La vérité inconfortable sur les références et pourquoi vous avez besoin d'un programme de surveillance continue contre les infostealers

D'ici 2026, les titres volés ne sont plus une préoccupation secondaire : ils constituent une priorité stratégique pour toute équipe de sécurité. Cependant, il y a un paradoxe inquiétant : de nombreuses organisations reconnaissent le risque, mais elles continuent de s'appuyer sur des solutions pour « combler les bases » - des contrôles qui marquent les boîtes - plutôt que de déployer des programmes dédiés et spécifiques pour confronter les infostealers, ces familles de malwares conçues pour exfilter les références, les cookies et les jetons de session.

Les chiffres aident à comprendre l'ampleur du problème. Une récente enquête commandée par Lunar, Webz.io-drived web sombre monitoring plate-forme, indique que la plupart des organisations considèrent les titres de créance engagés un risque élevé ou très élevé, et pour beaucoup il est parmi les trois principales priorités de sécurité. Dans le même temps, les données recueillies par l'industrie montrent d'énormes quantités de titres de compétence en circulation : en 2025 seulement, des milliards de documents engagés ont été identifiés, un chiffre qui transforme les estimations de coûts en étourdissements. Pour le mettre dans une perspective économique, le rapport annuel sur le coût des fuites d'IBM place le coût moyen d'un écart impliquant des titres de créance engagés à plusieurs millions de dollars par incident ( IBM Coût d'un rapport de rupture de données).

Et malgré cette conscience, de nombreuses défenses restent naïves face à la réalité technique des attaques. Des expressions comme "nous avons MFA partout" ou "notre architecture EDR et Zero Trust déjà nous protègent" son rassurant, mais pas assez. Lorsqu'un employé se connecte à une application critique à partir d'un appareil domestique non géré, les solutions traditionnelles telles que les politiques EDR ou réseau ne détectent pas que l'accès provient d'un jeton volé ou d'un cookie. En d'autres termes, les contrôles qui protègent le périmètre et les paramètres ne couvrent pas nécessairement la télémétrie et le contexte qui permettent de détecter et de répondre aux séances usurpées.

Le comportement des infostealers explique pourquoi. Ces familles de logiciels malveillants ne collectent pas seulement des noms d'utilisateur et des mots de passe; elles extraient des cookies de session, des jetons et d'autres artefacts qui permettent à un attaquant d'« entrer sans toucher à la porte » : sans passer par un formulaire d'authentification à nouveau, sans causer un défi MFA et souvent sans laisser d'impressions évidentes sur les journaux d'authentification. Le résultat est que l'acteur malveillant peut déplacer, explorer et exfilter les données très rapidement avant que les contrôles traditionnels montrent des alertes pertinentes. Pour comprendre la nature du risque, il est nécessaire d'examiner les documents techniques sur le fonctionnement des infostealers et l'information qu'ils recueillent habituellement ( Kaspersky - InfoStealers).

Le cycle d'une attaque typique est généralement sans relâche efficace. Premièrement, la victime est infectée par divers vecteurs : des campagnes d'hameçonnage et des extensions de navigateur malveillant aux logiciels piratés ou aux dépôts compromis. L'infostealer gratte les identifiants et les cookies du navigateur ou du système, envoie ces informations à un serveur contrôlé par l'attaquant, et ces données finissent groupées en "logs" ou combolistes qui sont achetés et vendus dans les forums, les discussions privées et les marchés clandestins. Un acheteur peut immédiatement utiliser ces dispositifs légitimes pour accéder aux services d'entreprise avec un délai étonnamment court. Si des contrôles d'exposition sont effectués une fois par mois ou avec des sources de données obsolètes, l'organisation peut découvrir l'incident lorsqu'il est trop tard.

Les solutions génériques échouent là où la spécialisation est nécessaire. De nombreuses entreprises appliquent une surveillance ponctuelle des lacunes ou fondent leur détection sur des listes publiques de mots de passe filtrés, sans capacité ni contexte médico-légal pour reconstruire les comptes concernés, quels appareils ont été compromis ou si des cookies et des jetons ont été volés. L'absence de données triangulées et normalisées convertit tout avertissement en bruit : on ne sait pas qui notifier, quoi restaurer ou comment prioriser la réponse. En outre, la latence dans l'acquisition de données à partir de sources criminelles et l'absence d'intégration avec les flux de travail automatisés (IMS, SOAR, IDP) empêchent une réaction rapide et coordonnée.

