🎓 Nouveau : formations & webinaires cybersécurité en ligne — apprenez à protéger vos appareils et votre organisation Découvrir nos formations →
Fuites de données

Vol de credentials : comment les hackers volent tes accès

Illustration: Vol de credentials : comment les hackers volent tes accès
Mis à jour mai 2026 15 min de lecture 0

Vol de credentials : comment les pirates volent tes accès et comment t’en protéger

Le vol de credentials (identifiants) est le point de départ de la majorité des intrusions informatiques. Qu’il s’agisse de ton compte Gmail, des accès administrateur de ta PME, ou des identifiants d’un client hébergé sur ton serveur — une fois que quelqu’un a un couple nom d’utilisateur/mot de passe valide, il est à l’intérieur. Ce guide explique les méthodes utilisées et, surtout, comment t’en protéger.

Méthode #1 : Credential Stuffing

C’est la méthode la plus massivement utilisée, et la raison principale pour laquelle la réutilisation des mots de passe est si dangereuse.

Comment ça marche :

  1. Des milliards de couples email/mot de passe sont disponibles sur le dark web (issus de fuites passées — LinkedIn 2016, Adobe 2013, Desjardins 2019, etc.)
  2. Des outils automatisés testent ces couples sur des dizaines de services populaires : Gmail, Outlook, Amazon, Netflix, banques, etc.
  3. Si tu utilises le même mot de passe sur plusieurs services, l’attaquant entre dès qu’il trouve un service où ça fonctionne

Statistique : des études montrent que 0,5 à 2% des tentatives de credential stuffing réussissent. Sur des milliards de comptes testés, ça représente des millions d’accès compromis.

Défense : mot de passe unique pour chaque service (gestionnaire de mots de passe) + 2FA. Le credential stuffing est inefficace contre ces deux mesures combinées.

Méthode #2 : Phishing de credentials

Un faux email dirige la victime vers une page qui imite parfaitement la page de connexion d’un service réel. Elle entre ses identifiants. L’attaquant les récupère.

Les variantes modernes :

Reverse proxy phishing (Adversary-in-the-Middle — AitM) : des outils comme Evilginx agissent comme proxy entre toi et le vrai site. Tu vois le vrai site, tu entres tes vrais identifiants, mais le proxy intercepte aussi les tokens de session. Ça contourne même le 2FA basé sur TOTP.

Browser-in-the-Browser (BitB) : l’attaquant génère une fausse fenêtre de navigateur dans la page web, imitant parfaitement une fenêtre d’authentification Chrome/Firefox. Tu entres tes identifiants dans ce qui ressemble à une vraie fenêtre de connexion.

Défense : passkeys et clés de sécurité physiques (FIDO2) sont les seules défenses efficaces contre les attaques AitM — la clé vérifie cryptographiquement le domaine et refuse de s’authentifier sur un proxy.

Méthode #3 : Keyloggers et infostealers

Un malware installé sur ton ordinateur (via une pièce jointe d’email malveillante, un faux logiciel téléchargé, un site web compromis) enregistre tout ce que tu tapes — y compris tes mots de passe au moment où tu les entres.

Les infostealers sont une catégorie plus avancée qui vole activement les credentials sauvegardés dans ton navigateur, ton gestionnaire de mots de passe (s’il est déverrouillé), les cookies de session, et parfois les seeds TOTP.

Des familles de malware comme Redline Stealer, Vidar, Raccoon sont vendues comme des services (MaaS — Malware as a Service) pour quelques centaines de dollars sur des forums criminels.

Défense :

  • Garder son système et ses logiciels à jour (les malwares exploitent souvent des vulnérabilités connues)
  • Ne pas télécharger de logiciels de sources non fiables
  • Utiliser un gestionnaire de mots de passe avec base chiffrée (les infostealers peuvent voler les mots de passe sauvegardés dans le navigateur, mais pas une base Bitwarden chiffrée avec un mot de passe principal fort)
  • Antivirus/EDR actif

Méthode #4 : Brute Force et Password Spraying

Brute force : essayer toutes les combinaisons possibles jusqu’à trouver le bon mot de passe. Efficace sur des mots de passe courts (< 8 caractères) avec suffisamment de puissance de calcul. Sur des mots de passe longs et aléatoires, c’est impossible en pratique.

