La cybermenace qui enfreint l’AMF et contourne les mots de passe dans les services financiers

Les attaques par réinitialisation de l'AFM et par vol de jetons remplacent les vols de mots de passe traditionnels dans les brèches dans les services financiers

Le secteur des services financiers est confronté à une nouvelle génération d'attaques. Les criminels ne se contentent plus de voler les mots de passe ; ils passent directement à la réinitialisation du MFA et à la prise en charge du processus d'authentification lui-même. Des groupes comme Mutant Spider, identifié dans le rapport 2026 Financial Services Threat Landscape Report de CrowdStrike comme l'adversaire le plus actif du secteur, ont affiné ces méthodes. Leurs opérations ne reposent pas sur des exploits complexes. Ils utilisent une communication claire, l'usurpation d'identité et le timing pour convaincre le personnel informatique de réinitialiser les identifiants MFA d'un employé. Une fois que cela est fait, l'attaquant peut enregistrer son propre appareil et se déplacer dans le réseau sans résistance.

Le véritable changement est d'ordre psychologique. Le système fonctionne comme prévu, mais il est manipulé par la confiance. Les attaquants exploitent le facteur humain, le personnel du service d'assistance travaillant sous pression et suivant des procédures prévues pour des demandes légitimes. C'est pourquoi l'AMF seule, même si elle est bien mise en œuvre, ne peut pas garantir la sécurité ; sa force dépend de l'intégrité et de la validation du processus de réinitialisation.

Pour les dirigeants, cela signifie qu'il faut renforcer les couches humaines et procédurales. La vérification hors bande, une méthode de confirmation de l'identité par un canal séparé et indépendant, doit devenir la norme pour les réinitialisations de l'AMF. Il s'agit de s'assurer que chaque réinitialisation est vérifiée au-delà d'un point de contact unique. C'est là que la technologie et la conception de processus disciplinés se rencontrent pour combler une lacune dangereuse que les attaquants exploitent actuellement.

Les données de CrowdStrike couvrant la période d'avril 2025 à mars 2026 sont claires : le principal point d'entrée dans les entreprises financières au cours de l'année écoulée n'était pas un mot de passe volé, mais un appel manipulé au service d'assistance informatique. Ces attaques montrent que le maillon faible n'est plus le mot de passe de l'utilisateur, mais le processus d'assistance lui-même.

Le vol de données d'identification diminue, tandis que l'exploitation des vulnérabilités et les techniques de contournement de l'AMF augmentent.

Le rapport 2026 Verizon Data Breach Investigations Report montre une tendance claire. Le vol d'informations d'identification, qui a longtemps été le principal vecteur d'accès aux brèches, a fortement chuté pour atteindre 13 % des vecteurs d'accès initiaux. L'exploitation des vulnérabilités a quant à elle bondi à 31 %. Les entreprises ont perfectionné leurs défenses contre les mots de passe, tout comme les attaquants ont appris à les ignorer.

Le message est simple : les attaquants d'aujourd'hui sont plus rapides, plus intelligents et plus adaptables. Ils ne sont plus limités par les mots de passe ou les pages de connexion frontales. Au lieu de cela, ils exploitent les faiblesses de la conception des systèmes et les logiciels non corrigés, ou contournent les contrôles MFA en capturant des jetons d'authentification valides. Les attaquants exploitent les vulnérabilités dans les jours qui suivent leur divulgation, tandis que les défenseurs gèrent encore des cycles de correctifs qui se mesurent en semaines.

Les dirigeants doivent comprendre qu'il s'agit d'un problème de vitesse. Il s'agit d'un écart entre la rapidité d'action des attaquants et la lenteur de réaction de la plupart des organisations. Pour combler ce fossé, il faut automatiser, accélérer la gestion des correctifs et améliorer la visibilité des flux d'authentification. Les défenses traditionnelles centrées sur la connexion ne sont pas obsolètes.

La différence réside dans l'allocation des ressources. Si un budget de défense tourne encore autour de la protection par mot de passe et des outils statiques de MFA, il poursuit une menace qui a déjà été dépassée. La réalité ressort clairement des données : dans le secteur financier, les attaques les plus dangereuses ne consistent pas à voler des informations d'identification, mais à exploiter des vulnérabilités ou à contourner complètement l'AMF. Les organisations qui adaptent leur stratégie défensive dès maintenant définiront la prochaine norme de résilience.

