Quand les infostealers dérobent des identifiants Active Directory, c’est tout l’équilibre de la cybersécurité qui vacille. Entre ransomwares, exploitation des stealer logs et ciblage des SSO, les cybercriminels redoublent d’ingéniosité pour franchir les défenses traditionnelles.
Les systèmes de défense traditionnels évoluent constamment et contraignent les cybercriminels à adapter leurs méthodes. Toutefois, une constante demeure : les identités numériques constituent les maillons les plus vulnérables des systèmes et sont, de ce fait, les cibles privilégiées des acteurs malveillants. Parmi leurs outils favoris, les malwares de type infostealer se sont imposés comme un vecteur d’attaque redoutable. Discrets et rapides, ils récoltent automatiquement des informations sensibles depuis les postes infectés (identifiants, cookies, sessions actives), générant ce qu’on appelle des stealer logs. Ces journaux sont ensuite échangés, vendus ou exploités dans des écosystèmes cybercriminels hautement organisés.
La menace devient particulièrement pernicieuse lorsqu’elle touche au Active Directory (AD), le service d’annuaire central de Microsoft, utilisé pour gérer les accès à l’ensemble des ressources d’un réseau d’entreprise. Les cybercriminels visent particulièrement ces identifiants car ils ouvrent la porte à des attaques dévastatrices, notamment des ransomwares. L’ANSSI identifie d’ailleurs les mauvaises pratiques de configuration des annuaires AD comme point commun de nombreux systèmes d’informations ayant subi des attaques par ransomware en 2024. Aujourd’hui, on estime qu’environ 3 % des stealer logs contiennent des identifiants Active Directory, et plus de 1,9 million de logs ADFS (la version fédérée d’AD utilisée pour le Single Sign-On) circulent déjà dans les sphères cybercriminelles, avec une croissance continue de près de 9 500 nouveaux flux mensuels.
Active Directory : une vulnérabilité systémique
AD joue un rôle central dans l’infrastructure IT des entreprises dans la mesure où il contrôle l’authentification, l’autorisation et la gestion des identités. Lorsqu’il est compromis, les attaquants peuvent se déplacer latéralement dans le réseau, élever leurs privilèges et déployer silencieusement des ransomwares. En 2024, plus de 13 000 organisations ont vu leur système ADFS exposé, avec des logs contenant aussi des identifiants de SSO tiers comme JumpCloud, Okta ou AWS.
Cette exposition ne concerne pas seulement les grandes entreprises : la nature même d’Active Directory (interconnecté et souvent mal cloisonné) fait que chaque identifiant compromis devient une passerelle potentielle vers des systèmes critiques. Ainsi, les attaques d’aujourd’hui ne nécessitent plus de compromission massive : il suffit d’un compte bien positionné dans l’organigramme d’une entreprise pour engendrer des dégâts considérables.
Vers une réponse défensive centrée sur l’identité
Face à cette menace croissante, les stratégies de défense doivent évoluer. L’approche réactive ayant depuis longtemps montré ses limites, l’adoption d’une approche proactive devient indispensable. Les outils de surveillance automatisée du dark et clear web permettent aujourd’hui de détecter la présence d’identifiants AD et SSO compromis avant qu’ils ne soient exploités par des cybercriminels. En analysant des patterns temporels de publication de ces logs, il est possible de mettre en lumière des pics saisonniers (en l’occurrence, juin/juillet en Europe et en Amérique du Nord). Une vigilance accrue est donc requise à certaines périodes.
Par ailleurs, plusieurs bonnes pratiques s’imposent :
* Limiter le stockage local de credentials sur les postes personnels ou peu protégés (BYOD),
* Déployer un MFA robuste, couplé à une gestion fine des sessions (TTL court),
* Renforcer l’intégrité des endpoints, en détectant les comportements anormaux post-authentification,
* Et surtout, former les utilisateurs à reconnaître les risques liés aux cracks logiciels, aux malvertising ou aux applications piratées, principales portes d’entrée des infostealers.
Une prise de conscience lente
Malgré les signaux d’alerte, de nombreuses équipes de sécurité continuent de sous-estimer l’ampleur de l’exposition aux infostealers. Pourtant ces logiciels ne se contentent pas de dérober des mots de passe, ils révèlent une image fine du quotidien numérique des employés : historiques de navigation, préférences personnelles, combinaisons d’identifiants, voire des réponses à des questions de sécurité.
La compromission d’un identifiant ADFS est déjà préoccupante. Mais lorsque les stealer logs dévoilent l’identité complète d’un décideur stratégique, voire d’un membre de la direction, le risque dépasse largement le périmètre technique. Le renforcement des systèmes de sécurité pousse les attaquants à se tourner vers des approches plus ciblées et plus personnalisées, fondées sur l’usurpation d’identité et l’exploitation de données exfiltrées. La lutte contre les ransomwares et les intrusions passera de plus en plus par une cybersécurité centrée sur l’humain, et donc, sur la protection des identités.
____________________________
Par Estelle Ruellan, chercheur en cyber threat intelligence, et Eric Clay, Chief Marketing Officer, chez Flare.io
puis