{"id":12158,"date":"2026-04-11T00:01:00","date_gmt":"2026-04-11T00:01:00","guid":{"rendered":"https:\/\/www.securitytoday.de\/2026\/04\/11\/infostealers-2026-pourquoi-les-cookies-de-session-vol%c3%a9s-contournent-la-mfa\/"},"modified":"2026-06-10T11:22:03","modified_gmt":"2026-06-10T11:22:03","slug":"infostealers-2026-pourquoi-les-cookies-de-session-vol%c3%a9s-contournent-la-mfa","status":"publish","type":"post","link":"https:\/\/www.securitytoday.de\/fr\/2026\/04\/11\/infostealers-2026-pourquoi-les-cookies-de-session-vol%c3%a9s-contournent-la-mfa\/","title":{"rendered":"Infostealer 2026 : Pourquoi les cookies de session vol\u00e9s contournent la MFA"},"content":{"rendered":"<p style=\"margin-bottom:12px;\"><span style=\"background:#69d8ed;color:#fff;padding:4px 14px;border-radius:20px;font-size:0.85em;font-weight:600;\">&#9201; 8 min de lecture<\/span><\/p>\n<p><strong>Un d\u00e9veloppeur travaillant dans une filiale du DAX re\u00e7oit en f\u00e9vrier un fichier ZIP apparemment inoffensif via LinkedIn. Il l\u2019ouvre, mais rien ne se passe. Deux semaines plus tard, son SOC le pr\u00e9vient : ses cookies de session sont mis en vente sur un march\u00e9 en langue russe, y compris une session Microsoft 365 encore active. MFA, acc\u00e8s conditionnel, g\u00e9ofencing &#8211; tout a \u00e9t\u00e9 contourn\u00e9. Bienvenue dans la r\u00e9alit\u00e9 de 2026 : les infostealers constituent d\u00e9sormais la menace la plus sous-estim\u00e9e pour les entreprises et ils \u00e9chappent pr\u00e9cis\u00e9ment aux contr\u00f4les dans lesquels les RSSI ont le plus investi ces cinq derni\u00e8res ann\u00e9es.<\/strong><\/p>\n<h2 style=\"line-height:1.5;\">Points cl\u00e9s<\/h2>\n<ul>\n<li><strong>La malware de type Infostealer vole sp\u00e9cifiquement des cookies de session, des tokens et des identifiants :<\/strong> RedLine, Lumma, Raccoon, Vidar et plusieurs variantes sont actifs depuis des ann\u00e9es et \u00e9voluent en mode service.<\/li>\n<li><strong>Les cookies de session vol\u00e9s permettent de contourner l&rsquo;authentification multifacteur (MFA) :<\/strong> Si une session est valide, l&rsquo;utilisateur n&rsquo;a plus besoin de s&rsquo;authentifier. Le contr\u00f4le d&rsquo;acc\u00e8s conditionnel ne s&rsquo;active que lorsqu&rsquo;un nouveau processus de connexion a lieu.<\/li>\n<li><strong>Des plateformes comme Russian Market et ses successeurs traitent des millions d&rsquo;identifiants chaque mois :<\/strong> Les attaquants ciblent pr\u00e9cis\u00e9ment par domaine, secteur d&rsquo;activit\u00e9 ou pays. L&rsquo;acc\u00e8s \u00e0 une entreprise co\u00fbte entre 10 et 300 euros.<\/li>\n<li><strong>Les solutions EDR d\u00e9tectent souvent trop tard les Infostealers :<\/strong> Ces logiciels malveillants ne restent g\u00e9n\u00e9ralement que quelques minutes sur le syst\u00e8me avant d&rsquo;exfiltrer les donn\u00e9es et de se d\u00e9sinstaller. De nombreuses m\u00e9thodes de d\u00e9tection classiques ne s&rsquo;activent pas \u00e0 temps.<\/li>\n<li><strong>La d\u00e9fense doit \u00eatre organisationnelle, et pas uniquement technique :<\/strong> La limitation de la dur\u00e9e de vie des sessions, la confiance accord\u00e9e aux appareils, l&rsquo;\u00e9valuation continue de l&rsquo;acc\u00e8s et une authentification r\u00e9sistante au phishing constituent les \u00e9l\u00e9ments indispensables pour 2026.