Les infostealers transforment les sessions volées en nouvelle voie d'intrusion
Pendant des années, les programmes de sensibilisation à la sécurité se sont concentrés sur la « porte d'entrée ». Utilisez des mots de passe robustes. Activez la MFA. Méfiez-vous des liens de phishing. Ces contrôles restent importants, mais le paysage des menaces a évolué d'une manière que de nombreuses organisations n'ont pas encore pleinement saisie. En 2026, les logiciels malveillants infostealers sont de plus en plus précieux non pas parce qu'ils ne capturent que des mots de passe, mais parce qu'ils volent des sessions de browser authentifiées, des tokens et des cookies qui permettent aux attaquants de contourner entièrement le processus de connexion. Le chemin de l'intrusion passe désormais du vol d'identifiants au vol de sessions.
La thèse est inconfortable mais claire : les piles d'identité modernes sont les plus solides au moment de l'authentification et beaucoup plus faibles dans les minutes, les heures ou les jours qui suivent. Si un utilisateur se connecte avec succès et que le browser stocke les artefacts de session qui le prouvent, un infostealer sur l'endpoint peut ne pas avoir besoin de déjouer la MFA du tout. Il peut simplement voler l'état qui indique que la MFA a déjà eu lieu. Cela transforme un ordinateur portable compromis en un paquet de confiance portable.
Pourquoi le vol de session est si dangereux
Les équipes de sécurité parlent souvent de l'identité comme du nouveau périmètre. C'est vrai, mais incomplet. La session de browser est de plus en plus le périmètre opérationnel. Les e-mails d'entreprise, les consoles d'administration SaaS, les systèmes CRM, les plateformes de développement, les outils de collaboration et les applications web internes reposent tous sur des sessions authentifiées persistantes pour maintenir le travail. Les utilisateurs ne saisissent pas leurs mots de passe et n'approuvent pas les invites MFA toutes les quelques minutes, car ce serait insupportable. La commodité est nécessaire. Elle est également exploitable.
Lorsqu'un attaquant vole des session cookies ou des authentication tokens associés, il peut obtenir un accès immédiat à l'environnement cible sans connaître le mot de passe et sans déclencher un nouveau défi MFA. En pratique, cela peut être plus puissant que le vol d'identifiants. Les mots de passe peuvent être réinitialisés. Les sessions peuvent être exploitées immédiatement. Dans certains environnements, les sessions volées offrent également aux attaquants un moyen plus discret de se déplacer, car l'activité semble provenir d'un contexte utilisateur déjà fiable.
Les infostealers sont devenus des courtiers d'accès d'entreprise
Les logiciels malveillants infostealers étaient auparavant principalement discutés dans le contexte de la fraude à la consommation, des mots de passe de browser enregistrés et des dumps d'identifiants souterrains. Cette approche sous-estime désormais la menace. La vague actuelle est de plus en plus liée à l'exposition des identités d'entreprise. Les attaquants savent qu'un seul profil de browser peut contenir l'accès à des portails SSO, des consoles cloud, des systèmes financiers, des outils de développement et des plateformes de messagerie. Une infection réussie peut livrer un environnement de travail entier.
C'est pourquoi les infostealers constituent une couche d'accès initial si efficace pour les opérations criminelles plus importantes. Le logiciel malveillant effectue la collecte. Les marchés de courtiers et les attaquants en aval s'occupent de la monétisation. Une session liée à un fournisseur d'identité d'entreprise peut valoir bien plus qu'un mot de passe autonome car elle fait s'effondrer plusieurs frontières de confiance à la fois.
La MFA est toujours nécessaire, mais elle ne clôt plus l'histoire
C'est la partie que de nombreuses organisations ont du mal à communiquer sans saper la confiance des utilisateurs dans la MFA. L'authentification multi-facteurs reste essentielle. Elle bloque d'énormes volumes d'abus d'identifiants courants et augmente le coût du phishing. Le problème est que la MFA protège l'événement de connexion, pas tous les artefacts en aval créés après la réussite de la connexion. Si ces artefacts sont portables, les attaquants peuvent hériter du résultat de la MFA sans reproduire le défi.
Cela signifie que les organisations doivent cesser de considérer la MFA comme une ligne d'arrivée. C'est un contrôle dans une chaîne plus longue qui comprend l'hygiène des endpoints, la protection des sessions, la portée des tokens (token scoping), la détection d'anomalies, la confiance des appareils et une réponse rapide aux compromissions de session suspectées. Une connexion propre ne signifie pas une session propre pour toujours.
Le browser est devenu le maillon faible
La plupart du travail moderne se déroule désormais dans le browser, ce qui le rend à la fois indispensable et sous-défendu. Les browsers stockent des cookies, des données de remplissage automatique (autofill data), des tokens, des stockages locaux (local storage), l'état des extensions et des traces de workflows sensibles. Les employés les utilisent pour les applications d'entreprise, les applications personnelles, et souvent les deux sur le même appareil. Le travail à distance et hybride brouille encore plus les frontières, en particulier sur les endpoints non gérés ou légèrement gérés.
