Près de 19 % des mots de passe volés par les infostealers respectaient pourtant les critères de robustesse. C’est le constat d’une étude publiée par Specops Software, filiale d’Outpost24, portant sur l’analyse de plus de 1,7 milliard de comptes compromis et de plus de 100 gigaoctets de journaux infostealers collectés entre février et mars 2026. Ce chiffre invalide le présupposé sur lequel repose encore la majorité des politiques de sécurité des mots de passe : la robustesse de l’identifiant ne constitue plus un rempart suffisant dès lors que la cible est la machine.
La bascule que cette étude met en évidence est avant tout architecturale. Pendant des années, la réponse de l’industrie aux compromissions d’identifiants a été d’augmenter la complexité des mots de passe, longueur minimale, alternance de majuscules, de chiffres et de caractères spéciaux, renouvellement périodique. Cette approche présuppose que l’attaquant cherche à deviner ou à casser le mot de passe par force brute ou par attaque par dictionnaire. Les infostealers contournent entièrement cette logique. Ces maliciels, RedLine, Raccoon, Vidar, LummaC2 et leurs nombreuses variantes, infectent les machines des utilisateurs et exfiltrent directement les identifiants stockés dans les navigateurs, les gestionnaires de mots de passe, les fichiers de configuration et les sessions actives. La robustesse du mot de passe est sans incidence sur ce vecteur. Si un utilisateur peut le saisir, un maliciel peut le voler.
Les données analysées par Specops proviennent majoritairement de fichiers au format ULP (URL : Login : Password), exfiltrés directement depuis des machines infectées. Parmi les sources figurent 100 millions d’enregistrements liés à l’acteur Alien_Txtbase, qui alimente un marché d’accès initiaux revendu sur le dark web et via des canaux Telegram. Ces identifiants, une fois commercialisés, alimentent des campagnes d’attaques automatisées à grande échelle, du credential stuffing sur des dizaines de services simultanément, et des compromissions en cascade rendues possibles par la réutilisation des mots de passe entre services personnels et professionnels.
Le credential stuffing en exploitation de la fuite d’identifiants
La réutilisation des mots de passe transforme une compromission individuelle en faille systémique. Un identifiant exfiltré depuis un navigateur personnel peut, s’il est réutilisé sur un accès VPN ou un portail applicatif d’entreprise, ouvrir une porte d’entrée dans le système d’information sans qu’aucune alerte sur la robustesse du mot de passe n’ait été déclenchée. Les outils de credential stuffing automatisent cette exploitation à grande échelle, avec des milliers de tentatives de connexion par heure sur des cibles identifiées et des identifiants valides issus de fuites récentes. Le taux de succès de ces campagnes est directement corrélé à la prévalence de la réutilisation, estimée à des niveaux élevés dans toutes les études récentes sur les comportements des utilisateurs.
Darren James, Senior Product Manager chez Specops, formule la rupture de paradigme avec précision : « Les administrateurs peuvent s’assurer que leur Active Directory contient des mots de passe robustes et conformes aux standards NIST. La vraie question est de savoir si ces mots de passe sont réutilisés ailleurs ou ont déjà été volés. Si un utilisateur peut taper un mot de passe dans un navigateur, un maliciel peut le voler. C’est pourquoi vérifier les identifiants compromis doit faire partie intégrante de votre stratégie de sécurité. » Cette formulation résume l’évolution que l’étude Specops impose aux équipes sécurité : passer d’une logique de création à une logique de surveillance continue.
Une base d’identifiants compromis de 5,8 milliards d’entrées
La mise à jour publiée avec cette étude ajoute 430 millions de mots de passe compromis à la base Specops, portant le total à plus de 5,8 milliards d’identifiants bloqués via les solutions de l’éditeur. En parallèle, plus de 4,4 millions d’enregistrements ont été intégrés à l’outil Specops Password Auditor, qui permet aux organisations d’identifier les mots de passe compromis, identiques ou associés à des comptes inactifs dans leur Active Directory. Ces chiffres illustrent la vitesse à laquelle le marché des identifiants volés s’alimente, et la difficulté structurelle pour les équipes sécurité de maintenir une visibilité en temps réel sur l’état de compromission de leur parc d’identifiants.
Pour les RSSI qui supervisent des environnements hybrides avec des milliers de comptes actifs, la question de la vérification continue des identifiants compromis est devenue une composante à part entière de la posture de sécurité, au même titre que la gestion des correctifs ou la surveillance des endpoints. L’argument selon lequel un mot de passe fort suffit à protéger un compte ne résiste plus à l’analyse des vecteurs d’attaque actuels.
Trois axes d’évolution pour la gestion des mots de passe
L’étude Specops dessine trois axes d’évolution pour les politiques de gestion des mots de passe en entreprise. Le premier est le blocage continu des identifiants compromis, appliqué non seulement à la création du mot de passe mais tout au long de son cycle de vie, avec une vérification régulière contre des bases de fuites actualisées. Le deuxième est l’adoption de politiques dynamiques qui intègrent des flux de renseignements sur les menaces en temps réel, plutôt que des règles statiques de complexité. Le troisième est la promotion des phrases secrètes longues et uniques par service, qui réduisent mécaniquement le risque de réutilisation et augmentent la résistance aux attaques par substitution même si elles restent vulnérables à l’exfiltration directe.
Ces orientations rejoignent les préconisations récentes du NIST dans sa révision SP 800-63B, qui déplace le curseur de la complexité arbitraire vers la longueur et la vérification contre les bases de mots de passe compromis connus. Pour les DSI et RSSI qui doivent justifier l’évolution de leurs politiques de sécurité des identifiants devant leurs instances de gouvernance, l’étude Specops fournit une base quantitative solide à l’argumentaire : la robustesse formelle d’un mot de passe est une condition nécessaire mais largement insuffisante dans un environnement où les infostealers constituent le vecteur de compromission prioritaire.