<\/li>\n<\/ul>\n<h2 style=\"line-height:1.5;\">Comment un infostealer fonctionne r\u00e9ellement en 2026<\/h2>\n<p>L\u2019ing\u00e9nierie des infostealers modernes ne r\u00e9side pas dans la sophistication d\u2019une attaque isol\u00e9e, mais dans l\u2019industrialisation de la charge utile. Un constructeur de malwares du type RedLine ou Lumma est propos\u00e9 sous forme de service via Telegram, avec des abonnements mensuels allant de 100 \u00e0 300 dollars. Le client re\u00e7oit un fichier ex\u00e9cutable sign\u00e9 de mani\u00e8re personnalis\u00e9e, une interface de configuration pour d\u00e9finir les destinations des donn\u00e9es vol\u00e9es, un acc\u00e8s \u00e0 un tableau de bord permettant de consulter les informations d\u00e9rob\u00e9es et, bien souvent, un support via un chatbot aliment\u00e9 par l\u2019intelligence artificielle pour toute question relative au d\u00e9ploiement. Il ne s\u2019agit donc pas d\u2019un milieu amateur : c\u2019est un v\u00e9ritable march\u00e9 SaaS dot\u00e9 d\u2019un service client.<\/p>\n<p>Le processus sur le syst\u00e8me victime est g\u00e9n\u00e9ralement simple, et c\u2019est pr\u00e9cis\u00e9ment cette simplicit\u00e9 qui en fait sa r\u00e9ussite. L\u2019infostealer est introduit via un loader &#8211; souvent un t\u00e9l\u00e9chargement de logiciel crack\u00e9, un programme d\u2019installation falsifi\u00e9 pour des outils connus ou encore un fichier ZIP partag\u00e9 sur les r\u00e9seaux sociaux. Une fois ex\u00e9cut\u00e9, le malware recherche sur le syst\u00e8me les chemins standard des navigateurs Chromium et Firefox, ainsi que ceux de Discord, Telegram, Steam, des portefeuilles de cryptomonnaies et des clients FTP. Il extrait les bases de donn\u00e9es chiffr\u00e9es contenant les cookies, les d\u00e9chiffre \u00e0 l\u2019aide du DPAPI de Windows associ\u00e9 \u00e0 l\u2019utilisateur connect\u00e9, rassemble l\u2019ensemble dans un fichier ZIP, transf\u00e8re ce dernier vers un serveur de commande et contr\u00f4le, puis se termine. Dans la majorit\u00e9 des cas, l\u2019op\u00e9ration compl\u00e8te s\u2019ach\u00e8ve en moins de deux minutes.<\/p>\n<p>Par la suite, les donn\u00e9es sont mises en vente sur l\u2019un des march\u00e9s clandestins bien connus. Russian Market constitue depuis des ann\u00e9es la r\u00e9f\u00e9rence pour les identifiants d\u2019entreprises ; les plateformes succ\u00e9dant au Genesis Market, saisies en 2023 par le FBI, continuent de desservir le m\u00eame segment. Les cybercriminels y filtrent les offres selon l\u2019extension du domaine, l\u2019anciennet\u00e9 des cookies et le type de session disponible. Ainsi, un ensemble de cookies de session r\u00e9cents pour Microsoft 365, associ\u00e9 \u00e0 un compte professionnel appartenant \u00e0 une filiale du DAX, peut rapporter entre plusieurs centaines et plusieurs milliers d\u2019euros, en fonction de la qualit\u00e9 et du contexte.<\/p>\n<blockquote style=\"border-left:4px solid #69d8ed;margin:32px 0;padding:20px 24px;background:#fafafa;border-radius:0 8px 8px 0;font-size:1.1em;line-height:1.6;color:#333;\">\n<p>\u00ab Nous observons encore et toujours le m\u00eame sch\u00e9ma chez nos clients : l\u2019authentification multifactorielle est correctement activ\u00e9e, le contr\u00f4le d\u2019acc\u00e8s conditionnel est en place, l\u2019enr\u00f4lement des appareils est effectu\u00e9\u2026 et pourtant, un seul ordinateur personnel infect\u00e9 par un infostealer suffit \u00e0 contourner enti\u00e8rement la d\u00e9fense. La probl\u00e9matique des cookies de session n\u2019a toujours pas \u00e9t\u00e9 pleinement int\u00e9gr\u00e9e dans la prise de conscience des responsables de la s\u00e9curit\u00e9 informatique. \u00bb<\/p>\n<p><cite style=\"display:block;margin-top:12px;font-size:0.8em;color:#888;font-style:normal;\">&#8211; Retour d\u2019exp\u00e9rience typique provenant de teams incident response allemands, 2025<\/cite><\/p>\n<\/blockquote>\n<h2 