Dictionary attack : utiliser des listes de mots courants, de mots de passe populaires, et de leurs variantes (P@ssw0rd, motdepasse123, etc.). Efficace sur les mots de passe “humains”.

Password spraying : au lieu de tester des milliers de mots de passe sur un compte (ce qui déclenche un verrouillage), tester un ou deux mots de passe courants contre des milliers de comptes. Passe sous le radar des systèmes de détection.

Défense : mots de passe longs et aléatoires (les gestionnaires de mots de passe génèrent 20+ caractères aléatoires) + verrouillage de compte après tentatives échouées + 2FA.

Méthode #5 : Man-in-the-Middle (MitM) sur réseau non sécurisé

Sur un réseau WiFi non chiffré ou un réseau WiFi contrôlé par l’attaquant, il est possible d’intercepter le trafic non chiffré. Si tu te connectes à un site HTTP (sans HTTPS), tes identifiants sont visibles en clair.

HTTPS chiffre le trafic et empêche cette interception — mais seulement si HTTPS est correctement implémenté et si le certificat est valide.

Défense : toujours vérifier que le site utilise HTTPS (cadenas dans la barre d’adresse). Utiliser un VPN sur les WiFi publics. Ne jamais entrer des credentials importants sur un réseau non fiable.

Méthode #6 : Ingénierie sociale directe

Parfois les attaquants appellent simplement. Ils se font passer pour le support technique de Microsoft, pour ton fournisseur internet, pour un collègue qui a perdu son accès.

“Bonjour, je suis du support IT, on a un problème avec votre compte. Pour le résoudre, j’ai besoin de votre mot de passe temporairement.”

Aucune organisation légitime ne te demandera jamais ton mot de passe.

Méthode #7 : Accès physique

Un clavier physique (keylogger hardware) branché entre le clavier et l’ordinateur enregistre toutes les frappes. Un attaquant avec un accès physique à ton bureau pendant quelques secondes peut l’installer.

Les rubber duckies (clés USB piégées) se font passer pour un clavier et injectent des commandes malveillantes au moment où tu les branches.

Défense : ne jamais brancher des clés USB inconnues. Verrouille ton ordinateur quand tu t’en absentes (Windows + L / Cmd + Ctrl + Q sur Mac).

Session hijacking : voler l’accès sans le mot de passe

Voici quelque chose que la plupart des gens ne savent pas : un attaquant n’a pas nécessairement besoin de ton mot de passe pour accéder à ton compte. Il lui suffit de voler ton cookie de session.

Quand tu te connectes à un service web — Gmail, Office 365, ta plateforme bancaire — le serveur te remet un cookie de session. Ce cookie, stocké dans ton navigateur, dit essentiellement “cette personne s’est authentifiée, laisse-la passer”. C’est ce mécanisme qui te permet de rester connecté plusieurs jours sans retaper ton mot de passe.

Les infostealers modernes savent exactement où chercher ces cookies. Sur Windows, ils sont souvent stockés en clair ou avec un chiffrement récupérable dans les dossiers du profil utilisateur. Un Redline Stealer ou un Vidar actif sur ta machine va les aspirer en quelques secondes, en même temps que tes mots de passe sauvegardés.

L’attaque “pass-the-cookie” : l’attaquant prend le cookie volé, l’importe dans son propre navigateur (via les outils développeur, ou une extension spécialisée), et le voilà authentifié comme toi. Il contourne entièrement le mot de passe et le code 2FA — parce qu’il n’est pas en train de se “connecter”, il présente une session déjà authentifiée.

Cas concret : un employé de bureau à Québec se connecte à Office 365 depuis son poste de travail. Le poste est infecté par un infostealer installé via un faux plugin PDF téléchargé deux semaines plus tôt. Le cookie de session Microsoft est volé la nuit suivante. Le lendemain matin, un opérateur quelque part en Asie importe ce cookie, accède à la boîte mail de l’employé, lit des semaines d’emails, copie des documents partagés sur SharePoint, et crée une règle de transfert automatique sur la boîte mail — tout ça sans jamais avoir eu le mot de passe ni le code 2FA.