Les services financiers restent soumis à une pression d'attaque élevée et en évolution rapide

Les institutions financières sont confrontées à une pression soutenue et croissante de la part des cybercriminels et des acteurs soutenus par les États. Le rapport 2026 de CrowdStrike a révélé qu'au premier trimestre de l'année, les services financiers représentaient 12 % de l'ensemble des activités des adversaires à l'échelle mondiale. Il s'agit d'une augmentation significative, les intrusions au clavier ayant augmenté de 43 % au niveau mondial et de 48 % en Amérique du Nord par rapport aux deux années précédentes. Ces chiffres reflètent l'intensité et la persistance des intrusions à motivation financière ciblant ce secteur.

L'écosystème de la cybercriminalité est de plus en plus agressif et organisé. Des groupes tels que REVENANT SPIDER, qui exploite le modèle de Ransomware-as-a-service Qilin, ont fortement élargi leur liste de victimes du secteur financier, passant de 14 à 97 cas en une seule année de déclaration. Scattered Spider a recommencé à cibler les compagnies d'assurance et les institutions financières à la mi-2025, en s'appuyant à nouveau sur des tactiques d'ingénierie sociale qui consistent à se faire passer pour une assistance informatique et à demander la réinitialisation d'un compte. Ces méthodes sont simples et peu coûteuses, mais elles ont un succès durable car elles exploitent les processus opérationnels.

Dans le même temps, les groupes parrainés par des États sont devenus plus agressifs. Des adversaires liés à la Corée du Nord ont volé 2,02 milliards de dollars d'actifs numériques rien qu'en 2025, soit une augmentation de 51 % d'une année sur l'autre. Pressure Chollima est à l'origine du plus grand vol de crypto-monnaie jamais enregistré, compromettant Safe et dérobant 1,46 milliard de dollars par le biais d'un projet Python trojanisé utilisé par ses développeurs. Des opérations liées à la Chine, notamment Hollow Panda et Vault Panda, ont compromis des VPN et des pare-feu pour infiltrer des institutions financières en Asie et sur d'autres continents.

Pour les dirigeants, la leçon à retenir est que la menace est multidimensionnelle. Les institutions financières doivent partir du principe qu'elles sont ciblées à la fois pour le profit et pour l'influence géopolitique. L'équilibre entre agilité et protection est essentiel, les programmes de sécurité doivent évoluer au même rythme que les attaquants.

Adam Meyers, premier vice-président des opérations de lutte contre les adversaires chez CrowdStrike, a clairement résumé ce changement en déclarant : « Qui a besoin d'un jour zéro si tout ce que vous avez à faire est d'appeler le service d'assistance et de dire : « J'ai oublié mon mot de passe » ? Cette remarque met en évidence un problème structurel : l'ingénierie sociale a remplacé les exploits complexes en tant que voie d'entrée la plus efficace. Les organisations qui n'intègrent pas la sécurité de l'identité, la détection comportementale et la vérification des processus dans leurs opérations quotidiennes resteront vulnérables.

Les plates-formes de phishing en tant que service comme kali365 augmentent les capacités de contournement de l'AMF.

L'apparition de plateformes comme Kali365 a industrialisé les attaques par contournement de l'AMF. L'annonce de service public du FBI du 21 mai 2026 a confirmé son fonctionnement, le décrivant comme un système d'hameçonnage en tant que service par abonnement vendu sur Telegram. Le prix commence à 250 dollars par mois et peut atteindre 2 000 dollars par an. Il comprend du contenu de phishing généré par l'IA, des modèles multilingues et un tableau de bord de suivi des campagnes en direct. Ce qui rend Kali365 particulièrement dangereux, c'est son exploitation du flux d'autorisation de périphérique OAuth 2.0 de Microsoft, une fonctionnalité légitime créée pour les périphériques non interactifs tels que les systèmes de conférence et les écrans intelligents.

Les attaquants envoient des courriels de phishing bien conçus qui imitent des services de confiance, Adobe Acrobat Sign, DocuSign, SharePoint, et invitent les utilisateurs à s'authentifier sur une page officielle de Microsoft à l'aide d'un code d'appareil. L'utilisateur effectue correctement l'authentification, y compris le MFA, mais le jeton généré est remis à l'attaquant. Ce jeton fournit un accès authentifié à long terme aux comptes et aux données sans déclencher de contrôle MFA supplémentaire. Le système n'est pas piraté ; il est utilisé à mauvais escient, exactement comme prévu, en raison de configurations permissives et d'une surveillance insuffisante.

