Pourquoi sécuriser le navigateur n’est plus une option

Le navigateur est devenu le principal champ de bataille des cyberattaques.

Les technologies d’entreprise ont évolué rapidement, surtout au cours des cinq dernières années. La plupart des entreprises ont adopté le SaaS. Les applications ne sont plus exploitées au sein du réseau de l’entreprise. Les équipes se connectent aux systèmes basés sur le Cloud via leurs navigateurs, depuis pratiquement n’importe où. Cette évolution a redéfini l’endroit où se trouvent la plupart des cybermenaces aujourd’hui.

Le navigateur est devenu la première ligne. C’est là que les utilisateurs créent, stockent et utilisent les identités numériques. C’est également là que les attaquants concentrent leur temps. Au lieu de s’introduire dans les serveurs ou les réseaux, ils détournent les sessions de navigation. Ils volent les informations d’identification, les jetons de session et les données liées à l’identité. Cette approche leur permet souvent de contourner complètement les mesures de sécurité traditionnelles. Elle est furtive, simple et efficace.

L’intrusion de Snowflake en 2024 est un parfait avertissement. Elle ne repose pas sur un exploit technique profond. Les attaquants ont utilisé des informations d’identification volées des années plus tôt grâce à des logiciels malveillants de type « infostealer ». La réalité ? Ces informations d’identification étaient toujours actives. Pas de MFA. Pas de rotation des mots de passe. Les attaquants se sont connectés via le navigateur, comme n’importe quel employé.

C’est pourquoi, si vous êtes responsable de la protection d’une entreprise, il est essentiel de modifier vos priorités en matière de sécurité. Les attaquants utilisent les mêmes outils que les utilisateurs. Ils n’ont pas besoin d’un accès profond, mais seulement d’une connexion valide via un navigateur. C’est le défi que les leaders de la technologie doivent relever maintenant.

L’usurpation d’identité est le moyen le plus rapide et le plus efficace pour les attaquants.

Les attaquants pensent en termes de rapport risque/récompense. Voler une identité, des adresses électroniques, des mots de passe, des jetons d’accès, est plus rapide et moins coûteux que de percer l’infrastructure traditionnelle. Avec une identité valide, l’attaquant saute les étapes les plus difficiles. Il n’est pas nécessaire de casser les pare-feu ou de s’introduire dans les réseaux. Il lui suffit d’entrer par la grande porte, numériquement parlant.

C’est ainsi que la plupart des grandes attaques se produisent aujourd’hui. Dans le cas de la brèche de 2024 de Snowflake, les attaquants ont utilisé des logs d’infosteller datant de 2020. Ces journaux sont restés sur les places de marché des attaquants pendant des années alors que les informations d’identification volées restaient actives. Les comptes clés n’avaient pas été mis à jour ou sécurisés par des protections plus strictes telles que le MFA.

Si vous êtes responsable de la sécurité ou de la technologie, vous devriez revoir votre façon d’envisager la défense. L’identité ne fait plus partie de la sécurité, elle est la sécurité. Lorsque les attaquants s’introduisent, ils utilisent les mêmes systèmes que votre équipe. Ils accèdent aux applications SaaS via des navigateurs, tout comme vos employés. C’est ce qui rend la compromission de l’identité si puissante. Elle ne déclenche pas d’alarme parce qu’elle ressemble à un comportement normal de l’utilisateur.

Le compromis est clair : soit vous construisez un système qui contrôle et surveille étroitement l’utilisation des identités à grande échelle, soit vous acceptez que le risque de violation soit désormais permanent. Vous pouvez améliorer les pare-feu, les points de terminaison, les politiques, mais si les identités sont faibles ou non gérées, les attaquants trouveront le moyen d’entrer.

L’hameçonnage reste la principale méthode d’usurpation d’identité

Le phishing n’a pas disparu. Il est devenu plus avancé, plus évolutif et mieux à même de contourner les mesures de sécurité conventionnelles. Il reste la principale méthode utilisée par les attaquants pour s’emparer des identités, parce qu’il continue de fonctionner. Malgré les investissements dans les filtres de messagerie, la gestion des accès à Internet et les campagnes de sensibilisation des utilisateurs, les attaques par hameçonnage réussissent à un rythme plus élevé que jamais.

Les kits d’hameçonnage d’aujourd’hui sont conçus pour échapper à la détection. Ils utilisent un code dynamique, des invites CAPTCHA personnalisées et des outils anti-analyse en cours d’exécution pour éviter l’inspection par les systèmes de sécurité du courrier électronique et du réseau. Plus important encore, ces attaques sont diffusées par un nombre croissant de points d’entrée, et pas seulement par courrier électronique. Nous voyons des liens de phishing diffusés via des applications de messagerie instantanée, de fausses publicités sur les moteurs de recherche, et même intégrés dans des outils SaaS légitimes.