Ce mélange offre aux infostealers une cible riche. Une fois que le logiciel malveillant atterrit sur l'endpoint via un téléchargement malveillant, une fausse mise à jour, un site drive-by, un logiciel piraté (cracked software) ou un leurre d'ingénierie sociale, le browser devient un coffre-fort de données immédiatement utiles. Les attaquants n'ont pas besoin d'une persistance parfaite s'ils peuvent récupérer rapidement des sessions précieuses et les vendre ou les utiliser en quelques heures.
Pourquoi les défenseurs doivent penser en termes de cycle de vie des sessions
Se défendre contre ce type de menace signifie comprendre le cycle de vie d'une session, et pas seulement la force de l'authentification. Combien de temps les sessions de grande valeur persistent-elles ? Quels événements forcent la réauthentification ? Les refresh tokens ou les cookies de longue durée sont-ils trop permissifs ? L'organisation peut-elle lier plus étroitement les sessions aux appareils, au contexte réseau ou aux identifiants matériels (hardware-backed credentials) ? La réutilisation suspecte de sessions peut-elle être détectée suffisamment rapidement pour être pertinente ?
Ces questions rapprochent les équipes d'identité et d'endpoint. Une session qui semble valide au niveau de la couche applicative peut toujours être suspecte si l'endpoint sous-jacent montre des signes de compromission. Inversement, une alerte EDR peut mériter une priorité plus élevée si elle se produit sur une machine détenant des sessions SaaS privilégiées. Les organisations qui gèrent bien cela sont celles qui corrèlent ces signaux plutôt que de traiter la sécurité de l'identité et celle des endpoints comme des programmes distincts.
L'atténuation devient plus architecturale
Il existe des réponses techniques prometteuses. La liaison d'identifiants matériels (hardware-backed credential binding), les tokens de plus courte durée, un accès conditionnel plus strict, les secure enterprise browsers, l'isolation des browsers et une meilleure détection de la réutilisation des tokens peuvent tous réduire la valeur des artefacts volés. Le travail de Google sur les sessions liées aux appareils (device-bound session) est un signe que les fournisseurs de plateformes comprennent le problème. Mais aucune de ces défenses n'est une solution miracle unique, et beaucoup sont inégales selon les applications et les systèmes d'exploitation.
C'est pourquoi l'architecture compte plus que les slogans de sensibilisation. Les équipes de sécurité devraient prioriser la protection des sessions privilégiées, réduire la persistance inutile, limiter la portée des tokens, surveiller les déplacements impossibles (impossible travel) et les réutilisations inhabituelles, et renforcer les contrôles autour des appareils non gérés. Elles devraient également partir du principe que les utilisateurs continueront à se connecter à de nombreux systèmes critiques via le browser, car c'est ainsi que le travail est effectué. La solution n'est pas de vouloir faire disparaître le browser. Il s'agit de le défendre comme une infrastructure critique.
Ce que les dirigeants devraient changer maintenant
Premièrement, réexaminez les playbooks de réponse aux incidents. Si un appareil est suspecté d'infection par un infostealer, l'organisation se contente-t-elle de réinitialiser le mot de passe, ou révoque-t-elle également les sessions et les tokens sur les applications clés ? Deuxièmement, cartographiez l'emplacement de vos sessions de browser les plus précieuses. Troisièmement, examinez les politiques concernant les risques liés aux extensions de browser, les appareils non gérés et le stockage local de données sensibles. Quatrièmement, assurez-vous que les employés comprennent qu'un téléchargement malveillant peut compromettre des comptes même s'ils n'ont jamais saisi de mot de passe sur une fausse page.
Ce sont des mesures pratiques, pas théoriques. Le vol de session réduit la fenêtre de réaction des défenseurs. Dans certains cas, l'attaquant peut passer du vol à l'accès presque immédiatement. Cela rend la vitesse de confinement aussi importante que la prévention.
Le changement plus vaste
Les infostealers réussissent parce qu'ils exploitent une vérité structurelle de la sécurité moderne : l'état authentifié est précieux. À mesure que les entreprises centralisent l'identité et transfèrent le travail vers des applications basées sur le browser, le contenu d'une session active devient aussi sensible que les identifiants qui l'ont créée. Les attaquants l'ont compris rapidement. De nombreux défenseurs sont encore en train de rattraper leur retard.
La prochaine génération de sécurité des identités sera définie par la manière dont les organisations protègent la session après la connexion de l'utilisateur. Les mots de passe n'ont jamais été toute l'histoire, et en 2026, ils le sont encore moins. La nouvelle voie d'intrusion est ce qui se passe après la réussite de la connexion.