Infostealer 2026 : Pourquoi les cookies de session volés contournent la MFA
⏱ 8 min de lecture
Un développeur travaillant dans une filiale du DAX reçoit en février un fichier ZIP apparemment inoffensif via LinkedIn. Il l’ouvre, mais rien ne se passe. Deux semaines plus tard, son SOC le prévient : ses cookies de session sont mis en vente sur un marché en langue russe, y compris une session Microsoft 365 encore active. MFA, accès conditionnel, géofencing – tout a été contourné. Bienvenue dans la réalité de 2026 : les infostealers constituent désormais la menace la plus sous-estimée pour les entreprises et ils échappent précisément aux contrôles dans lesquels les RSSI ont le plus investi ces cinq dernières années.
Points clés
- La malware de type Infostealer vole spécifiquement des cookies de session, des tokens et des identifiants : RedLine, Lumma, Raccoon, Vidar et plusieurs variantes sont actifs depuis des années et évoluent en mode service.
- Les cookies de session volés permettent de contourner l’authentification multifacteur (MFA) : Si une session est valide, l’utilisateur n’a plus besoin de s’authentifier. Le contrôle d’accès conditionnel ne s’active que lorsqu’un nouveau processus de connexion a lieu.
- Des plateformes comme Russian Market et ses successeurs traitent des millions d’identifiants chaque mois : Les attaquants ciblent précisément par domaine, secteur d’activité ou pays. L’accès à une entreprise coûte entre 10 et 300 euros.
- Les solutions EDR détectent souvent trop tard les Infostealers : Ces logiciels malveillants ne restent généralement que quelques minutes sur le système avant d’exfiltrer les données et de se désinstaller. De nombreuses méthodes de détection classiques ne s’activent pas à temps.
- La défense doit être organisationnelle, et pas uniquement technique : La limitation de la durée de vie des sessions, la confiance accordée aux appareils, l’évaluation continue de l’accès et une authentification résistante au phishing constituent les éléments indispensables pour 2026.
Comment un infostealer fonctionne réellement en 2026
L’ingénierie des infostealers modernes ne réside pas dans la sophistication d’une attaque isolée, mais dans l’industrialisation de la charge utile. Un constructeur de malwares du type RedLine ou Lumma est proposé sous forme de service via Telegram, avec des abonnements mensuels allant de 100 à 300 dollars. Le client reçoit un fichier exécutable signé de manière personnalisée, une interface de configuration pour définir les destinations des données volées, un accès à un tableau de bord permettant de consulter les informations dérobées et, bien souvent, un support via un chatbot alimenté par l’intelligence artificielle pour toute question relative au déploiement. Il ne s’agit donc pas d’un milieu amateur : c’est un véritable marché SaaS doté d’un service client.
Le processus sur le système victime est généralement simple, et c’est précisément cette simplicité qui en fait sa réussite. L’infostealer est introduit via un loader – souvent un téléchargement de logiciel cracké, un programme d’installation falsifié pour des outils connus ou encore un fichier ZIP partagé sur les réseaux sociaux. Une fois exécuté, le malware recherche sur le système les chemins standard des navigateurs Chromium et Firefox, ainsi que ceux de Discord, Telegram, Steam, des portefeuilles de cryptomonnaies et des clients FTP. Il extrait les bases de données chiffrées contenant les cookies, les déchiffre à l’aide du DPAPI de Windows associé à l’utilisateur connecté, rassemble l’ensemble dans un fichier ZIP, transfère ce dernier vers un serveur de commande et contrôle, puis se termine. Dans la majorité des cas, l’opération complète s’achève en moins de deux minutes.
Par la suite, les données sont mises en vente sur l’un des marchés clandestins bien connus. Russian Market constitue depuis des années la référence pour les identifiants d’entreprises ; les plateformes succédant au Genesis Market, saisies en 2023 par le FBI, continuent de desservir le même segment. Les cybercriminels y filtrent les offres selon l’extension du domaine, l’ancienneté des cookies et le type de session disponible. Ainsi, un ensemble de cookies de session récents pour Microsoft 365, associé à un compte professionnel appartenant à une filiale du DAX, peut rapporter entre plusieurs centaines et plusieurs milliers d’euros, en fonction de la qualité et du contexte.