style=\"line-height:1.5;\">Pourquoi l&rsquo;authentification multifactorielle ne r\u00e9sout pas \u00e0 elle seule le probl\u00e8me<\/h2>\n<p>L&rsquo;id\u00e9e selon laquelle l&rsquo;authentification multifactorielle (MFA) rend les utilisateurs \u00e0 l&rsquo;\u00e9preuve du phishing est en r\u00e9alit\u00e9 erron\u00e9e. Les m\u00e9thodes classiques de MFA &#8211; SMS, notifications push et codes TOTP &#8211; permettent d&rsquo;authentifier un processus de connexion. Une fois cette \u00e9tape r\u00e9ussie, le syst\u00e8me g\u00e9n\u00e8re une session qui peut g\u00e9n\u00e9ralement durer entre huit heures et quatre-vingt-dix jours, selon la configuration. Si quelqu&rsquo;un parvient \u00e0 voler les cookies de session durant cette p\u00e9riode et \u00e0 les r\u00e9injecter sur son propre appareil, il acc\u00e8de alors au compte sans aucune autre authentification : ni invite MFA, ni question de s\u00e9curit\u00e9 suppl\u00e9mentaire, ni contr\u00f4le d&rsquo;acc\u00e8s conditionnel.<\/p>\n<p>En 2024, Microsoft a introduit la fonctionnalit\u00e9 Continuous Access Evaluation (CAE) pour Entra ID afin de combler pr\u00e9cis\u00e9ment cette faille. La CAE permet au fournisseur d&rsquo;identit\u00e9 ainsi qu&rsquo;aux ressources m\u00e9tier de v\u00e9rifier en continu certaines conditions et d&rsquo;invalider instantan\u00e9ment les sessions d\u00e8s qu&rsquo;une anomalie est d\u00e9tect\u00e9e. Dans la pratique, la CAE n&rsquo;est toujours pas d\u00e9ploy\u00e9e de mani\u00e8re g\u00e9n\u00e9ralis\u00e9e en 2026. De nombreux clients d&rsquo;entreprise l&rsquo;ont activ\u00e9e, mais la prise en charge c\u00f4t\u00e9 applications reste partielle. Lorsque la CAE est mise en \u0153uvre sur Office 365, Teams, Exchange Online et SharePoint, elle permet de colmater un grand nombre de vecteurs d&rsquo;attaque, sans toutefois les \u00e9liminer tous.<\/p>\n<p>La solution la plus efficace r\u00e9side dans une authentification r\u00e9sistante au phishing bas\u00e9e sur FIDO2. Les passkeys et les cl\u00e9s de s\u00e9curit\u00e9 mat\u00e9rielles interviennent directement l\u00e0 o\u00f9 se situe le c\u0153ur des attaques fond\u00e9es sur le vol d&rsquo;identifiants : elles lient cryptographiquement l&rsquo;authentification au dispositif utilis\u00e9, emp\u00eachant ainsi toute tentative de r\u00e9utilisation des informations d&rsquo;identification. Toutefois, ces technologies ne prot\u00e8gent pas contre les cookies de session d\u00e9j\u00e0 vol\u00e9s. La r\u00e9ponse optimale consiste donc \u00e0 associer une authentification r\u00e9sistante au phishing \u00e0 une dur\u00e9e de vie tr\u00e8s courte des sessions, combin\u00e9e \u00e0 une invalidation continue.<\/p>\n<h2 style=\"line-height:1.5;\">Pourquoi les solutions EDR ne comblent pas enti\u00e8rement le foss\u00e9<\/h2>\n<p>Les produits EDR modernes sont, en th\u00e9orie, capables de d\u00e9tecter les comportements des infostealers. En pratique, cependant, les taux de d\u00e9tection des nouvelles variantes de ces logiciels malveillants sont souvent d\u00e9cevants durant les premi\u00e8res semaines. La raison en est le mod\u00e8le de polymorphisme : les outils de construction d\u2019infostealers cryptent les fichiers ex\u00e9cutables \u00e0 chaque utilisation, ce qui conf\u00e8re \u00e0 chaque instance distribu\u00e9e un hash unique. La d\u00e9tection bas\u00e9e sur les signatures \u00e9choue alors compl\u00e8tement, tandis que la d\u00e9tection comportementale se trouve rendue plus difficile par la bri\u00e8vet\u00e9 de la phase d\u2019ex\u00e9cution.