifiants avant qu'elles ne se transforment en violations. Découvrez comment les capacités ITDR et NDR Vectra AI fonctionnent ensemble pour se défendre contre le vol d'identifiants dans les environnements hybrides.

Conclusion

Le vol d'identifiants n'est pas seulement une technique d'attaque parmi d'autres : c'est le principal moyen utilisé par les pirates pour s'introduire dans les environnements d'entreprise, s'y maintenir et s'y déplacer. Avec 22 % de toutes les violations de données résultant du vol d'identifiants, 1,8 milliard d'identifiants récoltés par des pirates en seulement six mois et un coût moyen de 4,8 millions de dollars par violation, cette menace est à la fois omniprésente et quantifiable.

Le schéma qui se dégage de toutes les violations majeures — de Snowflake à PowerSchool en passant par ShinyHunters — nous enseigne une leçon claire : la prévention seule ne suffit pas. Les entreprises doivent partir du principe que leurs identifiants seront compromis et investir dans des capacités de détection permettant de repérer rapidement toute utilisation abusive de ces identifiants, avant que les attaquants ne parviennent à se déplacer latéralement, à exfiltrer des données ou à déployer un ransomware. Cela implique, au minimum, une authentification multifactorielle (MFA) phishing, une analyse comportementale à la fois au niveau des identités et du réseau, ainsi qu’une observabilité unifiée couvrant l’ensemble de l’environnement hybride.

Les organisations qui considèrent le vol d'identifiants comme un problème de détection — et pas seulement comme un problème de prévention — sont celles qui détectent les attaques en quelques minutes plutôt qu'en plusieurs mois.

Découvrez comment Vectra AI les attaques par usurpation d'identifiants sur le réseau, au niveau des identités et dans cloud.

Foire aux questions

Qu'est-ce que le vol d'identifiants ?

Le vol d'identifiants désigne l'acquisition non autorisée d'éléments d'authentification — tels que les noms d'utilisateur, les mots de passe, les jetons, les cookies de session et les clés API — utilisés pour usurper l'identité d'utilisateurs légitimes et accéder à des systèmes et à des données. Il s'agit du vecteur d'accès initial le plus répandu dans les violations de données en entreprise, à l'origine de 22 % de toutes les violations en 2025 selon le rapport DBIR 2025 de Verizon. Contrairement aux attaques par force brute qui tentent de deviner les mots de passe, le vol d'identifiants cible les identifiants valides existants à l'aide de techniques telles que phishing, malware de vol d'informations, le dumping d'identifiants et l'ingénierie sociale. MITRE ATT&CK répertorie 17 techniques sous la tactique « Accès aux identifiants » (TA0006), reflétant l'étendue des méthodes employées par les attaquants. Le vol d'identifiants est préoccupant car les identifiants volés permettent aux attaquants d'agir en tant qu'initiés de confiance, ce qui rend la détection nettement plus difficile que celle des intrusions traditionnelles malware.

Quelle est la différence entre le vol d'identifiants et le « credential stuffing » ?

Le vol d'identifiants est une catégorie générale qui englobe toutes les méthodes visant à dérober des données d'authentification, notamment phishing, malware, le dumping d'identifiants et l'ingénierie sociale. Le credential stuffing est une technique spécifique relevant de cette catégorie — classée dans le cadre du modèle MITRE ATT&CK T1110.004 — où les pirates utilisent des combinaisons nom d'utilisateur-mot de passe déjà compromises pour tenter de se connecter à d'autres services, en tirant parti du fait que les utilisateurs ont souvent tendance à réutiliser les mêmes mots de passe sur plusieurs plateformes. Le Rapport annuel sur la sécurité des données de Verizon 2025 a révélé que seuls 49 % des mots de passe étaient uniques d'un service à l'autre, ce qui signifie que la réutilisation de 51 % d'entre eux crée une surface d'attaque considérable pour le credential stuffing. Dans la pratique, le vol d'identifiants alimente souvent le credential stuffing : les voleurs d'informations récoltent des identifiants dans un environnement, puis les attaquants (ou des outils automatisés) testent ces identifiants sur des centaines d'autres services. Ces deux cas nécessitent des approches de détection différentes : le vol d'identifiants exige une surveillance endpoint des identités, tandis que la détection du credential stuffing repose sur l'analyse de modèles d'authentification à haut volume.

Comment les pirates informatiques parviennent-ils à voler des identifiants ?

Les attaquants dérobent des identifiants à l'aide de multiples techniques répertoriées dans le cadre du MITRE ATT&CK . Parmi les méthodes les plus courantes, on trouve phishing utilisant de fausses pages de connexion, malware de type « infostealer » malware récupèrent les mots de passe et les cookies de session stockés dans le navigateur, l'extraction d'identifiants depuis la mémoire du système d'exploitation (comme l'extraction LSASS), les attaques par force brute, y compris le « password spraying », Kerberoasting cracker hors ligne les tickets de service Kerberos, l'interception réseau via des techniques de type « man-in-the-middle », l'enregistrement des frappes clavier (keylogging) et l'exploitation d'identifiants non sécurisés stockés dans des fichiers en clair ou des API cloud . En 2025-2026, la chaîne d'approvisionnement du vol d'identifiants s'est considérablement industrialisée. malware de type « infostealer » malware 1,8 milliard d’identifiants rien qu’au premier semestre 2025 (Flashpoint 2025), tandis que les plateformes PhaaS, disponibles pour 200 à 300 dollars par mois, permettent aux attaquants de lancer à grande échelle phishing sophistiquées phishing d’identifiants.