Les attaquants améliorent également la façon dont ils contournent le MFA. De nombreuses organisations s’appuient encore sur des options de repli, comme les codes SMS ou les mots de passe spécifiques à une application, qui ne résistent pas au phishing. Les attaquants en profitent pour inciter les utilisateurs à utiliser des méthodes d’authentification de secours. Ces méthodes n’ont souvent pas le niveau de sécurité des systèmes MFA principaux et sont plus faciles à exploiter.

Les chefs d’entreprise devraient prendre cela comme un signal pour changer d’orientation. Les outils anti-hameçonnage ne suffiront pas à stopper ces attaques. Vous avez besoin d’une visibilité en temps réel sur le comportement des navigateurs, car chaque campagne de phishing se termine dans le navigateur. Si vous pouvez voir ce qui s’y passe, vous pouvez interrompre une attaque avant qu’elle n’endommage vos systèmes ou n’expose des comptes clés.

Les applications mal configurées sapent les contrôles centralisés de sécurité de l’identité

Le nombre d’applications cloud utilisées par les entreprises a explosé. Chacune d’entre elles propose sa propre méthode de connexion, sa propre interface de gestion des utilisateurs et ses propres capacités de sécurité. Il en résulte un paysage de sécurité incohérent : certaines applications permettent une application stricte du SSO uniquement, tandis que d’autres ne prennent pas du tout en charge le MFA. Certaines fournissent des journaux d’audit solides, d’autres opèrent dans l’obscurité.

Cette variabilité se traduit par un risque. Une entreprise de taille moyenne comptant 1 000 utilisateurs peut gérer plus de 15 000 instances d’identité. Nombre d’entre elles ne sont pas surveillées, il s’agit de connexions fantômes liées à des services oubliés, à des essais rapides ou à des outils de développement créés par une équipe et qui n’ont jamais été intégrés dans le répertoire d’identité principal. Chacun de ces comptes est potentiellement une cible.

Les fournisseurs d’identité centralisés (IdP) sont utiles, mais ils ne couvrent que les systèmes pour lesquels ils sont configurés. Les unités opérationnelles continuent d’intégrer de nouveaux outils de manière indépendante, souvent en dehors de la supervision du service informatique. Et la plupart des organisations tardent à normaliser la manière dont elles appliquent les contrôles de sécurité à chaque application SaaS. Il ne s’agit pas d’une limitation technique, mais d’une question de gouvernance, de visibilité et d’application.

Pour les équipes dirigeantes, cela nécessite un alignement entre la sécurité et les opérations commerciales. Que vous vous étendiez à de nouveaux outils cloud ou que vous consolidiez des fournisseurs, l’hygiène des identités doit faire partie du processus de prise de décision. Vous ne pouvez pas sécuriser entièrement ce que vous ne gérez pas activement, et lorsque les attaquants automatisent la manière dont ils découvrent et exploitent les configurations faibles, la marge d’erreur disparaît rapidement.

Les menaces qui pèsent sur les points finaux s’orientent de plus en plus vers l’exploitation de l’identité par le biais d’un navigateur.

Les attaques contre les terminaux n’ont pas disparu, elles ont simplement évolué. Le véritable objectif n’est plus le contrôle total des appareils. C’est l’accès à l’identité. Les attaquants utilisent des logiciels malveillants, comme les infostealers, pour extraire les informations d’identification, les cookies et les jetons de session stockés dans les navigateurs. Ils utilisent ensuite ces données pour accéder aux plateformes SaaS via leurs propres navigateurs. Le gros du travail se fait après l’infection initiale.

Lescybercriminels ne gaspillent pas leurs ressources pour maintenir un accès persistant ou pour naviguer dans la sécurité au niveau de l’appareil. Une fois qu’ils ont récupéré un jeton de session ou un justificatif d’identité, ils se connectent simplement aux services comme s’ils étaient l’utilisateur cible. Ce type de compromission est donc difficile à détecter. Du point de vue de la plateforme, cela ressemble à une connexion légitime d’une personne qui a déjà passé le MFA, car dans de nombreux cas, le jeton de session le contourne complètement.

Il ne s’agit pas d’une hypothèse. Lors des brèches de Snowflake en 2024, des journaux d’infostealer datant de 2020 ont été utilisés pour accéder à des comptes d’entreprise actifs. Ces informations d’identification n’avaient pas fait l’objet d’une rotation. Le MFA n’avait pas été appliqué à la plupart d’entre eux. Et les attaquants n’ont pas eu besoin de réinfecter les machines d’origine. Ils ont réutilisé les artefacts d’identité capturés dans le navigateur et ont réalisé leur intrusion à distance.

