Identifiants volés : l’IA repère l’intrus avant les dégâts

Intelligence artificielle dans la cybersécurité••By 3L3C

32 % des violations commencent par un login. Découvrez comment l’IA détecte les identifiants volés et sécurise vos accès avec Zero Trust et MFA.

authentificationIAZero TrustMFAdétection des menacesidentité numériqueSOC
Share:

Featured image for Identifiants volés : l’IA repère l’intrus avant les dégâts

Identifiants volés : l’IA repère l’intrus avant les dégâts

32 % des violations de données démarrent par un identifiant volé. Pas une faille « spectaculaire », pas un zero-day : un simple login qui passe. C’est le cambriolage le plus rentable du moment, parce qu’il ressemble à une activité normale.

Dans cette série « Intelligence artificielle dans la cybersécurité », j’insiste souvent sur un point : l’IA n’est pas là pour remplacer les fondamentaux, mais pour rendre enfin visibles les signaux faibles que les équipes n’ont pas le temps de corréler. Et les connexions (qui, quand, d’où, avec quel appareil, sur quelles applis) sont exactement ce terrain de jeu.

Le problème, c’est que beaucoup d’entreprises investissent dans des solutions de sécurité « périmètre », tout en laissant une porte d’entrée très simple : les identifiants. La bonne nouvelle : on sait comment réduire fortement le risque — et l’IA peut jouer un rôle décisif pour détecter un compte compromis avant que l’attaquant ne se serve.

« Ils ne piratent pas, ils se connectent » : pourquoi ça marche

Un attaquant qui se connecte avec un vrai compte déclenche moins d’alarmes qu’un attaquant qui force une vulnérabilité. Il hérite d’un niveau de confiance implicite : accès applicatif, droits, habitudes de trafic, parfois même exemptions.

La mécanique est simple :

  • Vol d’identifiants (mot de passe, cookie de session, jeton)
  • Connexion « propre » Ă  distance
  • Reconnaissance interne (inventaire des donnĂ©es et des droits)
  • Escalade de privilèges
  • DĂ©placement latĂ©ral
  • Exfiltration et/ou rançongiciel

Ce qui rend ces attaques redoutables, c’est la discrétion. Le SOC voit un utilisateur connu, sur une application connue. Le diable est dans les détails : heure inhabituelle, nouvelle géolocalisation, appareil non conforme, séquence d’actions anormale, création soudaine de règles de transfert d’e-mails, etc.

Phrase à garder en tête : un compte compromis, c’est un employé qui n’est plus seul dans sa session.

Comment les identifiants sont volés (et pourquoi la MFA ne suffit plus)

Les identifiants sont devenus une matière première industrielle. Une estimation évoque 3,2 milliards d’identifiants d’entreprises dérobés en 2024, soit +33 % sur un an. Les attaquants n’ont pas besoin d’être des génies : ils ont besoin de volume, d’automatisation, et de patience.

Les méthodes qui fonctionnent encore (trop) bien

  1. Phishing : faux portail Microsoft/Google/SSO, lien « urgent », demande de reconnexion.
  2. Vishing : appel au nom du support, pression, scénario « compte bloqué », ajout d’un nouvel appareil MFA.
  3. Infostealers : malwares qui aspirent mots de passe et cookies de session. Ils expliquent une grande partie des compromissions récentes.
  4. Brute force et attaques par réutilisation : credential stuffing et password spraying à grande échelle.
  5. Compromission d’un tiers : prestataire, SaaS, MSP, ou simple revente de combos déjà fuités.
  6. Contournement MFA : fatigue MFA (bombardement de notifications), attaques « adversary-in-the-middle », vol de jetons, échange de SIM.

Deux incidents qui résument le risque

  • Change Healthcare (2024) : entrĂ©e initiale via identifiants volĂ©s sur un serveur sans MFA, puis escalade et rançongiciel. MoralitĂ© : une seule exception MFA peut coĂ»ter des mois.
  • Snowflake (campagnes d’extorsion) : accès aux environnements clients via identifiants rĂ©cupĂ©rĂ©s par infostealers. MoralitĂ© : quand un cookie de session fuit, la MFA arrive trop tard.

Le point dur à accepter : la MFA est indispensable, mais pas suffisante. Si l’attaquant vole un jeton de session valide ou manipule l’utilisateur, il « passe ».

Ce que l’IA apporte vraiment : repérer l’anomalie de connexion en temps réel

L’IA est utile ici pour une raison concrète : la connexion est un signal riche, répétitif et mesurable. On peut apprendre ce qui est « normal » et isoler ce qui ne l’est pas — même quand l’attaquant utilise des identifiants légitimes.

1) L’analyse comportementale : quand la connexion « sonne faux »

Les modèles de détection peuvent scorer le risque en combinant des signaux simples mais puissants :

  • GĂ©ovĂ©locitĂ© impossible : Paris Ă  09:12 puis Singapour Ă  10:03
  • Appareil nouveau : empreinte navigateur/OS inconnue, absence d’EDR, poste non gĂ©rĂ©
  • Heures atypiques : pics nocturnes, week-ends, ou pendant des congĂ©s connus
  • SĂ©quence d’actions : export massif, consultation de consoles d’admin, crĂ©ation d’API keys
  • Changement d’habitudes : accès soudain Ă  des outils jamais utilisĂ©s par l’utilisateur

Ce n’est pas de la magie : c’est du pattern recognition appliqué à l’authentification. Et à l’échelle, c’est précisément ce que les humains font mal.