C’est exactement ce type d’attaque qui est derrière beaucoup de compromissions de messagerie d’entreprise (BEC) au Canada.

Défense concrète :

  • Se déconnecter explicitement des services sensibles au lieu de juste fermer l’onglet — la déconnexion invalide le cookie côté serveur
  • Activer les sessions courtes sur les comptes critiques (Office 365 et Google Workspace permettent de configurer la durée de vie des tokens)
  • Activer les alertes de connexion suspecte : Google et Microsoft envoient des notifications quand une connexion depuis un nouvel appareil ou un pays inhabituel est détectée
  • En cas de doute, révoquer toutes les sessions actives depuis les paramètres du compte — Google propose “Gérer les appareils”, Microsoft propose “Sessions actives” dans les paramètres de sécurité
  • Pour les entreprises : implémenter des politiques de conditional access qui vérifient l’état de conformité de l’appareil, pas seulement l’identité

OAuth consent phishing : l’attaque que le 2FA ne bloque pas

Cette attaque est particulièrement vicieuse parce qu’elle ne vole pas ton mot de passe. Elle te convainc de donner volontairement un accès permanent à un attaquant — et changer ton mot de passe après ne change rien.

Le mécanisme OAuth est légitime et utile : il permet à des applications tierces d’accéder à tes données Google ou Microsoft avec ton consentement, sans avoir besoin de ton mot de passe. Quand tu connectes Slack à ton Google Calendar, tu passes par un flux OAuth.

L’attaque : tu reçois un email d’apparence professionnelle. L’objet : “Action requise : mise à jour de l’accès Microsoft Teams”. Le corps te demande de cliquer pour autoriser “Microsoft Teams Viewer” ou “Google Docs Collaboration Tool” à accéder à ta boîte mail. Tu cliques, tu vois l’écran d’autorisation Google ou Microsoft habituel — l’écran est réel, c’est ton vrai compte — et tu accordes les permissions.

Ce que tu viens de faire : donner à une application malveillante un accès permanent à ta boîte mail, tes contacts, tes fichiers OneDrive ou Google Drive. L’attaquant reçoit un token OAuth avec ces permissions. Ce token est valide indépendamment de ton mot de passe. Même si tu changes ton mot de passe demain, le token reste valide jusqu’à ce que tu révoque spécifiquement l’accès de l’application.

Cette attaque a ciblé des milliers d’entreprises canadiennes en 2024, notamment dans les secteurs de la finance et du droit où les employés sont habitués à autoriser des intégrations cloud régulièrement.

Ce que ça permet à l’attaquant :

  • Lire et copier tous tes emails
  • Accéder à tes contacts
  • Télécharger tes fichiers partagés
  • Envoyer des emails en ton nom
  • Et tout ça sans jamais déclencher d’alerte de connexion depuis un pays étranger, parce que c’est une API qui fait les requêtes, pas un humain qui se connecte

Défense :

Aller régulièrement vérifier quelles applications ont accès à ton compte :

  • Google : myaccount.google.com → Sécurité → Applications tierces avec accès au compte
  • Microsoft : myapplications.microsoft.com → Consentements et autorisations

Révoquer tout ce que tu ne reconnais pas ou que tu n’utilises plus.

Pour les entreprises : mettre en place une politique qui restreint les applications tierces autorisées à accéder aux données d’entreprise. Microsoft 365 et Google Workspace permettent aux administrateurs de bloquer les applications OAuth non approuvées au niveau du tenant. Les conditional access policies peuvent exiger une approbation admin avant qu’un employé puisse accorder des permissions OAuth à une nouvelle application.

Les marchés de credentials volés : comment tes données circulent

Comprendre comment les credentials volés transitent d’un ordinateur infecté jusqu’aux mains d’un acheteur aide à comprendre l’échelle du problème.