C’est désormais le cas. Même les techniques traditionnelles évoluent vers l’accès à l’identité. Pour les dirigeants, cela signifie que la protection des points d’extrémité n’est pas suffisante si elle ne tient pas compte de ce qui est stocké dans le navigateur. Une visibilité plus large des données stockées dans le navigateur, de l’utilisation des sessions et des transferts d’identité n’est pas négociable si vous voulez fermer ces vecteurs d’attaque.

Les extensions de navigateur malveillantes représentent un risque important

Le navigateur lui-même ne présente pas une grande surface d’attaque technique par rapport à un système d’exploitation complet. Il est plus difficile de l’exploiter directement. C’est pourquoi les attaquants se sont concentrés sur les modules complémentaires du navigateur, en particulier les extensions malveillantes ou compromises. Ces extensions fonctionnent avec un accès important et peuvent discrètement capturer des données, intercepter le trafic ou exfiltrer des informations d’identification.

La plupart des risques sont liés au comportement des utilisateurs. Les employés peuvent installer des extensions sans en comprendre les conséquences potentielles. Certains plug-ins disponibles gratuitement sont conçus pour être capturés. D’autres commencent par être des outils légitimes qui sont ensuite repris ou modifiés. Une fois actifs dans un navigateur, ils fonctionnent avec le même niveau de confiance que l’utilisateur, même si ce dernier n’autorise pas directement leurs actions.

Heureusement, la solution est claire : contrôler ce qui est installé. Les environnements d’entreprise tels que Chrome Enterprise prennent en charge des politiques centralisées pour verrouiller les extensions, auditer les déploiements et exiger l’approbation des nouveaux modules complémentaires. Cette capacité ne nécessite pas de nouveaux outils, mais simplement l’application d’une politique.

Pour les responsables de la sécurité, le message est clair. Autoriser un accès illimité aux postes de travail introduit des risques inutiles. Dans cette configuration, vous comptez sur chaque employé pour faire des choix ayant des conséquences sur la sécurité. Il est préférable de décider de manière centralisée ce qui est essentiel et de bloquer le reste. Cette solution n’exige pas beaucoup de ressources et, une fois mise en œuvre, elle constitue une ligne de défense durable.

Le navigateur offre des capacités de télémétrie et de contrôle inégalées.

La plupart des attaques d’identité commencent et se terminent dans le navigateur. Il s’agit donc d’une position stratégique pour la détection et la réponse. Contrairement au fournisseur d’identité (IdP), qui ne voit qu’une partie de l’activité liée à l’identité, le navigateur voit tout. Il observe où les utilisateurs se connectent, quelles méthodes sont utilisées, quel contenu est chargé et quels scripts sont exécutés. Lorsque les attaquants sont actifs, le navigateur capte les signaux dont les équipes de sécurité ont besoin.

Cette visibilité crée une opportunité. Le navigateur peut révéler les applications connues et inconnues auxquelles on accède. Il découvre les flux de connexion qui contournent la politique, tels que les consentements OAuth ou l’accès à des applications tierces. Il détecte également les comportements anormaux en temps réel, qu’il s’agisse d’un identifiant entré dans un site de phishing ou d’une session détournée et réutilisée en dehors des paramètres prévus.

La télémétrie basée sur les navigateurs va au-delà des indicateurs statiques et fournit un contexte : l’origine des tentatives de connexion, la séquence des actions de l’utilisateur et même l’empreinte digitale des kits d’hameçonnage opérant dans la nature. Les modèles de sécurité des navigateurs basés sur le « push » permettent de détecter de véritables pages de phishing en analysant la présentation visuelle, le comportement des scripts et les destinations des informations d’identification, bien avant que les bases de données relatives à la réputation ne signalent la menace.

Pour les équipes dirigeantes, cela signifie que le navigateur n’est pas seulement une vulnérabilité, mais aussi une couche de contrôle. Visibilité réelle, décisions en temps réel et couverture étendue des applications. La surveillance du comportement du navigateur donne à votre équipe les signaux dont elle a besoin pour intercepter les attaques qui n’apparaissent pas dans les journaux ou les tableaux de bord traditionnels.

Les défenses existantes contre l’usurpation d’identité et l’hameçonnage sont inadéquates

De nombreuses organisations s’appuient encore sur des approches de sécurité traditionnelles pour se protéger contre la compromission de l’identité, les invites MFA, les tableaux de bord d’identité et les filtres de courrier électronique sortant. Ces outils sont importants, mais ils ont été conçus pour un modèle de menace plus ancien. Ils ne protègent pas complètement contre les campagnes de phishing modernes qui ciblent les jetons de session ou abusent des flux OAuth directement à partir des navigateurs natifs.

Les attaquants s’adaptent plus rapidement que les défenses existantes. Le MFA peut être contourné, soit par des attaques de dégradation, soit par le vol de session, soit par l’ingénierie sociale. Les outils de sécurité du courrier électronique ne peuvent pas analyser tous les canaux de distribution. Et les journaux des fournisseurs d’identité n’offrent qu’un aperçu limité de la couche d’interaction complète entre les utilisateurs et les applications.