Comment prévenir le vol d'identifiants ?

Pour prévenir le vol d'identifiants, il faut mettre en place une stratégie de défense multicouche. Déployez une authentification multifactorielle (MFA) phishing(FIDO2/clés d'accès) sur tous les comptes — le NIST et la CISA la recommandent comme norme, car la MFA traditionnelle (SMS, notifications push) est de plus en plus facile à contourner. Vérifiez tous les mots de passe par rapport aux bases de données d'identifiants compromis, conformément à la norme NIST SP 800-63B. Mettez en œuvre une gestion des accès privilégiés avec un provisionnement « juste à temps » afin que les identifiants ne soient actifs qu'en cas de besoin. Adoptez une zero trust avec vérification continue, conformément à la norme NIST SP 800-207. Surveillez le dark web pour détecter si les identifiants de votre organisation apparaissent dans les journaux des logiciels de vol d'informations et les compilations de violations. Supprimez immédiatement les comptes inactifs — les violations de Colonial Pipeline et de Snowflake ont toutes deux exploité des identifiants provenant de comptes inactifs ou hérités. Déployez des gestionnaires de mots de passe pour éliminer le taux de réutilisation des mots de passe de 51 % documenté par le rapport DBIR 2025 de Verizon.

Quel est le coût d'une violation liée aux identifiants ?

Selon le rapport « Cost of a Data Breach 2025 » d'IBM, les violations liées aux identifiants coûtent en moyenne 4,8 millions de dollars par incident et nécessitent environ 292 jours pour être identifiées et maîtrisées. Cela fait des violations liées aux identifiants l'un des types d'attaques les plus coûteux et les plus longs à détecter. L'impact financier va bien au-delà des coûts directs liés à la violation. Le rapport DBIR 2025 de Verizon a révélé que 54 % des victimes de ransomware avaient vu leurs identifiants exposés auparavant dans des journaux d'infostealers, ce qui signifie que le vol d'identifiants précède souvent des attaques encore plus destructrices. Flare Research 2026 a indiqué que 2,05 millions de journaux d'infostealers avaient exposé des identifiants d'entreprise en 2025, l'exposition des identités d'entreprise ayant plus que doublé, passant de 6 % à près de 14 % des infections par infostealers. Le délai de détection de 292 jours signifie que les attaquants disposent de près de 10 mois pour exploiter les identifiants volés avant que les organisations ne réagissent.

Comment détecter le vol d'identifiants ?

La détection du vol d'identifiants nécessite plusieurs niveaux de détection, car les identifiants volés permettent aux attaquants d'agir comme des utilisateurs légitimes. Les principales approches de détection comprennent l'analyse comportementale (surveillance des déplacements impossibles, des heures de connexion inhabituelles, des schémas d'accès aux ressources anormaux et des escalades de privilèges suspectes), les plateformes de détection et de réponse aux menaces d'identité (ITDR) qui détectent l'utilisation abusive des identifiants et les anomalies de session au niveau de la couche d'identité, détection et réponse aux incidents NDR) qui identifie les mouvements latéraux et l'exfiltration de données à l'aide d'identifiants volés, les honeytokens et les identifiants canary qui génèrent des alertes de haute fidélité lorsqu'ils sont utilisés, et les règles de corrélation SIEM qui signalent les anomalies d'authentification sur plusieurs systèmes. Le rapport Unit 42 2026 a révélé que les 25 % d'intrusions les plus rapides ont abouti à une exfiltration de données en seulement 72 minutes, soulignant la nécessité d'une détection en temps réel capable de réagir en quelques minutes, et non en quelques heures. Une détection efficace du vol d'identifiants nécessite une observabilité unifiée à travers cloud réseau, d'identité et cloud .

Qu'est-ce que la collecte d'identifiants ?

La collecte d'identifiants correspond à la phase de collecte du vol d'identifiants, au cours de laquelle les attaquants recueillent des données d'authentification à grande échelle. Parmi les techniques courantes de collecte, on peut citer phishing (envoi de fausses pages de connexion pour capturer les noms d'utilisateur et les mots de passe), malware de type « infostealer » malware qui extraient les identifiants stockés dans les navigateurs, les gestionnaires de mots de passe et les configurations d'applications), le web scraping de bases de données et de référentiels de code exposés, ainsi que les techniques de type « man-in-the-middle » qui interceptent les identifiants lors de l'authentification. La collecte d'identifiants se distingue de leur exploitation : la collecte se concentre sur la collecte des identifiants, tandis que l'exploitation consiste à utiliser ces identifiants pour obtenir un accès non autorisé. L'ampleur de la collecte moderne est stupéfiante : Flashpoint a rapporté que malware de vol d'informations malware 1,8 milliard d'identifiants au cours du premier semestre 2025, soit une augmentation de 800 % par rapport aux six mois précédents, sur 5,8 millions d'hôtes compromis. Les identifiants collectés sont souvent vendus sur les marchés du dark web, créant une économie autosuffisante qui alimente en aval les attaques de credential stuffing, Usurpation de compte et de mouvement latéral.