Les cyberattaques impliquant l’utilisation abusive de jetons de session sont de plus en plus populaires. Comment cela se fait-il ?
Le vol de cookies et de jetons de session est de plus en plus populaire auprès des pirates. Nous examinons les facteurs qui favorisent cette forme d’attaque, son impact sur les entreprises et les mesures qu’elles peuvent prendre pour limiter les risques.
Cyberaanvallen tijdens thuiswerk blijven toenemen
IT-teams zien een toename in het aantal werknemers dat kwaadaardige bijlagen opent, wat leidt tot meer heropbouw van geïnfecteerde machines. Thuiswerk maakt het moeilijker…
Le travail hybride a changé la gestion classique du système
La façon dont les environnements informatiques sont gérés a fondamentalement changé ces dernières années. Selon l’indice Work Relationship Index 2025 de HP, environ 20 % des employés ne travaillent plus à partir d’un seul environnement fixe, mais alternent entre le bureau, le domicile et les déplacements. Dans le même temps, les entreprises ont massivement transféré leur infrastructure vers le cloud.
La gestion des identités et des accès passe donc de plus en plus souvent par des plateformes cloud telles que Microsoft Entra. Les contrôleurs de domaine traditionnels sur site disparaissent, tout comme les connexions VPN et RDP. Au lieu de cela, les administrateurs se connectent simplement via un navigateur web pour gérer les utilisateurs, les droits et les paramètres.
Les attaquants adaptent leurs techniques et choisissent souvent la voie de la facilité.
Auparavant, ces tâches de gestion se trouvaient dans un réseau protégé, comparable à un château entouré de douves. Tant que les attaquants restaient à l’extérieur, les dégâts étaient limités. Mais s’ils parviennent à entrer, il est relativement facile d’infiltrer le réseau et de prendre le contrôle des systèmes critiques. Pour limiter ce risque, la séparation des tâches a été introduite, par exemple via des postes de travail à accès privilégié (PAW). Les tâches de gestion sensibles y sont strictement séparées des activités quotidiennes.
Cette séparation des tâches avec la gestion basée sur le navigateur n’a pas disparu. Au contraire : bien que la gestion soit devenue plus simple, le risque qu’un seul système compromis donne un accès direct aux environnements cloud critiques demeure. Les mesures de sécurité telles que l’authentification sans mot de passe et l’authentification multifacteur (MFA) sont importantes, mais ne résolvent pas entièrement le problème de la séparation des tâches.
Des mots de passe aux cookies
Les attaquants adaptent leurs techniques et choisissent souvent la voie de la facilité. Étant donné que l’authentification multifacteur rend de plus en plus difficile l’utilisation abusive des mots de passe volés, ils se concentrent désormais plus souvent sur les cookies de session. Un cookie de session prouve déjà qu’un utilisateur s’est authentifié avec succès. Quiconque possède ce cookie n’a plus besoin de saisir de mot de passe et n’est donc pas confronté à nouveau à l’authentification multifacteur.
Un attaquant peut donc obtenir les mêmes droits que la victime avec un seul cookie volé. S’il s’agit d’un administrateur informatique, cela signifie un accès direct à la configuration, aux droits d’utilisateur et aux paramètres de sécurité. Dans les secteurs dotés d’infrastructures critiques, ce risque est connu depuis longtemps, ce qui entraîne des exigences plus strictes et des solutions de sécurité spécialisées. Dans le même temps, la réglementation et les obligations de conformité exercent une pression supplémentaire, obligeant les entreprises à trouver un équilibre entre les coûts, la facilité d’utilisation et la sécurité.
Le vol d’informations de connexion est toujours populaire. Les campagnes de phishing et les attaques par force brute génèrent quotidiennement d’énormes quantités de noms d’utilisateur et de mots de passe, qui sont revendus à bas prix sur les places de marché illégales. Des recherches de Verizon montrent qu’une grande partie des attaques contre les applications web utilisaient des données volées. L’authentification multifacteur a rendu ce type d’attaques moins efficace. Même avec un mot de passe correct, un attaquant ne va souvent pas plus loin sans accès à un deuxième facteur. C’est là que réside la force du vol de cookies de session : l’authentification multifacteur a déjà eu lieu au moment où le cookie est créé.