Les équipes de sécurité doivent commencer à opérer là où le vol d’identité se produit réellement : à l’intérieur du navigateur. C’est là que les informations d’identification sont utilisées, que les jetons de session sont stockés et que les pages d’hameçonnage sont soumises. C’est également là que les attaquants manipulent les chemins de repli MFA ou redirigent les utilisateurs vers des flux de consentement qu’ils ne comprennent pas.

Pour reprendre le contrôle, les stratégies de sécurité doivent évoluer au-delà des protections administratives. Les dirigeants doivent donner la priorité à la défense de la couche navigateur et à la visibilité des attaques en temps réel. C’est le point de vue le plus complet et il offre le plus grand potentiel pour arrêter les attaques basées sur l’identité avant que les données ne soient accessibles, que les comptes ne soient pris en charge ou que le mouvement latéral ne commence. Il ne s’agit pas de réaffecter des ressources, mais de se concentrer sur l’endroit où se produisent les véritables événements de sécurité.

Récapitulation

La donne a changé. L’identité est la surface d’attaque, et c’est dans le navigateur que tout se joue. Les acteurs de la menace n’attendent pas que vous configuriez mal un pare-feu ou que vous laissiez un port ouvert. Ils ciblent les identifiants de connexion, les jetons de session et les comptes d’applications négligés de vos employés, discrètement et à grande échelle.

Pour les chefs d’entreprise, la priorité est claire. Vous avez besoin de visibilité sur la façon dont les identités fonctionnent dans votre environnement, en particulier dans le navigateur où se déroule l’activité réelle. Il ne suffit pas de sécuriser les terminaux et d’appliquer le MFA si les attaquants peuvent contourner les deux en utilisant des informations d’identification valides et des sessions volées.

Le navigateur n’est plus seulement un outil de productivité, c’est le point de contrôle qui détermine qui a accès à vos systèmes, à vos données et, en fin de compte, à votre entreprise. Il est temps de prendre conscience de ce changement et d’adapter vos investissements en matière de sécurité en conséquence.

Vous ne pouvez pas réparer chaque connexion mal configurée. Vous ne pouvez pas gérer chaque intégration SaaS en temps réel. Mais vous pouvez surveiller ce qui se passe à l’intérieur du navigateur. Et avec les bonnes capacités d’observation et de réponse, cela suffit pour arrêter la plupart des attaques avant qu’elles ne commencent.

Alexander Procter

août 25, 2025

15 Min

Technologies et innovation
GPT-5 devient plus utile mais garde des limites
Août 25, 2025
12 min
Technologies et innovation
OpenAI pousse plus loin les limites de l’IA avec GPT-5
Août 25, 2025
12 min
Technologies et innovation
Chrome au cœur d’un nouveau duel dans la recherche par IA
Août 25, 2025
9 min

Pourquoi sécuriser le navigateur n’est plus une option

Le navigateur est devenu le principal champ de bataille des cyberattaques.

L’usurpation d’identité est le moyen le plus rapide et le plus efficace pour les attaquants.

L’hameçonnage reste la principale méthode d’usurpation d’identité

Les applications mal configurées sapent les contrôles centralisés de sécurité de l’identité

Les menaces qui pèsent sur les points finaux s’orientent de plus en plus vers l’exploitation de l’identité par le biais d’un navigateur.

Les extensions de navigateur malveillantes représentent un risque important

Le navigateur offre des capacités de télémétrie et de contrôle inégalées.

Les défenses existantes contre l’usurpation d’identité et l’hameçonnage sont inadéquates

Récapitulation

GPT-5 devient plus utile mais garde des limites

OpenAI pousse plus loin les limites de l’IA avec GPT-5

Chrome au cœur d’un nouveau duel dans la recherche par IA

Les meilleurs conseils de perfectionnement pour les professionnels de l’informatique d’Apple

Spark! Une étincelle d’innovation.

Logiciel de livraison du dernier kilomètre : Exploiter les données en temps réel pour plus d’efficacité

Conception réactive ou adaptative : Choisir la bonne approche

Renforcer la fidélité des clients : L’importance du suivi numérique des commandes sur les plateformes de commerce électronique

Explorer le potentiel de l’informatique périphérique multi-accès dans les applications IdO

L’équilibre entre la personnalisation et la protection de la vie privée dans le monde numérique

Mots clés de longue traîne ou de courte traîne : Lequel est le meilleur pour les conversions

Les informations « cross-devices » révolutionnent les stratégies marketing à l’ère du tout-mobile

Chef de Projet: 4 solutions pour éviter les pièges de l’estimation de temps

Accélérez votre transformation digitale

Spark, une étincelle d’innovation !