« Nous observons encore et toujours le même schéma chez nos clients : l’authentification multifactorielle est correctement activée, le contrôle d’accès conditionnel est en place, l’enrôlement des appareils est effectué… et pourtant, un seul ordinateur personnel infecté par un infostealer suffit à contourner entièrement la défense. La problématique des cookies de session n’a toujours pas été pleinement intégrée dans la prise de conscience des responsables de la sécurité informatique. »
– Retour d’expérience typique provenant de teams incident response allemands, 2025
Pourquoi l’authentification multifactorielle ne résout pas à elle seule le problème
L’idée selon laquelle l’authentification multifactorielle (MFA) rend les utilisateurs à l’épreuve du phishing est en réalité erronée. Les méthodes classiques de MFA – SMS, notifications push et codes TOTP – permettent d’authentifier un processus de connexion. Une fois cette étape réussie, le système génère une session qui peut généralement durer entre huit heures et quatre-vingt-dix jours, selon la configuration. Si quelqu’un parvient à voler les cookies de session durant cette période et à les réinjecter sur son propre appareil, il accède alors au compte sans aucune autre authentification : ni invite MFA, ni question de sécurité supplémentaire, ni contrôle d’accès conditionnel.
En 2024, Microsoft a introduit la fonctionnalité Continuous Access Evaluation (CAE) pour Entra ID afin de combler précisément cette faille. La CAE permet au fournisseur d’identité ainsi qu’aux ressources métier de vérifier en continu certaines conditions et d’invalider instantanément les sessions dès qu’une anomalie est détectée. Dans la pratique, la CAE n’est toujours pas déployée de manière généralisée en 2026. De nombreux clients d’entreprise l’ont activée, mais la prise en charge côté applications reste partielle. Lorsque la CAE est mise en œuvre sur Office 365, Teams, Exchange Online et SharePoint, elle permet de colmater un grand nombre de vecteurs d’attaque, sans toutefois les éliminer tous.
La solution la plus efficace réside dans une authentification résistante au phishing basée sur FIDO2. Les passkeys et les clés de sécurité matérielles interviennent directement là où se situe le cœur des attaques fondées sur le vol d’identifiants : elles lient cryptographiquement l’authentification au dispositif utilisé, empêchant ainsi toute tentative de réutilisation des informations d’identification. Toutefois, ces technologies ne protègent pas contre les cookies de session déjà volés. La réponse optimale consiste donc à associer une authentification résistante au phishing à une durée de vie très courte des sessions, combinée à une invalidation continue.
Pourquoi les solutions EDR ne comblent pas entièrement le fossé
Les produits EDR modernes sont, en théorie, capables de détecter les comportements des infostealers. En pratique, cependant, les taux de détection des nouvelles variantes de ces logiciels malveillants sont souvent décevants durant les premières semaines. La raison en est le modèle de polymorphisme : les outils de construction d’infostealers cryptent les fichiers exécutables à chaque utilisation, ce qui confère à chaque instance distribuée un hash unique. La détection basée sur les signatures échoue alors complètement, tandis que la détection comportementale se trouve rendue plus difficile par la brièveté de la phase d’exécution.
Par ailleurs, de nombreuses infections surviennent sur des appareils personnels. Le BYOD (Bring Your Own Device), le télétravail, l’utilisation d’un ordinateur personnel pour des projets en dehors du travail ou encore une machine de jeu équipée de logiciels piratés – autant de vecteurs qui échappent au périmètre couvert par l’EDR d’une entreprise. Malgré cela, les identifiants et cookies volés finissent tout de même sur le marché noir, et la session reste fonctionnelle même si l’appareil professionnel proprement dit n’a subi aucune infection.
Cela conduit à une vérité peu réjouissante : dans un contexte marqué par la menace des infostealers, l’idée selon laquelle un système EDR moderne associé à l’authentification multifactorielle (MFA) et à des politiques strictes de conformité des terminaux suffirait n’est plus tenable. Les responsables de la sécurité doivent désormais partir du principe qu’à tout moment, un cookie de session valide appartenant à l’un de leurs utilisateurs peut être réutilisé sur un appareil tiers, et que l’infrastructure doit être en mesure de détecter et de gérer un tel scénario.
La pile de défense pour 2026
Maintenir une durée de session courte. La mesure la plus simple est aussi la plus radicale. Microsoft, Okta, Google et d’autres grands fournisseurs d’identité permettent de configurer des politiques de session avec une durée maximale de quelques heures plutôt que de plusieurs jours. En fixant la durée de session à quatre à huit heures et en imposant une réauthentification pour les actions privilégiées, on réduit considérablement le laps de temps durant lequel des cookies volés peuvent être exploités.