<\/p>\n<p>Par ailleurs, de nombreuses infections surviennent sur des appareils personnels. Le BYOD (Bring Your Own Device), le t\u00e9l\u00e9travail, l\u2019utilisation d\u2019un ordinateur personnel pour des projets en dehors du travail ou encore une machine de jeu \u00e9quip\u00e9e de logiciels pirat\u00e9s &#8211; autant de vecteurs qui \u00e9chappent au p\u00e9rim\u00e8tre couvert par l\u2019EDR d\u2019une entreprise. Malgr\u00e9 cela, les identifiants et cookies vol\u00e9s finissent tout de m\u00eame sur le march\u00e9 noir, et la session reste fonctionnelle m\u00eame si l\u2019appareil professionnel proprement dit n\u2019a subi aucune infection.<\/p>\n<p>Cela conduit \u00e0 une v\u00e9rit\u00e9 peu r\u00e9jouissante : dans un contexte marqu\u00e9 par la menace des infostealers, l\u2019id\u00e9e selon laquelle un syst\u00e8me EDR moderne associ\u00e9 \u00e0 l\u2019authentification multifactorielle (MFA) et \u00e0 des politiques strictes de conformit\u00e9 des terminaux suffirait n\u2019est plus tenable. Les responsables de la s\u00e9curit\u00e9 doivent d\u00e9sormais partir du principe qu\u2019\u00e0 tout moment, un cookie de session valide appartenant \u00e0 l\u2019un de leurs utilisateurs peut \u00eatre r\u00e9utilis\u00e9 sur un appareil tiers, et que l\u2019infrastructure doit \u00eatre en mesure de d\u00e9tecter et de g\u00e9rer un tel sc\u00e9nario.<\/p>\n<h2 style=\"line-height:1.5;\">La pile de d\u00e9fense pour 2026<\/h2>\n<p><strong>Maintenir une dur\u00e9e de session courte.<\/strong> La mesure la plus simple est aussi la plus radicale. Microsoft, Okta, Google et d\u2019autres grands fournisseurs d\u2019identit\u00e9 permettent de configurer des politiques de session avec une dur\u00e9e maximale de quelques heures plut\u00f4t que de plusieurs jours. En fixant la dur\u00e9e de session \u00e0 quatre \u00e0 huit heures et en imposant une r\u00e9authentification pour les actions privil\u00e9gi\u00e9es, on r\u00e9duit consid\u00e9rablement le laps de temps durant lequel des cookies vol\u00e9s peuvent \u00eatre exploit\u00e9s.<\/p>\n<p><strong>Activer l\u2019\u00e9valuation continue de l\u2019acc\u00e8s (CAE).<\/strong> Lorsqu\u2019elle est disponible, la CAE constitue la mesure la plus efficace contre le vol de session. Dans Entra ID, la CAE est configurable, et en 2026, la plupart des charges de travail Microsoft 365 prennent en charge l\u2019invalidation bas\u00e9e sur la CAE. Pour cela, il est toutefois indispensable que toutes les applications clientes soient compatibles avec la CAE, ce qui repr\u00e9sente une t\u00e2che d\u2019audit dans les environnements h\u00e9t\u00e9rog\u00e8nes.<\/p>\n<p><strong>Fiabilit\u00e9 des appareils et liaison aux appareils.<\/strong> Les syst\u00e8mes d\u2019identit\u00e9 modernes offrent la possibilit\u00e9 de lier les sessions \u00e0 un appareil sp\u00e9cifique. Une session ainsi li\u00e9e ne peut pas \u00eatre r\u00e9utilis\u00e9e sur un autre appareil, car elle d\u00e9pend du secret cryptographique associ\u00e9 \u00e0 cet appareil. Beyond Identity, Cisco Duo, Okta Device Trust et Microsoft Intune proposent cette fonctionnalit\u00e9 \u00e0 diff\u00e9rents niveaux de sophistication. En prot\u00e9geant les applications critiques par la liaison aux appareils, on rend inutiles les attaques visant \u00e0 voler des informations sensibles dans ces sc\u00e9narios.<\/p>\n<p><strong>Surveillance des identifiants dans les sources du dark web.