Pourquoi les cookies de session volés sont si dangereux
Lors de la connexion à une application web, une session d’authentification est créée. Cette session est généralement enregistrée dans un cookie, que le navigateur envoie automatiquement avec chaque nouvelle requête. Ce mécanisme est efficace et convivial, mais constitue également une cible attrayante.
Si un attaquant parvient à s’emparer de ce cookie, il peut reprendre la session active sans autre vérification. Si l’utilisateur est un administrateur au sein de Microsoft Entra, il peut ajuster la politique de sécurité et créer de nouveaux comptes d’administrateur. Étant donné que la session est déjà valide, l’authentification multifacteur ne joue plus aucun rôle ici. Dans plusieurs incidents, le vol de jetons ou de cookies s’est même avéré être la principale méthode pour contourner l’authentification multifacteur lors de l’accès aux services cloud.
Les voleurs d’informations font de nombreuses victimes
La méthode la plus utilisée pour voler des cookies de session est le déploiement de voleurs d’informations. Ceux-ci sont distribués via phishing, des téléchargements malveillants ou de fausses publicités et sont spécifiquement conçus pour collecter des données de navigateur, notamment des cookies, des mots de passe enregistrés et des jetons de session. Les statistiques de 2025 montrent que les voleurs d’informations constituent la majeure partie des familles de logiciels malveillants détectées. Un exemple bien connu est Lumma Stealer, qui a infecté des centaines de milliers de systèmes dans le monde entier. Les services d’enquête internationaux ont démantelé des parties de l’infrastructure, mais le logiciel malveillant revient sans cesse.
lire aussi
Klassieke cyberaanvallen worden slimmer en moeilijker te detecteren
Les cookies de session ne sont valides que pour une durée limitée : de quelques heures à quelques semaines. Pourtant, ils sont très précieux. Les attaquants agissent rapidement et proposent souvent des cookies volés à la vente dans les 24 heures. Dans de nombreux incidents de ransomware, le nom de la victime est apparu pour la première fois dans les journaux des voleurs d’informations ou sur les forums clandestins. Il existe plusieurs mesures pour limiter l’impact du vol de cookies. Les sessions peuvent par exemple être liées à un contexte spécifique, tel qu’un appareil ou une adresse IP, ce qui rend un cookie inutilisable ailleurs. La réduction de la durée de la session et l’obligation de réauthentification lors d’actions sensibles contribuent également à limiter les abus.
L’isolement comme dernière défense
Ces mesures ne fonctionnent plus si un point de terminaison est complètement compromis et qu’un attaquant peut participer directement à la session active. Dans ce cas, un isolement plus important est nécessaire. Des solutions telles que HP Sure Access Enterprise exécutent des applications sensibles dans des environnements micro-virtuels fortement protégés, indépendamment du système d’exploitation sous-jacent. Même si l’appareil est infecté, les cookies de session ne peuvent pas être exploités ou utilisés abusivement. Les entreprises bénéficient ainsi des avantages d’une séparation stricte des privilèges, comparable aux concepts PAW, sans les inconvénients opérationnels de plusieurs appareils.
Conclusion
Le vol de cookies de session n’est plus un petit problème, mais une menace sérieuse. Le travail hybride et la gestion du cloud basée sur le navigateur augmentent la surface d’attaque et offrent aux attaquants de nouvelles opportunités de contourner les couches de sécurité. Les mesures classiques restent importantes, mais sont insuffisantes si un point de terminaison est compromis. Les entreprises doivent miser sur une sécurité qui fonctionne également dans un scénario infecté. C’est la seule façon de garantir que les systèmes et les données critiques restent réellement protégés.