Activer l’évaluation continue de l’accès (CAE). Lorsqu’elle est disponible, la CAE constitue la mesure la plus efficace contre le vol de session. Dans Entra ID, la CAE est configurable, et en 2026, la plupart des charges de travail Microsoft 365 prennent en charge l’invalidation basée sur la CAE. Pour cela, il est toutefois indispensable que toutes les applications clientes soient compatibles avec la CAE, ce qui représente une tâche d’audit dans les environnements hétérogènes.
Fiabilité des appareils et liaison aux appareils. Les systèmes d’identité modernes offrent la possibilité de lier les sessions à un appareil spécifique. Une session ainsi liée ne peut pas être réutilisée sur un autre appareil, car elle dépend du secret cryptographique associé à cet appareil. Beyond Identity, Cisco Duo, Okta Device Trust et Microsoft Intune proposent cette fonctionnalité à différents niveaux de sophistication. En protégeant les applications critiques par la liaison aux appareils, on rend inutiles les attaques visant à voler des informations sensibles dans ces scénarios.
Surveillance des identifiants dans les sources du dark web. Des services tels que Recorded Future, Flare, Hudson Rock et KELA analysent en continu les marchés spécialisés pour y détecter des domaines appartenant à des entreprises et émettent des alertes dès qu’un nouveau jeu de données fait son apparition. En intégrant cette surveillance au sein du SOC, les équipes de sécurité reçoivent souvent la première alerte avant même qu’un attaquant n’ait eu le temps d’exploiter la session. L’intégration à des solutions SIEM et SOAR est désormais une pratique standard en 2026.
Authentification résistante au phishing. Les clés d’accès et les tokens matériels FIDO2 constituent le socle de toute architecture Zero Trust en 2026. Bien qu’elles ne résolvent pas directement le problème des cookies de session, elles réduisent drastiquement la surface d’attaque initiale. Fini le phishing par mot de passe, les attaques de fatigue MFA et le vol de codes TOTP – et donc moins d’accès initial pour toutes les étapes ultérieures.
Ce que le BKA et le BSI voient de la situation des infostealers en 2025/26
Les analyses de la situation réalisées par les autorités allemandes dressent un tableau clair pour 2025 et 2026 : les attaques basées sur des infostealers figurent parmi les menaces les plus actives pesant sur les entreprises allemandes et sont considérées comme un problème structurel tant par les services de répression que par les organismes de supervision en cybersécurité. La constatation principale est la suivante : presque tous les cas de ransomware documentés au cours des douze derniers mois, soumis à l’obligation de déclaration KRITIS, n’ont pas débuté par une intrusion directe dans les systèmes d’entreprise. Ils ont commencé par des identifiants volés via des infostealers sur des systèmes tiers, utilisés des semaines plus tard comme vecteur d’entrée ciblé.
L’absence de lien direct entre la compromission initiale et l’attaque proprement dite constitue le principal obstacle à la traçabilité forensique. Aujourd’hui, un infostealer infecte un ordinateur portable personnel, extrait les cookies de navigateur stockés appartenant à un utilisateur Microsoft 365, et l’attaquant qui achète ces cookies quelques semaines plus tard sur un marché clandestin n’a aucune connexion technique avec l’infection initiale. Les équipes de sécurité ne détectent qu’une session Office 365 légitime, provenant d’une adresse IP géographiquement plausible et correctement authentifiée. Sans données de télémétrie issues du marché clandestin, cette entrée ne peut être identifiée comme malveillante.
Conséquence pour l’organisation : la défense contre les infostealers n’est pas un projet pouvant être traité isolément au sein d’un service IAM, d’un SOC ou d’une équipe endpoint. Elle concerne simultanément la gestion des identités, la gestion des terminaux, la télémétrie du SOC, la collecte de renseignements sur les menaces, les politiques RH et le service juridique. Toute approche limitée à un seul de ces silos se révèle inefficace.
En pratique, cela signifie que les DSI doivent rassembler au moins quatre équipes aujourd’hui encore souvent cloisonnées. Premièrement, l’équipe chargée des identités, pour les politiques de session et la configuration des solutions CAE. Deuxièmement, l’équipe endpoint, responsable de la confiance des appareils et de la télémétrie EDR. Troisièmement, le SOC, pour la corrélation et l’ingénierie de la détection. Quatrièmement, l’équipe de veille sur les menaces, chargée de la surveillance du dark web et de l’alerte relative aux identifiants compromis. Lorsqu’on relie ces quatre rôles au sein d’une matrice commune de réponse aux incidents, on gagne de manière mesurable en rapidité d’intervention et on réduit nettement le temps moyen de présence d’un cookie volé dans un système de production.