Le cycle complet :

Un infostealer infecte un ordinateur — via un faux crack de logiciel, une pièce jointe PDF malveillante, un faux installeur téléchargé depuis une publicité Google. En quelques secondes, le malware récolte tout ce qu’il peut trouver : credentials sauvegardés dans le navigateur, cookies de session, formulaires d’autocomplétion, histórique de navigation utile, captures d’écran, et parfois même un enregistrement de la webcam ou une liste des processus en cours.

Ces données sont packagées dans ce qu’on appelle un “log” — une archive compressée qui représente l’empreinte complète de l’ordinateur infecté.

Le log est envoyé automatiquement vers un serveur contrôlé par l’opérateur du malware. L’opérateur publie ces logs sur des marketplaces spécialisés.

Les marchés en 2024 :

Genesis Market, qui était l’un des plus grands marchés de ce type, a été fermé par le FBI en avril 2023 dans le cadre de l’opération Cookie Monster, impliquant des arrestations dans 17 pays. Sa fermeture a redistribué l’activité vers d’autres plateformes.

Russian Market et 2easy sont maintenant les principaux marchés actifs. Un log complet s’y vend entre 5$ et 30$ USD selon la valeur des données qu’il contient — un log incluant des accès à des comptes bancaires ou des panneaux d’administration vaut plus qu’un log de base.

Ce que comprend un log “premium” : les credentials de tous les comptes sauvegardés dans le navigateur, les cookies de session actifs, les données d’autocomplétion (nom, adresse, numéro de carte), des screenshots de l’écran au moment de l’infection, et le fingerprint complet du navigateur (résolution, plugins installés, fuseau horaire, etc.).

Le fingerprint sert à quoi ? Certains services détectent les connexions inhabituelles en comparant les caractéristiques du navigateur. L’acheteur d’un log peut utiliser le fingerprint pour configurer son navigateur de façon à ressembler à la victime, contournant ainsi cette détection.

L’acheteur met ça en pratique : il importe le log dans un outil comme OpenBullet, qui teste automatiquement les credentials sur des dizaines de services. En quelques heures, il sait exactement quels comptes sont actifs, lesquels ont de l’argent, lesquels ont accès à des ressources d’entreprise.

L’ampleur au Canada : selon le rapport Spycloud 2024, plus de 2 millions de comptes canadiens figuraient dans des logs d’infostealers vendus sur Russian Market cette année-là. Ce ne sont pas que des entreprises — des particuliers, des étudiants, des retraités dont l’ordinateur a été infecté sans qu’ils s’en rendent compte.

Les signaux que tes credentials sont compromis

Le problème avec le vol de credentials, c’est que tu peux ne rien remarquer pendant des semaines ou des mois. L’attaquant qui a accès à ta boîte mail n’a pas intérêt à faire du bruit — il préfère lire discrètement, attendre le bon moment, et agir quand ça maximise son gain.

Mais il y a des signaux. Les voici avec quoi faire pour chacun :

Email de connexion depuis un pays étranger — Tu reçois une notification de Google, Microsoft, ou un autre service indiquant une connexion depuis un pays où tu ne mets jamais les pieds. Ne pas ignorer. À faire immédiatement : révoquer toutes les sessions actives depuis les paramètres de sécurité du compte, changer le mot de passe, activer le 2FA si ce n’est pas déjà fait. Si c’est un compte d’entreprise, alerter l’administrateur IT.

Emails de réinitialisation de mot de passe non demandés — Tu reçois des emails “Quelqu’un a demandé une réinitialisation de mot de passe” sur des comptes où tu n’as rien demandé. Signal clair : quelqu’un teste tes emails pour voir lesquels existent et peut-être déclencher une réinitialisation. À faire : activer le 2FA partout où ce n’est pas encore activé. Ces tentatives sont souvent automatisées — l’attaquant a ta liste d’emails et teste la récupération de masse.

Contacts qui reçoivent du spam “de toi” — Des collègues ou amis te contactent pour demander pourquoi tu leur envoies des liens bizarres ou des demandes d’argent. Ton compte email est compromis. À faire : changer le mot de passe immédiatement, vérifier les règles de transfert configurées dans ton client mail (les attaquants en créent souvent pour recevoir des copies de tes emails), vérifier les applications OAuth autorisées, auditer les connexions récentes dans les logs de sécurité.