<\/strong> Des services tels que Recorded Future, Flare, Hudson Rock et KELA analysent en continu les march\u00e9s sp\u00e9cialis\u00e9s pour y d\u00e9tecter des domaines appartenant \u00e0 des entreprises et \u00e9mettent des alertes d\u00e8s qu\u2019un nouveau jeu de donn\u00e9es fait son apparition. En int\u00e9grant cette surveillance au sein du SOC, les \u00e9quipes de s\u00e9curit\u00e9 re\u00e7oivent souvent la premi\u00e8re alerte avant m\u00eame qu\u2019un attaquant n\u2019ait eu le temps d\u2019exploiter la session. L\u2019int\u00e9gration \u00e0 des solutions SIEM et SOAR est d\u00e9sormais une pratique standard en 2026.<\/p>\n<p><strong>Authentification r\u00e9sistante au phishing.<\/strong> Les cl\u00e9s d\u2019acc\u00e8s et les tokens mat\u00e9riels FIDO2 constituent le socle de toute architecture Zero Trust en 2026. Bien qu\u2019elles ne r\u00e9solvent pas directement le probl\u00e8me des cookies de session, elles r\u00e9duisent drastiquement la surface d\u2019attaque initiale. Fini le phishing par mot de passe, les attaques de fatigue MFA et le vol de codes TOTP &#8211; et donc moins d\u2019acc\u00e8s initial pour toutes les \u00e9tapes ult\u00e9rieures.<\/p>\n<h2 style=\"line-height:1.5;\">Ce que le BKA et le BSI voient de la situation des infostealers en 2025\/26<\/h2>\n<p>Les analyses de la situation r\u00e9alis\u00e9es par les autorit\u00e9s allemandes dressent un tableau clair pour 2025 et 2026 : les attaques bas\u00e9es sur des infostealers figurent parmi les menaces les plus actives pesant sur les entreprises allemandes et sont consid\u00e9r\u00e9es comme un probl\u00e8me structurel tant par les services de r\u00e9pression que par les organismes de supervision en cybers\u00e9curit\u00e9. La constatation principale est la suivante : presque tous les cas de ransomware document\u00e9s au cours des douze derniers mois, soumis \u00e0 l\u2019obligation de d\u00e9claration KRITIS, n\u2019ont pas d\u00e9but\u00e9 par une intrusion directe dans les syst\u00e8mes d\u2019entreprise. Ils ont commenc\u00e9 par des identifiants vol\u00e9s via des infostealers sur des syst\u00e8mes tiers, utilis\u00e9s des semaines plus tard comme vecteur d\u2019entr\u00e9e cibl\u00e9.<\/p>\n<p>L\u2019absence de lien direct entre la compromission initiale et l\u2019attaque proprement dite constitue le principal obstacle \u00e0 la tra\u00e7abilit\u00e9 forensique. Aujourd\u2019hui, un infostealer infecte un ordinateur portable personnel, extrait les cookies de navigateur stock\u00e9s appartenant \u00e0 un utilisateur Microsoft 365, et l\u2019attaquant qui ach\u00e8te ces cookies quelques semaines plus tard sur un march\u00e9 clandestin n\u2019a aucune connexion technique avec l\u2019infection initiale. Les \u00e9quipes de s\u00e9curit\u00e9 ne d\u00e9tectent qu\u2019une session Office 365 l\u00e9gitime, provenant d\u2019une adresse IP g\u00e9ographiquement plausible et correctement authentifi\u00e9e. Sans donn\u00e9es de t\u00e9l\u00e9m\u00e9trie issues du march\u00e9 clandestin, cette entr\u00e9e ne peut \u00eatre identifi\u00e9e comme malveillante.<\/p>\n<p>Cons\u00e9quence pour l\u2019organisation : la d\u00e9fense contre les infostealers n\u2019est pas un projet pouvant \u00eatre trait\u00e9 isol\u00e9ment au sein d\u2019un service IAM, d\u2019un SOC ou d\u2019une \u00e9quipe endpoint. Elle concerne simultan\u00e9ment la gestion des identit\u00e9s, la gestion des terminaux, la t\u00e9l\u00e9m\u00e9trie du SOC, la collecte de renseignements sur les menaces, les politiques RH et le service juridique. Toute approche limit\u00e9e \u00e0 un seul de ces silos se r\u00e9v\u00e8le inefficace.