2) L’authentification adaptative : la MFA « intelligente »

Répondre « MFA partout, tout le temps » fatigue les équipes. Résultat : contournements, exceptions, ou acceptations automatiques.

Une approche plus solide consiste à activer l’authentification adaptative :

  • Risque faible : SSO + MFA standard
  • Risque moyen : MFA renforcĂ©e (clĂ© FIDO2, biomĂ©trie) + contrĂ´le de posture appareil
  • Risque Ă©levĂ© : blocage + vĂ©rification hors bande + rĂ©authentification obligatoire

L’IA sert ici à ajuster le niveau de friction au bon moment. Moins de friction quand tout va bien, plus de friction quand ça dérape.

3) La corrélation multi-sources : l’angle mort classique des organisations

J’ai constaté que le point faible n’est pas seulement la détection, mais la corrélation : logs IAM, EDR, e-mail, CASB/SSE, proxy web, cloud, SaaS… chacun voit une partie de l’histoire.

Les outils dopés à l’IA (SIEM nouvelle génération, XDR, MDR) accélèrent :

  • le regroupement d’évĂ©nements dispersĂ©s,
  • la priorisation (moins d’alertes « bruit »),
  • l’identification d’une intrusion par identifiant volĂ© avant l’exfiltration.

Plan d’action concret : réduire l’impact d’un compte compromis

Objectif réaliste : partir du principe qu’un compte finira par être compromis, et limiter ce qu’il peut faire. Voici une feuille de route pragmatique, applicable dès ce trimestre.

1) Rendre les identifiants difficiles Ă  voler

  • DĂ©ployer un gestionnaire de mots de passe d’entreprise et interdire la rĂ©utilisation.
  • DĂ©sactiver les authentifications « legacy » (IMAP/POP, protocoles anciens) lĂ  oĂą c’est possible.
  • Renforcer la sĂ©curitĂ© e-mail (filtrage, sandbox, protection anti-usurpation) et faire des exercices rĂ©alistes.
  • RĂ©duire l’exposition web : blocage des sites Ă  risque, contrĂ´le des tĂ©lĂ©chargements, durcissement navigateur.

2) Rendre les sessions difficiles à réutiliser

  • PrivilĂ©gier MFA rĂ©sistante au phishing (FIDO2/WebAuthn) plutĂ´t que SMS.
  • Lier la session Ă  l’appareil (device binding) quand c’est disponible.
  • RĂ©duire la durĂ©e de vie des jetons et imposer une rĂ©authentification pour actions sensibles.

3) Surveiller comme si l’attaquant avait déjà le mot de passe

  • Activer des politiques de dĂ©tection d’anomalies de connexion (pays, IP, appareil, horaire).
  • Mettre en place des alertes sur les actions « Ă  fort impact » : crĂ©ation de comptes, Ă©lĂ©vation de privilèges, exports, règles de transfert e-mail.
  • DĂ©finir un playbook simple : dĂ©tectĂ© → isoler → rĂ©voquer sessions → reset → revue des droits.

4) Appliquer le moindre privilège (vraiment)

  • Éliminer les comptes avec droits admin permanents.
  • Passer en droits Ă  la demande (PAM/JIT) pour l’administration.
  • Segmenter : un identifiant compromis ne doit pas ouvrir tout le SI.

5) Ajouter une couche « veille » : fuites et revente d’identifiants

  • Surveiller la prĂ©sence d’identifiants corporate dans les fuites et places de marchĂ©.
  • Mettre en quarantaine les comptes exposĂ©s (reset + invalidation de toutes les sessions).

FAQ rapide (les questions qu’on me pose tout le temps)

« Si j’ai la MFA, je suis protégé ? »

Protégé contre beaucoup d’attaques, oui. Mais pas contre le vol de session (cookie/jeton) ni contre certaines manipulations de l’utilisateur. D’où l’intérêt de la MFA résistante au phishing + détection comportementale.

« L’IA va-t-elle bloquer des utilisateurs légitimes ? »

Si elle est mal paramétrée, oui. La bonne approche est graduelle : d’abord observer et scorer, ensuite imposer des contrôles renforcés sur les risques élevés, et seulement après bloquer automatiquement sur des patterns très confiants.

« On n’a pas d’équipe SOC 24/7 : on fait comment ? »

C’est précisément le cas d’usage des services MDR : supervision continue, chasse aux menaces et réponse accélérée. Dans les faits, c’est souvent moins cher que d’essayer de tout internaliser.

Fermer la porte d’entrée : l’IA comme vigile des connexions

Les attaques par identifiants volés ne vont pas ralentir en 2026. Elles sont trop efficaces, trop faciles à industrialiser, et elles profitent d’une réalité : la plupart des entreprises font encore confiance à la connexion une fois qu’elle a réussi.

La stratégie solide, c’est d’assembler trois briques : MFA robuste, Zero Trust (ne jamais faire confiance, toujours vérifier) et détection pilotée par l’IA pour repérer les comportements de connexion anormaux en temps réel. C’est la combinaison qui réduit vraiment le risque, sans transformer le quotidien des équipes en enfer de notifications.

Si vous deviez choisir une action dès maintenant : mesurez et scorez le risque de chaque connexion, puis automatisez la réponse (MFA renforcée, blocage, révocation de session) sur les scénarios à fort impact. Le reste devient plus simple.

La question utile à se poser en fin d’année : si un attaquant récupère aujourd’hui un cookie de session d’un collaborateur, en combien de minutes le saurez-vous — et en combien de minutes pouvez-vous couper l’accès ?