Passer d'une approche réactive à un programme de surveillance des écarts matures implique, entre autres, la continuité de la collecte des signaux et la capacité de les enrichir dans un contexte utile. Cela signifie l'incorporation de données provenant de diverses sources - infostealers, combolistes, marchés et canaux de messagerie où les références sont échangées - et la normalisation de ces informations afin qu'elles ne soient pas répétées ou perdues dans le bruit non pertinent. Le but est d'avoir une vue unique et raffinée des expositions qui affectent vraiment l'organisation.

L'automatisation est essentielle pour transformer les alertes en actions. Il ne suffit pas de savoir qu'un domaine d'affaires apparaît sur une liste filtrée ; il est nécessaire de traduire cette preuve en livres de lecture qui automatisent les étapes concrètes : invalider les sessions, forcer la restauration des références, bloquer l'accès au PDI et orchestrer les tâches dans le SGI ou le SOAR afin que les analystes ne perdent pas de temps sur des routines répétitives. Lorsque ces pièces sont reliées, la fenêtre dont l'attaquant profite est considérablement raccourcie.

Un autre handicap fréquent est le faux sentiment de sécurité par plate-forme. De nombreuses équipes croient que macOS offre l'immunité contre ces attaques, et pourtant des familles spécifiques à Apple sont apparues qui volent des cookies et des références. Les rapports de différents acteurs du secteur se rendent compte de la façon dont les infostealers ont été perfectionnés et diversifiés pour affecter plusieurs systèmes d'exploitation et écosystèmes d'application.

La mise en œuvre d'une stratégie de surveillance efficace exige un changement d'esprit. La surveillance des titres de compétence ne devrait plus être un « produit ponctuel » et être considérée comme un programme continu comportant des responsabilités métriques claires et des procédures définies. Cela implique l'attribution d'un chef du domaine infostealers, l'établissement de la véritable cadence de vérification basée sur le risque et la conception de livres de lecture qui fonctionnent automatiquement lorsque des preuves confirmées apparaissent. Il faut aussi investir dans des solutions qui fournissent une télémétrie médico-légale qui manque souvent d'approches « conformes aux normes ».

La bonne nouvelle est qu'il y a des outils et des modèles d'exploitation qui permettent ce saut. Les plateformes qui ajoutent et enrichissent les données souterraines et qui s'intègrent à la pile de sécurité d'entreprise permettent de transformer les expositions en réponses automatiques et mesurables. L'interopérabilité avec les identités, les systèmes d'orchestration et les plateformes de gestion des incidents est ce qui ferme le cercle entre détection et médiation.

Il n'est pas exagéré de dire que le coût de ne pas s'adapter peut être énorme. Des pertes économiques directes aux dommages à la réputation et à la réglementation, une session prise par un acteur malveillant peut impliquer un accès non autorisé à des informations critiques. Il est donc recommandé aux équipes de sécurité de revoir leurs pratiques actuelles, de hiérarchiser la détection des jetons et des témoins volés et de ne pas se conformer aux contrôles qui n ' atténuent que partiellement les risques. Pour approfondir les bonnes pratiques de gestion des séances et de sécurité, les guides du PAOAO constituent une bonne ressource technique ( Gestion des séances de l'OWASP).

Si vous voulez examiner les titres de compétence liés à votre organisation qui circulent déjà dans les écosystèmes criminels, il y a des initiatives qui offrent une surveillance accessible pour les organisations de toutes tailles, combinant couverture et capacité d'intégration. Avec une visibilité continue et des mécanismes de réponse automatique, il est possible de fermer de nombreuses fenêtres d'exposition qui permettent aujourd'hui aux agresseurs d'agir en toute impunité. En tant que référence sur les initiatives de l'industrie, le travail de Webz.io, qui réunit le signal ouvert et l'intelligence souterraine pour différents usages commerciaux ( Conseil).

En bref, la solution n'est pas d'ajouter plus d'outils indépendants ou de se fier uniquement au MFA ou à l'EDR. Il s'agit d'élaborer un programme de suivi des références et des sessions qui est continu, contextuel et automatisé intégrer des sources spécialisées et permettre aux équipes de prendre des décisions rapides et précises. Le coût de la complaisance est trop élevé aujourd'hui pour continuer à fonctionner avec des approches d'il y a quelques années.

Pour ceux qui veulent approfondir la question et comment adapter leurs processus, je vous recommande de commencer par examiner les rapports sur le coût des écarts, étudier la nature technique des infostealers et évaluer les solutions qui offrent une intégration avec leurs flux de sécurité existants. Les ressources de l'industrie et des guides de bonnes pratiques sont abondantes et peuvent servir de point de départ à la conception d'un programme qui réduit effectivement les risques.