Attaques par usurpation d’identité en 2026 : Pourquoi les hackers ne s’infiltrent plus, mais se connectent

3 min de lecture

75 % de toutes les violations de sécurité en 2026 reposent sur des identités volées, et non sur des exploits techniques. 50 % de plus de données d’identification compromises au second semestre 2025 par rapport à l’année précédente. Les hackers ne s’infiltrent plus. Ils se connectent. Le changement de paradigme, de la sécurité périmétrique à la sécurité de l’identité, n’est plus une prédiction. C’est une réalité.

L’essentiel

• 🔒 75 % de toutes les violations en 2026 passent par des identités compromises. Les hackers se connectent au lieu de s’infiltre (Cloudflare, 2026).
• 📈 50 % de plus de données d’identification compromises au S2 2025 par rapport à la même période de l’année précédente.
• ⚠️ 97 % des attaques fondées sur l’identité utilisent les mots de passe comme vecteur d’intrusion.
• 🛡️ L’authentification multifacteur (MFA) seule ne suffit plus : le phishing AiTM (Adversary-in-the-Middle) contourne systématiquement la MFA.
• 🔧 Solution : authentification sans mot de passe (Passkeys, FIDO2), vérification continue, détection et réponse aux menaces d’identité (ITDR).

Pourquoi les identités sont devenues le nouveau champ de bataille

Le rapport Cloudflare 2026 est sans appel : trois violations de sécurité sur quatre commencent par une identité compromise. Pas par un dépassement de tampon (buffer overflow), pas par une vulnérabilité zero-day, mais par des identifiants valides tombés entre de mauvaises mains. La tendance s’est accélérée ces deux dernières années. Au second semestre 2025, 50 % de plus de données d’identification ont été compromises qu’au cours de la même période en 2024.

Heise titrait récemment : « Login as a Weapon ». Cette formule résume parfaitement la situation. Un attaquant disposant de données d’identification valides apparaît aux yeux des systèmes de sécurité comme un utilisateur légitime. Il ne déclenche aucune alerte, traverse les pare-feu et la segmentation du réseau, et accède à des données sensibles. Ce n’est que lorsqu’il progresse latéralement ou exfiltre des données qu’il devient visible. Souvent trop tard.

La campagne récente sur Microsoft Teams avec le cheval de Troie A0Backdoor illustre ce schéma : l’accès initial se fait par ingénierie sociale, et non par un exploit technique. Les attaquants exploitent la confiance, pas les vulnérabilités.

Pourquoi la MFA ne suffit plus

L’authentification multifacteur (MFA) a été pendant des années la réponse standard au vol d’identifiants. Mais 2025 et 2026 montrent que la MFA n’est plus un rempart, mais un obstacle que les attaquants organisés contournent systématiquement. L’outil s’appelle le phishing AiTM (Adversary-in-the-Middle).

Dans une attaque AiTM, l’attaquant s’intercale entre l’utilisateur et le serveur d’authentification. L’utilisateur saisit son mot de passe et le second facteur, mais ces informations aboutissent chez l’attaquant et non sur le serveur légitime. Ce dernier récupère alors les cookies de session et devient pleinement authentifié. Pour le serveur, tout semble normal.

Le kit de phishing EvilProxy a industrialisé les attaques AiTM. Disponible en tant que service, il ne nécessite aucune expertise technique et est activement utilisé contre les environnements Microsoft 365. Les secteurs réglementés, qui comptent sur la MFA comme contrôle principal, doivent revoir cette hypothèse.

« Le passage des attaques basées sur le réseau à celles fondées sur l’identité constitue le changement le plus significatif du paysage des menaces depuis l’émergence du ransomware. »
Rapport de sécurité Cloudflare 2026, Résumé exécutif

La voie vers l’authentification sans mot de passe : Passkeys et FIDO2

La réponse aux attaques fondées sur l’identité n’est plus la MFA, mais l’élimination du vecteur d’attaque lui-même : le mot de passe. L’authentification sans mot de passe (passwordless) via les Passkeys et FIDO2 rend le vol d’identifiants techniquement impossible, car il n’existe plus d’identifiants transférables.

Les Passkeys utilisent la cryptographie asymétrique : la clé privée ne quitte jamais l’appareil. Même en cas d’attaque de phishing, il n’y a rien à intercepter que l’attaquant pourrait réutiliser. Google, Microsoft et Apple prennent en charge les Passkeys nativement dans leurs systèmes d’exploitation depuis 2024.

Pour les entreprises, ce passage implique des efforts : les fournisseurs d’identité doivent supporter FIDO2, les terminaux doivent être compatibles, et les employés doivent être formés. Mais le retour sur investissement est clair : si 97 % des attaques fondées sur l’identité utilisent les mots de passe, l’authentification sans mot de passe élimine 97 % du vecteur d’attaque.