Factures cloud inattendues — Tu reçois une facture AWS, Google Cloud, ou Azure pour des ressources que tu n’as pas créées. Ton compte cloud est utilisé pour du cryptominage ou pour envoyer du spam en masse. À faire : révoquer immédiatement toutes les clés API, désactiver ou supprimer les ressources non autorisées, changer les credentials, activer les alertes de budget et les alertes d’activité inhabituelles. Contacter le support de la plateforme — Amazon et Google ont des équipes dédiées aux compromissions et peuvent parfois rembourser une partie des frais frauduleux.

Connexions dans les logs que tu ne reconnais pas — En consultant les logs de connexion de tes comptes (Google, Microsoft, LinkedIn, etc. les ont tous), tu vois des connexions depuis des appareils ou des IP que tu ne reconnais pas. À faire : identifier les connexions suspectes, révoquer ces sessions, changer le mot de passe, activer le 2FA, et si c’est un compte professionnel, documenter les IPs et les timestamps pour l’enquête.

Le tableau de bord des défenses

MenaceDéfense principale
Credential stuffingMot de passe unique par service + gestionnaire
Phishing standard2FA TOTP ou clé physique
Phishing AitMPasskeys ou YubiKey (FIDO2)
Keyloggers/infostealersAntivirus, mises à jour, ne pas télécharger n’importe quoi
Brute forceMot de passe long et aléatoire (16+ caractères)
MitM WiFiHTTPS + VPN sur WiFi public
Ingénierie socialeFormation, procédures de vérification
Accès physiqueVerrouillage automatique, vigilance matériel USB
Session hijackingDéconnexion explicite, sessions courtes, alertes de connexion
OAuth phishingAudit régulier des apps autorisées, politique OAuth entreprise

Pour les PME : la priorité sur les accès critiques

Les comptes à protéger en priorité dans une PME :

  1. Email d’entreprise — clé de voûte pour la réinitialisation de tout
  2. Accès aux outils de facturation et comptabilité
  3. Panneaux d’administration (hébergement web, DNS, domaine)
  4. Accès RDP et VPN — souvent exploités directement depuis internet
  5. Comptes cloud (AWS, Azure, Google Cloud) — un accès compromis peut coûter des milliers en ressources et entraîner une violation de données

Tu veux qu’un professionnel évalue la résistance de tes systèmes au vol de credentials ? Test de pénétration, audit des politiques de mots de passe, simulation de phishing — contacte-moi à page contact ou par téléphone au (581) 748-8348.

Voir aussi : L’IA au service des pirates : comment le phishing a changé en 2026Gestionnaire de mots de passe : lequel choisir2FA : guide complet

Khalid Mokrini

Cyber Security Specialist

Fondateur d'Informatique Ste-Foy (depuis 2014) et de Sequr.ca. Certifié en cybersécurité des réseaux informatiques par l'École Polytechnique de Montréal. Plus de 1 000 clients servis au Québec.

540+ avis (4.7/5)Québec, Canada

Articles connexes

Fuites de données

Vol d'identité Canada : que faire étape par étape

Votre NAS a fuité. Un crédit a été ouvert à votre nom. Voici le protocole exact à suivre — dans le bon ordre — pour limiter les dégâts.
Fuites de données

Sécuriser AccèsD Desjardins après la fuite de 2019

Fuite Desjardins 2019 : ce que vous devez encore faire pour sécuriser votre compte AccèsD en 2026.
Fuites de données

Effacer un fichier vraiment : la suppression sécurisée

Supprimer un fichier ne l'efface pas. Comment effacer définitivement vos données sur SSD et HDD.

On peut vous aider

Par où voulez-vous commencer ?

Apprenez à vous protéger, sécurisez votre appareil, ou parlez directement à un expert certifié.

🎓 Découvrir les formations 🔒 Consultation privée — particulier ✉️ Nous contacter