<\/p>\n<p>En pratique, cela signifie que les DSI doivent rassembler au moins quatre \u00e9quipes aujourd\u2019hui encore souvent cloisonn\u00e9es. Premi\u00e8rement, l\u2019\u00e9quipe charg\u00e9e des identit\u00e9s, pour les politiques de session et la configuration des solutions CAE. Deuxi\u00e8mement, l\u2019\u00e9quipe endpoint, responsable de la confiance des appareils et de la t\u00e9l\u00e9m\u00e9trie EDR. Troisi\u00e8mement, le SOC, pour la corr\u00e9lation et l\u2019ing\u00e9nierie de la d\u00e9tection. Quatri\u00e8mement, l\u2019\u00e9quipe de veille sur les menaces, charg\u00e9e de la surveillance du dark web et de l\u2019alerte relative aux identifiants compromis. Lorsqu\u2019on relie ces quatre r\u00f4les au sein d\u2019une matrice commune de r\u00e9ponse aux incidents, on gagne de mani\u00e8re mesurable en rapidit\u00e9 d\u2019intervention et on r\u00e9duit nettement le temps moyen de pr\u00e9sence d\u2019un cookie vol\u00e9 dans un syst\u00e8me de production.<\/p>\n<p>La bonne nouvelle : cette transition ne n\u00e9cessite ni nouveaux outils ni budget suppl\u00e9mentaire. Elle exige plut\u00f4t une d\u00e9finition claire des responsabilit\u00e9s, une m\u00e9trique partag\u00e9e et l\u2019engagement \u00e0 traiter la lutte contre les infostealers comme un programme autonome, plut\u00f4t que comme une activit\u00e9 p\u00e9riph\u00e9rique relevant de diff\u00e9rentes \u00e9quipes.<\/p>\n<h2 style=\"line-height:1.5;\">Points cl\u00e9s<\/h2>\n<p><strong>Familles de stealeurs typiques en 2026 :<\/strong> RedLine, Lumma, Raccoon v2, Vidar, Stealc, Rhadamanthys. Toutes sont disponibles en tant que service (MaaS).<\/p>\n<p><strong>Canaux d\u2019exfiltration courants :<\/strong> Bots Telegram, Cloudflare Workers, h\u00e9bergeurs Web compromis, ainsi que des connexions directes vers l\u2019infrastructure C2.<\/p>\n<p><strong>March\u00e9s noirs :<\/strong> Russian Market, Exchange.sh, 2easy, ainsi que divers canaux Telegram destin\u00e9s \u00e0 la revente rapide.<\/p>\n<p><strong>Fourchette de prix par ensemble de donn\u00e9es d\u2019entreprise :<\/strong> De 10 \u00e0 300 euros, avec des surcharges pour les tokens Office 365, les acc\u00e8s VPN et les comptes privil\u00e9gi\u00e9s.<\/p>\n<p><strong>D\u00e9lai moyen avant d\u00e9tection sans surveillance du dark web :<\/strong> Selon les experts en r\u00e9ponse aux incidents, il s\u2019agit en moyenne de plusieurs semaines, souvent seulement apr\u00e8s une attaque en aval.<\/p>\n<p><strong>Mesures de d\u00e9fense efficaces :<\/strong> Dur\u00e9e de session r\u00e9duite, CAE, v\u00e9rification de confiance des appareils, authentification r\u00e9sistante au phishing, surveillance des identifiants, acc\u00e8s conditionnel bas\u00e9 sur le risque.<\/p>\n<h2>Questions fr\u00e9quentes<\/h2>\n<details style=\"border:1px solid #e9ecef;border-radius:6px;margin-bottom:8px;background:#f8f9fa;\">\n<summary style=\"padding:14px 18px;cursor:pointer;font-weight:600;text-align:left;color:#004a59;\"><strong>Pourquoi la MFA ne suffit-elle pas \u00e0 stopper les attaques par infostealers ?<\/strong><\/summary>\n<p style=\"padding:14px 20px 18px;color:#333;line-height:1.7;\">La MFA prot\u00e8ge le processus de connexion, mais pas la session qui est ensuite \u00e9tablie. Un infostealer vole des cookies de session valides sur l\u2019ordinateur de la victime. L\u2019attaquant r\u00e9utilise ensuite ces cookies sur son propre appareil, prenant ainsi le contr\u00f4le de la session active &#8211; sans que le syst\u00e8me d\u2019identit\u00e9 ne d\u00e9tecte une nouvelle connexion. La MFA n\u2019intervient qu\u2019une fois la session expir\u00e9e ou invalid\u00e9e par un m\u00e9canisme de CAE.<\/p>\n<\/details>\n<details style=\"border:1px solid #e9ecef;border-radius:6px;margin-bottom:8px;background:#f8f9fa;\">\n<summary style=\"padding:14px 18px;cursor:pointer;font-weight:600;text-align:left;color:#004a59;\"><strong>Les passkeys constituent-ils une solution contre les infostealers ?