ITDR : la nouvelle catégorie de la sécurité de l’identité

Parallèlement à l’authentification sans mot de passe, une nouvelle catégorie de solutions émerge : la détection et réponse aux menaces d’identité (Identity Threat Detection and Response, ITDR). Les solutions ITDR ne surveillent pas le trafic réseau, mais le comportement des identités. Elles détectent des anomalies telles que : un utilisateur qui se connecte simultanément depuis deux pays différents ; un compte de service qui accède soudainement à des données qu’il n’a jamais consultées auparavant ; une connexion depuis un appareil inconnu à une heure inhabituelle.

Gartner prévoit que l’ITDR deviendra un module obligatoire dans chaque architecture de sécurité d’entreprise d’ici 2027. Le défi : l’efficacité de l’ITDR dépend directement de la qualité des données des systèmes d’identité. Celui qui n’a pas renforcé son Active Directory ne recevra pas non plus de signaux fiables avec l’ITDR.

5 mesures immédiates pour les équipes sécurité

1. Planifier le déploiement des Passkeys : vérifier si le fournisseur d’identité (Entra ID, Okta, Ping) prend en charge FIDO2/Passkeys. Définir un groupe pilote. Objectif : éliminer les mots de passe pour les comptes privilégiés d’ici le T3 2026.
2. Imposer une MFA résistante aux attaques AiTM : exiger des méthodes MFA résistantes au phishing (FIDO2, Windows Hello) pour tous les comptes administrateurs et dirigeants. Les SMS et les OTP basés sur des applications ne sont pas résistants aux attaques AiTM.
3. Mettre en œuvre une bonne hygiène des jetons de session : réduire la durée de vie des jetons, renforcer les politiques d’accès conditionnel (géolocalisation, conformité des appareils, évaluation basée sur le risque), activer l’évaluation continue de l’accès.
4. Évaluer l’ITDR : vérifier si l’architecture de sécurité existante est capable de détecter les anomalies liées à l’identité. Si ce n’est pas le cas : évaluer une solution ITDR (CrowdStrike, Microsoft Defender for Identity, SentinelOne).
5. Surveiller l’exposition des identifiants : mettre en place une surveillance du dark web pour les identifiants professionnels compromis. Vérifier régulièrement ses propres domaines contre les bases de données de violations (Have I Been Pwned, SpyCloud).

Conclusion : le pare-feu du futur, c’est l’identité

Le changement de paradigme est accompli. Le pare-feu périmétrique ne protège plus lorsque l’attaquant se connecte avec des identifiants valides. La réponse est triple : les Passkeys éliminent le vecteur d’attaque, la MFA résistante aux attaques AiTM sécurise la période de transition, et l’ITDR détecte les attaquants qui passent malgré tout. Les équipes sécurité qui, en 2026, investissent encore principalement dans la sécurité réseau, investissent du mauvais côté.

Questions fréquentes

Qu’entend-on par attaques fondées sur l’identité ?

Des attaques qui utilisent des données d’identification volées ou compromises (nom d’utilisateur + mot de passe, jetons de session, clés API) afin de se faire passer pour un utilisateur légitime. Contrairement aux exploits techniques (dépassement de tampon, injection SQL), aucune vulnérabilité logicielle n’est exploitée, mais la confiance accordée par le système d’authentification est détournée.

Pourquoi la MFA ne suffit-elle plus contre le phishing ?

Le phishing AiTM (Adversary-in-the-Middle) intercale un proxy entre l’utilisateur et le serveur d’authentification. L’utilisateur saisit son mot de passe et le second facteur, l’attaquant intercepte les cookies de session. Résultat : l’attaquant est pleinement authentifié, malgré la MFA. Seules les méthodes résistantes au phishing (FIDO2, Passkeys) sont immunisées.

Qu’est-ce qu’un Passkey et pourquoi est-il plus sûr ?

Les Passkeys utilisent la cryptographie asymétrique : la clé privée reste sur l’appareil de l’utilisateur et ne le quitte jamais. Lors de la connexion, une preuve cryptographique est générée, aucun mot de passe n’est transmis. Même en cas d’attaque de phishing, il n’y a rien à intercepter que l’attaquant pourrait réutiliser.

Qu’est-ce que l’ITDR ?

La détection et réponse aux menaces d’identité (Identity Threat Detection and Response, ITDR) est une nouvelle catégorie de solutions de sécurité qui détectent les anomalies dans le comportement des identités : connexions simultanées depuis différents pays, heures d’accès inhabituelles, extensions soudaines de permissions. L’ITDR complète l’EDR et le SIEM en ajoutant la dimension identité.

Quels secteurs sont particulièrement menacés ?

Les établissements financiers et les organisations de santé sont les cibles principales des attaques fondées sur l’identité, car ils gèrent des données hautement sensibles et utilisent massivement Microsoft 365. Mais toute organisation de plus de 100 employés utilisant des services cloud est une cible potentielle.

Source de l’image : Tima Miroshnichenko / Pexels

À propos de l'auteur: Tobias Massow

Plus d'articles de Tobias Massow