L'analyse technique d'Arctic Wolf d'avril 2026 a révélé à quel point cette opération est bien structurée, avec un modèle à trois niveaux séparant les développeurs, les revendeurs et les affiliés payants. Cette organisation garantit l'évolutivité et la résilience à travers les régions et les langues, donnant aux attaquants un accès instantané à une infrastructure de niveau entreprise pour contourner l'AMF.

Pour les dirigeants, cette évolution représente un point d'inflexion stratégique. L'AMF, autrefois considérée comme un moyen de défense fiable, a désormais besoin d'une gouvernance plus forte. Les configurations par défaut des outils de gestion des identités, tels que Microsoft Entra ID, autorisent souvent la circulation du code de l'appareil sans restrictions appropriées. La plupart des organisations n'ont jamais vérifié si un flux de travail réel nécessitait cette capacité. Il en résulte une invitation ouverte à l'abus. Les décideurs doivent s'assurer que les équipes de sécurité vérifient, restreignent ou désactivent les chemins d'authentification non interactifs, à moins que cela ne soit explicitement nécessaire.

Ces offres de phishing en tant que service réduisent les compétences nécessaires à l'exécution d'attaques avancées. Même des acteurs inexpérimentés peuvent désormais récolter des jetons avec un minimum d'effort, ce qui implique que la prochaine vague d'atteintes à la cybersécurité ne sera pas motivée par la sophistication technique mais par la commodité opérationnelle. Les entreprises qui prendront le contrôle de leurs flux d'authentification et renforceront leurs politiques d'accès conditionnel se démarqueront. Il ne s'agit plus d'un problème théorique, mais d'un risque opérationnel immédiat, amplifié par l'automatisation et la fourniture par abonnement.

L'abus persistant de jetons échappe aux systèmes de contrôle traditionnels

Les attaquants modernes apprennent que la persistance est plus importante que la pénétration. Une fois qu'ils ont acquis des jetons d'authentification, soit par l'ingénierie sociale, soit par des flux d'autorisation compromis, ils obtiennent un accès durable, souvent indétectable, aux systèmes critiques. Les jetons agissent comme des clés numériques, autorisant l'accès sans nécessiter de vérifications répétées. Les outils traditionnels de surveillance de la sécurité se concentrent sur le vol de mots de passe et l'utilisation abusive de justificatifs d'identité. Ils suivent rarement les activités anormales des jetons, ce qui laisse un manque de visibilité important.

Les conclusions de CrowdStrike et du FBI mettent clairement en évidence ce défi. Les jetons valides peuvent rester actifs pendant des semaines, voire des mois, en fonction de la configuration de l'organisation. Lorsque ces jetons sont utilisés, ils apparaissent souvent comme légitimes dans les journaux, ce qui les rend invisibles pour les systèmes de détection standard. Comme la plupart des jetons sont des artefacts porteurs, des objets prouvant l'accès sans vérification du détenteur, toute personne en possession de ces jetons a un contrôle effectif sur la session.

Les dirigeants doivent reconnaître que cette forme d'infiltration transforme le concept d'accès au réseau. Il ne s'agit pas d'une violation suivie d'une récupération, mais d'une occupation silencieuse. Les attaquants maintiennent une présence dans Outlook, Teams ou OneDrive, procédant à l'exfiltration de données, à la reconnaissance ou au déplacement latéral sans déclencher d'alarme. La conséquence n'est pas une perturbation immédiate, mais une perte de confidentialité et de confiance à long terme.

Pour y remédier, les organisations doivent adopter un contrôle continu des identités et mettre en œuvre des politiques strictes en matière de durée de vie des jetons. Chaque jeton émis doit avoir une validité limitée, et les modèles d'utilisation doivent être analysés à la recherche d'anomalies, telles qu'un comportement de rafraîchissement inhabituel ou des connexions à partir de régions ou d'appareils inattendus. Les responsables de la sécurité doivent s'assurer que leurs équipes sont équipées pour surveiller les flux de jetons OAuth aussi activement qu'elles surveillent les connexions des utilisateurs. L'accent doit être mis non plus sur la prévention des entrées, mais sur la validation des sessions, où chaque connexion en cours est vérifiée en permanence.

Le principe est simple : on ne peut pas empêcher les attaquants d'essayer, mais on peut les découvrir en réduisant leur capacité à rester indétectés. L'accès persistant doit devenir traçable grâce à l'analyse, à la journalisation renforcée et aux mécanismes de révocation automatisés qui désactivent les jetons compromis en temps réel. C'est ainsi que la sécurité s'adapte à un environnement où l'identité est en première ligne.

