Près de 19 % des mots de passe dérobés lors de fuites récentes respectaient pourtant les critères recommandés. C’est le constat principal d’une étude publiée par Specops, filiale de la société suédoise Outpost24, à partir de l’analyse de plus de 1,7 milliard de comptes compromis issus de campagnes infostealer récentes. Ce chiffre bouscule une conviction longtemps dominante dans la gestion des accès : la robustesse intrinsèque du mot de passe ne suffit pas à le protéger.
Les recommandations de sécurité en matière de mots de passe se sont progressivement durcies au fil des années. Longueur minimale portée à 12 ou 16 caractères, combinaison de majuscules, de chiffres et de caractères spéciaux, renouvellement périodique, interdiction des séquences courantes : autant de critères codifiés par le Nist, repris par l’Anssi, intégrés aux politiques de gestion des identités dans la quasi-totalité des organisations d’une certaine taille. Ces critères définissent ce qu’un mot de passe « robuste » est censé être.
L’étude Specops remet en cause la portée réelle de cette robustesse. L’analyse porte sur des données exfiltrées à partir d’appareils compromis par des infostealers, des maliciels conçus pour extraire silencieusement les identifiants stockés dans les navigateurs, les gestionnaires de mots de passe et les applications. Parmi les 1,7 milliard de comptes analysés, près d’un sur cinq respectait pourtant les standards de complexité usuels. La conformité aux politiques de mots de passe ne constitue donc plus une barrière suffisante si l’appareil d’extrémité est compromis en amont.
Un déplacement du vecteur d’attaque
La logique de sécurisation des mots de passe a longtemps été construite autour d’une hypothèse implicite : la menace principale provient de tentatives de cassage par force brute ou par dictionnaire. Un mot de passe long et complexe résiste mécaniquement à ces attaques. Les politiques IAM ont été conçues en conséquence, avec des règles de complexité pensées pour accroître le temps de calcul nécessaire à une compromission.
Les infostealers contournent entièrement cette logique. Ils n’ont pas à « casser » le mot de passe : ils le copient directement depuis l’appareil de l’utilisateur, avant toute tentative d’authentification. Le vecteur d’attaque ne porte donc plus sur la robustesse du mot de passe lui-même, mais sur l’état de sécurité du poste ou du terminal depuis lequel il est utilisé. Un mot de passe parfaitement conforme aux critères de complexité n’offre aucune résistance supplémentaire face à un infostealer actif.
La mobilité et les navigateurs grand public, victimes désignées
Les campagnes infostealer visent prioritairement les environnements les moins cloisonnés : postes nomades, navigateurs grand public utilisés à des fins professionnelles, appareils personnels accédant à des ressources d’entreprise en dehors des périmètres de contrôle habituels. La frontière entre usage professionnel et usage personnel, qui s’est considérablement estompée depuis la généralisation du télétravail, amplifie mécaniquement la surface d’exposition.
Les gestionnaires de mots de passe intégrés aux navigateurs, Chrome, Edge, Firefox, constituent une cible de choix : ils centralisent les identifiants de nombreux services dans un même emplacement, potentiellement accessible en clair ou sous forme facilement déchiffrable depuis l’appareil local. Les infostealers sont précisément optimisés pour extraire ces dépôts, aux côtés des cookies de session et des jetons d’authentification.
Pour les RSSI et les responsables IAM, les conclusions de l’étude Specops invitent à reconsidérer l’architecture des politiques d’accès sur au moins trois axes. Le premier concerne la détection des fuites d’identifiants : surveiller en continu si des comptes de l’organisation apparaissent dans des bases de données compromises devient aussi prioritaire que les contrôles de complexité à la création du mot de passe. Le deuxième axe porte sur la généralisation de l’authentification multifacteur, non comme couche complémentaire optionnelle, mais comme exigence de base pour tout accès aux ressources sensibles, précisément parce que le MFA maintient une barrière même lorsque le mot de passe a été exfiltré. Le troisième axe concerne la sécurisation des terminaux eux-mêmes : contrôle des navigateurs autorisés, restriction des gestionnaires de mots de passe non managés, détection des maliciels avant exfiltration.
Un signal de maturité pour les équipes sécurité
L’étude Specops désigne un basculement plus large de la doctrine de sécurité des accès. La robustesse des mots de passe reste un prérequis, mais elle n’est pas un facteur différenciant. Ce qui distingue désormais les organisations exposées de celles qui maîtrisent leur surface d’attaque, c’est la capacité à détecter une compromission de terminal avant que les identifiants exfiltrés ne soient exploités, à révoquer rapidement des sessions actives, et à combiner les signaux de détection des endpoints avec les alertes provenant des plateformes de surveillance des fuites.
Pour les entreprises engagées dans des programmes de mise en conformité NIS2 ou DORA, ce constat renforce l’argument en faveur d’une approche Zero Trust : ne jamais présupposer qu’un identifiant valide est un identifiant sûr, et traiter systématiquement la légitimité d’une session comme une hypothèse à vérifier, non comme un acquis.