<\/strong><\/summary>\n<p style=\"padding:14px 20px 18px;color:#333;line-height:1.7;\">Les passkeys s\u00e9curisent l\u2019authentification initiale et \u00e9liminent le vol d\u2019identifiants comme vecteur d\u2019attaque. Toutefois, ils ne r\u00e9solvent pas le probl\u00e8me des cookies de session d\u00e9j\u00e0 vol\u00e9s. Si leur mise en \u0153uvre r\u00e9duit consid\u00e9rablement la surface d\u2019attaque, il reste indispensable d\u2019adopter des limites de dur\u00e9e de vie des sessions, des syst\u00e8mes de CAE et des m\u00e9canismes de liaison aux appareils afin de bloquer compl\u00e8tement le r\u00e9emploi des cookies.<\/p>\n<\/details>\n<details style=\"border:1px solid #e9ecef;border-radius:6px;margin-bottom:8px;background:#f8f9fa;\">\n<summary style=\"padding:14px 18px;cursor:pointer;font-weight:600;text-align:left;color:#004a59;\"><strong>\u00c0 quelle vitesse un SOC peut-il r\u00e9agir en cas d\u2019incident li\u00e9 \u00e0 un infostealer ?<\/strong><\/summary>\n<p style=\"padding:14px 20px 18px;color:#333;line-height:1.7;\">Gr\u00e2ce \u00e0 la surveillance du dark web et \u00e0 l\u2019int\u00e9gration automatis\u00e9e avec un SIEM, une r\u00e9ponse en quelques heures est tout \u00e0 fait r\u00e9alisable. Sans ces outils, un SOC ne d\u00e9tecte g\u00e9n\u00e9ralement la compromission que lorsque l\u2019attaquant d\u00e9clenche des activit\u00e9s suspectes &#8211; modifications des r\u00e8gles de messagerie, t\u00e9l\u00e9chargements inhabituels ou tentatives d\u2019extension des privil\u00e8ges. \u00c0 ce stade, plusieurs jours voire plusieurs semaines se sont d\u00e9j\u00e0 \u00e9coul\u00e9s.<\/p>\n<\/details>\n<details style=\"border:1px solid #e9ecef;border-radius:6px;margin-bottom:8px;background:#f8f9fa;\">\n<summary style=\"padding:14px 18px;cursor:pointer;font-weight:600;text-align:left;color:#004a59;\"><strong>Quel r\u00f4le jouent les appareils personnels dans le probl\u00e8me des infostealers ?<\/strong><\/summary>\n<p style=\"padding:14px 20px 18px;color:#333;line-height:1.7;\">Un r\u00f4le majeur. Selon les donn\u00e9es actuelles issues des enqu\u00eates post-incident, la majorit\u00e9 des infections r\u00e9ussies surviennent sur des appareils personnels utilis\u00e9s \u00e0 des fins professionnelles. Le simple respect des politiques de conformit\u00e9 des appareils au sein de l\u2019entreprise ne suffit pas tant que les utilisateurs continuent d\u2019acc\u00e9der aux ressources d\u2019entreprise depuis leurs propres dispositifs. En 2026, la seule approche efficace consiste donc \u00e0 instaurer une s\u00e9paration stricte entre appareils professionnels et personnels, ou bien \u00e0 mettre en place des m\u00e9canismes de liaison aux appareils.<\/p>\n<\/details>\n<details style=\"border:1px solid #e9ecef;border-radius:6px;margin-bottom:8px;background:#f8f9fa;\">\n<summary style=\"padding:14px 18px;cursor:pointer;font-weight:600;text-align:left;color:#004a59;\"><strong>Quelle priorit\u00e9 doit \u00eatre accord\u00e9e \u00e0 la pr\u00e9vention des infostealers dans la feuille de route s\u00e9curit\u00e9 pour 2026 ?<\/strong><\/summary>\n<p style=\"padding:14px 20px 18px;color:#333;line-height:1.7;\">Une priorit\u00e9 \u00e9lev\u00e9e. Cette m\u00e9thode d\u2019attaque est facilement \u00e9volutif, peu co\u00fbteuse pour les cybercriminels et permet de contourner les investissements traditionnels en cybers\u00e9curit\u00e9. Les DSI qui ont fortement mis\u00e9 ces derni\u00e8res ann\u00e9es sur la MFA, l\u2019EDR et les solutions d\u2019identit\u00e9 doivent d\u00e9sormais se concentrer explicitement sur le mod\u00e8le des sessions. Cela implique de raccourcir la dur\u00e9e de vie des sessions, d\u2019activer les syst\u00e8mes de CAE, d\u2019introduire des m\u00e9canismes de confiance des appareils et de renforcer la surveillance du dark web. Tous ces \u00e9l\u00e9ments doivent \u00eatre mis en \u0153uvre conjointement, et non isol\u00e9ment.