Les priorités dépassées en matière de dépenses de sécurité exigent une réorientation vers des défenses basées sur l'identité et l'exécution.

La majorité des budgets de cybersécurité sont encore organisés autour de la défense contre les menaces d'il y a cinq ans. Les investissements restent concentrés sur les outils MFA et la gestion des mots de passe, même si les vecteurs d'attaque dominants ont évolué. Selon le rapport 2026 Verizon Data Breach Investigations Report, le vol d'informations d'identification ne représente que 13 % des violations, loin derrière l'exploitation des vulnérabilités et la compromission des jetons. Cela signifie qu'une part importante du financement de la sécurité est consacrée à ce qui est devenu un canal de menace secondaire.

L'enjeu pour les dirigeants est l'alignement stratégique. Il ne s'agit plus d'acheter des couches supplémentaires d'authentification, mais d'orienter les ressources vers les parties de l'environnement que les attaquants exploitent activement. La vérification de l'identité liée aux actions réelles de l'utilisateur, l'inspection continue des sessions et l'analyse comportementale sont désormais des couches de défense essentielles. Le MFA reste important, mais il doit évoluer d'un point de contrôle statique à un processus de validation dynamique qui suit les interactions tout au long du cycle de vie de la session.

Mike Riemer, vice-président senior et CISO de terrain chez Ivanti, a expliqué clairement l'urgence : « Les acteurs de la menace procèdent à une rétro-ingénierie des correctifs, et la vitesse à laquelle ils le font a été considérablement améliorée par l'IA ». M. Riemer a souligné que les attaquants peuvent désormais procéder à une rétro-ingénierie des correctifs dans les 72 heures, un rythme qui dépasse la plupart des calendriers de gestion des correctifs des entreprises. Cela démontre que le temps de réponse de l'industrie n'a pas réussi à suivre le rythme des capacités des adversaires.

Elia Zaitsev, directeur technique de CrowdStrike, a ajouté une autre couche au problème en soulignant que « les approches traditionnelles ne sont tout simplement pas conçues pour ce type de comportement ». Les défenses construites autour de points d'authentification fixes ou de correctifs périodiques ne peuvent pas faire face aux menaces qui évoluent de manière dynamique et opèrent dans des cadres d'identité fiables.

Les dirigeants devraient considérer ces avertissements comme une orientation, et non comme une simple observation. La prochaine phase d'investissement dans la sécurité devrait s'orienter vers la protection en cours d'exécution, la validation continue de l'identité, la surveillance de l'activité des sessions en temps réel et l'intégration d'informations basées sur l'IA dans la détection des menaces. Pour ce faire, il faut rééquilibrer les budgets en abandonnant l'infrastructure MFA existante au profit d'outils qui fonctionnent dans des environnements d'authentification en temps réel.

La demande ne porte pas sur davantage d'outils mais sur des outils plus intelligents, des systèmes qui comprennent le comportement des utilisateurs, les cycles de vie des jetons et les mouvements de données plutôt que la seule exactitude des mots de passe. Les institutions financières qui opèrent ce changement ne se contenteront pas de fermer les voies d'attaque d'aujourd'hui, mais jetteront également les bases de défenses adaptatives capables de faire face à la vitesse et à la complexité de demain.

Révision structurelle, repenser le champ d'application de l'AMF et aligner les défenses sur l'évolution des méthodes des attaquants.

La prochaine étape pour les institutions financières n'est pas d'ajouter des couches supplémentaires d'AMF, mais de redéfinir ce que l'AMF défend réellement. Les principaux rapports de CrowdStrike, du FBI et de Verizon aboutissent tous à la même conclusion : Dans sa forme actuelle, l'AMF protège l'authentification, mais pas la confiance dans l'identité. Les attaquants n'ont plus besoin de passer par les écrans de connexion lorsqu'ils peuvent réinitialiser le MFA, voler des jetons ou exploiter des fonctions qui se comportent exactement comme prévu. Le problème n'est pas que l'AMF est cassée, mais qu'elle ne fonctionne plus là où les attaquants opèrent désormais, au-delà de la première étape de validation.

Les dirigeants doivent repenser la sécurité de l'identité comme un processus vivant qui va bien au-delà de la vérification de la connexion. Le MFA traditionnel s'arrête à la confirmation ; la défense moderne de l'identité doit commencer là. La vérification hors bande de toutes les réinitialisations MFA doit devenir une politique standard, garantissant qu'aucun canal de communication unique ne peut autoriser les changements d'accès. Les organisations devraient également revoir leur utilisation des flux de codes de dispositifs OAuth, en particulier dans Microsoft Entra ID, et les restreindre ou les désactiver s'ils ne sont pas essentiels aux opérations de l'entreprise. Chaque mauvaise configuration supprimée raccourcit la fenêtre d'opportunité pour les attaquants.