La bonne nouvelle : cette transition ne nécessite ni nouveaux outils ni budget supplémentaire. Elle exige plutôt une définition claire des responsabilités, une métrique partagée et l’engagement à traiter la lutte contre les infostealers comme un programme autonome, plutôt que comme une activité périphérique relevant de différentes équipes.
Points clés
Familles de stealeurs typiques en 2026 : RedLine, Lumma, Raccoon v2, Vidar, Stealc, Rhadamanthys. Toutes sont disponibles en tant que service (MaaS).
Canaux d’exfiltration courants : Bots Telegram, Cloudflare Workers, hébergeurs Web compromis, ainsi que des connexions directes vers l’infrastructure C2.
Marchés noirs : Russian Market, Exchange.sh, 2easy, ainsi que divers canaux Telegram destinés à la revente rapide.
Fourchette de prix par ensemble de données d’entreprise : De 10 à 300 euros, avec des surcharges pour les tokens Office 365, les accès VPN et les comptes privilégiés.
Délai moyen avant détection sans surveillance du dark web : Selon les experts en réponse aux incidents, il s’agit en moyenne de plusieurs semaines, souvent seulement après une attaque en aval.
Mesures de défense efficaces : Durée de session réduite, CAE, vérification de confiance des appareils, authentification résistante au phishing, surveillance des identifiants, accès conditionnel basé sur le risque.
Questions fréquentes
Pourquoi la MFA ne suffit-elle pas à stopper les attaques par infostealers ?
La MFA protège le processus de connexion, mais pas la session qui est ensuite établie. Un infostealer vole des cookies de session valides sur l’ordinateur de la victime. L’attaquant réutilise ensuite ces cookies sur son propre appareil, prenant ainsi le contrôle de la session active – sans que le système d’identité ne détecte une nouvelle connexion. La MFA n’intervient qu’une fois la session expirée ou invalidée par un mécanisme de CAE.
Les passkeys constituent-ils une solution contre les infostealers ?
Les passkeys sécurisent l’authentification initiale et éliminent le vol d’identifiants comme vecteur d’attaque. Toutefois, ils ne résolvent pas le problème des cookies de session déjà volés. Si leur mise en œuvre réduit considérablement la surface d’attaque, il reste indispensable d’adopter des limites de durée de vie des sessions, des systèmes de CAE et des mécanismes de liaison aux appareils afin de bloquer complètement le réemploi des cookies.
À quelle vitesse un SOC peut-il réagir en cas d’incident lié à un infostealer ?
Grâce à la surveillance du dark web et à l’intégration automatisée avec un SIEM, une réponse en quelques heures est tout à fait réalisable. Sans ces outils, un SOC ne détecte généralement la compromission que lorsque l’attaquant déclenche des activités suspectes – modifications des règles de messagerie, téléchargements inhabituels ou tentatives d’extension des privilèges. À ce stade, plusieurs jours voire plusieurs semaines se sont déjà écoulés.
Quel rôle jouent les appareils personnels dans le problème des infostealers ?
Un rôle majeur. Selon les données actuelles issues des enquêtes post-incident, la majorité des infections réussies surviennent sur des appareils personnels utilisés à des fins professionnelles. Le simple respect des politiques de conformité des appareils au sein de l’entreprise ne suffit pas tant que les utilisateurs continuent d’accéder aux ressources d’entreprise depuis leurs propres dispositifs. En 2026, la seule approche efficace consiste donc à instaurer une séparation stricte entre appareils professionnels et personnels, ou bien à mettre en place des mécanismes de liaison aux appareils.
Quelle priorité doit être accordée à la prévention des infostealers dans la feuille de route sécurité pour 2026 ?
Une priorité élevée. Cette méthode d’attaque est facilement évolutif, peu coûteuse pour les cybercriminels et permet de contourner les investissements traditionnels en cybersécurité. Les DSI qui ont fortement misé ces dernières années sur la MFA, l’EDR et les solutions d’identité doivent désormais se concentrer explicitement sur le modèle des sessions. Cela implique de raccourcir la durée de vie des sessions, d’activer les systèmes de CAE, d’introduire des mécanismes de confiance des appareils et de renforcer la surveillance du dark web. Tous ces éléments doivent être mis en œuvre conjointement, et non isolément.
Lectures complémentaires
Source de l’image en tête d’article : Pexels / Sora Shimazaki (px:5935787)