<\/p>\n<\/details>\n<h2 style=\"line-height:1.5;\">Lectures compl\u00e9mentaires<\/h2>\n<p>&rarr; <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/04\/06\/ransomware-2026-entreprises-paiement-rancon\/\">Ran\u00e7ongiciel 2026 : Que se passe-t-il si les entreprises paient, et que se passe-t-il si elles ne paient pas ?<\/a><\/p>\n<p>&rarr; <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/04\/05\/cryptographie-post-quantique-entreprises-chiffrement-migration\/\">Cryptographie post-quantique : Pourquoi les entreprises doivent-elles d\u00e8s maintenant migrer vers de nouveaux syst\u00e8mes de chiffrement ?<\/a><\/p>\n<p>&rarr; <a href=\"https:\/\/www.securitytoday.de\/fr\/2026\/04\/04\/attaques-deepfake-direction-voix-ia-fraude\/\">Attaques par deepfake visant la direction : Comment des voix g\u00e9n\u00e9r\u00e9es par l\u2019IA peuvent-elles permettre de d\u00e9rober des millions ?<\/a><\/p>\n<p style=\"text-align:right;\"><em>Source de l\u2019image en t\u00eate d\u2019article : Pexels \/ Sora Shimazaki (px:5935787)<\/em><\/p>\n","protected":false},"excerpt":{"rendered":"RedLine, Lumma, Raccoon : les malwares infostealers volent des cookies de session et contournent la MFA. Que faut-il vraiment pour y rem\u00e9dier en 2026 ?","protected":false},"author":55,"featured_media":12108,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_yoast_wpseo_focuskw":"infostealers 2026","_yoast_wpseo_title":"Infostealer 2026 : Pourquoi les cookies de session vol\u00e9s contournent la MFA","_yoast_wpseo_metadesc":"Les malwares infostealers volent des cookies de session et contournent la MFA. Comment RedLine, Lumma et compagnie fonctionnent-ils et que faut-il vraiment pour y rem\u00e9dier en 2026 ?","_yoast_wpseo_meta-robots-noindex":"","_yoast_wpseo_meta-robots-nofollow":"","_yoast_wpseo_meta-robots-adv":"","_yoast_wpseo_canonical":"","_yoast_wpseo_opengraph-title":"","_yoast_wpseo_opengraph-description":"","_yoast_wpseo_opengraph-image":"","_yoast_wpseo_opengraph-image-id":0,"_yoast_wpseo_twitter-title":"","_yoast_wpseo_twitter-description":"","_yoast_wpseo_twitter-image":"","_yoast_wpseo_twitter-image-id":0,"_evm_translation_lang":"","featured_post":0,"featured_post_sortierung":0,"_wp_old_slug":[],"footnotes":""},"categories":[252],"tags":[],"class_list":["post-12158","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-actualites"],"evm_reading_time_minutes":16,"wpml_language":"fr","wpml_translation_of":12109,"_links":{"self":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12158","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/users\/55"}],"replies":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/comments?post=12158"}],"version-history":[{"count":2,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12158\/revisions"}],"predecessor-version":[{"id":15928,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/posts\/12158\/revisions\/15928"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media\/12108"}],"wp:attachment":[{"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/media?parent=12158"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/categories?post=12158"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.securitytoday.de\/fr\/wp-json\/wp\/v2\/tags?post=12158"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}