L'audit de l'activité post-connexion dans les couches SaaS et API est une autre étape critique. De nombreuses attaques semblent légitimes lors de la phase de connexion, mais ne deviennent visibles que dans la façon dont les jetons et les sessions se comportent par la suite. Par exemple, des requêtes API graphiques inhabituelles ou des mouvements de données en masse après une réinitialisation MFA signalent une compromission potentielle. Les systèmes de détection doivent évoluer pour reconnaître automatiquement ce type de comportement plutôt que de s'appuyer sur des investigations réactives.

La grille d'audit de l'exposition au contournement de l'AMF, qui combine les résultats de CrowdStrike, du FBI et de Verizon, fournit un cadre pratique pour ce changement. Elle identifie cinq voies d'attaque confirmées et détaille ce qui manque actuellement à l'AMF pour chacune d'entre elles. Les responsables de la sécurité devraient s'en servir comme modèle d'évaluation et de hiérarchisation. L'audit expose les faiblesses précises, les réinitialisations par ingénierie sociale, les flux de dispositifs OAuth, les durées de vie prolongées des jetons, l'exploitation des SaaS après l'accès et les budgets mal alignés, que les organisations peuvent commencer à traiter immédiatement.

Le directeur technique de CrowdStrike, Elia Zaitsev, a résumé le problème en termes clairs : « Les gens oublient la sécurité de l'exécution ». Sa déclaration reflète une réalité plus large : la plupart des architectures de défense cessent de protéger une fois que les utilisateurs sont authentifiés. Pour les équipes dirigeantes, cela nécessite une refonte structurelle de la gouvernance des accès et de la surveillance des sessions. La sécurité de l'exécution ne doit plus être considérée comme une fonctionnalité avancée, mais comme une exigence opérationnelle fondamentale.

L'objectif est la résilience opérationnelle, et non la conformité réactive. Les acteurs de la menace ont déjà modifié leurs méthodes ; les défenses doivent suivre. Cela signifie qu'il faut repenser les cadres d'identité pour qu'ils fonctionnent en continu, renforcer la vérification au-delà des bureaux d'assistance et intégrer la détection des risques en temps réel dans les systèmes d'authentification. Les institutions financières qui s'adaptent à ce modèle se défendront non seulement contre les attaques actuelles de contournement de l'AMF, mais jetteront également les bases de systèmes de sécurité capables de réagir de manière évolutive, c'est-à-dire des systèmes qui apprennent et s'adaptent aussi rapidement que les menaces elles-mêmes.

Réflexions finales

Ce qui se passe dans les services financiers n'est pas simplement une nouvelle vague de cyberattaques, c'est un changement structurel dans la manière dont l'identité est ciblée et exploitée. Les anciennes hypothèses ne tiennent plus. Le MFA fonctionne exactement comme prévu, mais échoue à l'intersection de la confiance et de la vérification. Les attaquants ne brisent pas la technologie, ils brisent la logique du processus.

Pour les dirigeants, la voie à suivre est celle de la sensibilisation et de l'alignement. Les stratégies de sécurité doivent évoluer des défenses statiques vers une validation continue. Cela signifie qu'il faut traiter chaque authentification, chaque jeton et chaque session comme un événement en direct, et non comme une étape achevée. L'objectif n'est pas d'ajouter des couches supplémentaires, mais d'affiner celles qui existent déjà jusqu'à ce qu'elles puissent s'adapter en temps réel à la vitesse et à la sophistication des menaces modernes.

Les budgets doivent également refléter la nouvelle réalité. L'investissement doit suivre le risque et non la tradition. L'allocation de fonds à la protection de l'identité en cours d'exécution, à la validation MFA hors bande et à la surveillance active des jetons offre une résilience mesurable. Il ne s'agit pas de mises à niveau incrémentielles, mais de corrections structurelles qui mettent les défenses en phase avec le modèle de menace actuel.

Ce qui définit le leadership dans cet environnement, c'est la rapidité d'adaptation. Les attaquants ont déjà compris que l'identité est le périmètre ultime. Les organisations qui apprennent à la protéger de la même manière, flexible, rapide et basée sur les données, sécuriseront à la fois leurs systèmes et leur avenir.