Un nouveau rapport met en évidence l’augmentation du nombre de clés API, de jetons de session et d’identités de machine exposés, et bien plus encore.
SpyCloud, le leader de la protection contre les menaces d’identité, a publié aujourd’hui son rapport annuel Rapport sur l’exposition de l’identité 2026l’une des analyses les plus complètes des informations d’identification volées et des données d’exposition d’identité circulant dans le milieu criminel et mettant en évidence une forte expansion de l’exposition à l’identité non humaine (NHI).
L’année dernière, SpyCloud a constaté une augmentation de 23 % de son lac de données d’identité récupéré, qui totalise désormais 65,7 milliards de documents d’identité distincts. Le rapport montre que les attaquants ciblent de plus en plus les identités des machines et les artefacts de session authentifiés, en plus des combinaisons traditionnelles de nom d’utilisateur et de mot de passe et des informations personnelles identifiables (PII).
« Nous assistons à un changement structurel dans la manière dont l’identité est exploitée », a déclaré Trevor Hilligoss, directeur du renseignement chez SpyCloud. « Les attaquants ne ciblent plus uniquement les informations d’identification. Ils volent les accès authentifiés, notamment les clés API, les jetons de session et les informations d’identification d’automatisation, et utilisent cet accès pour se déplacer plus rapidement, rester persistants et étendre leurs attaques dans les environnements cloud et d’entreprise. »
Principales conclusions du rapport 2026 sur l’exposition des identités :
Les identités non humaines sont désormais une surface d’attaque principale
SpyCloud récupéré 18,1 millions de clés et jetons API exposés en 2025, couvrant les plateformes de paiement, les fournisseurs d’infrastructures cloud, les écosystèmes de développeurs, les outils de collaboration et les services d’IA.
Le rapport a également identifié 6,2 millions de cookies d’identification ou d’authentification liés aux outils d’IAreflétant l’adoption rapide par les entreprises des plates-formes d’IA et l’expansion associée des chemins d’accès basés sur les machines.
Contrairement aux informations d’identification humaines, ces NHI manquent souvent d’application de l’AMF, tournent rarement et fonctionnent avec des autorisations étendues. Lorsqu’ils sont exposés, ils peuvent fournir aux attaquants un accès persistant aux systèmes de production, aux chaînes d’approvisionnement en logiciels et à l’infrastructure cloud.
Le phishing est une menace pour les entreprises
SpyCloud récupéré 28,6 millions de documents d’identité hameçonnés en 2025. Notamment, près de la moitié de ces identités étaient des utilisateurs professionnelsce qui renforce le fait que le phishing reste une menace persistante pour les entreprises.
Cette tendance concorde avec les recherches de SpyCloud montrant que les attaques de phishing réussies ont augmenté. 400 % par an. Le résultat est un avertissement clair aux entreprises : leurs effectifs sont désormais 3 fois plus susceptibles d’être la cible d’attaques de phishing que de logiciels malveillants infostealer.
Les ensembles de données de phishing modernes contiennent de plus en plus de données d’identification. Beaucoup incluent des cookies de session, des jetons d’authentification et des données de flux de travail MFA, permettant aux attaquants de prendre en charge des sessions authentifiées sans déclencher d’alertes traditionnelles. Avec un afflux d’acteurs malveillants tirant parti de l’IA pour créer des leurres plus réalistes et automatiser les campagnes, ce problème ne disparaîtra pas de sitôt, et les équipes de sécurité des entreprises doivent aller au-delà de la formation des employés pour adopter une véritable approche préventive.
Le vol de session et le contournement MFA se poursuivent à grande échelle
SpyCloud récupéré 8,6 milliards de cookies et d’artefacts de session volés exposés via des infections par des logiciels malveillants, démontrant que les attaquants se concentrent continuellement sur les techniques de détournement de session qui contournent les protections d’authentification traditionnelles. En parallèle, l’analyse SpyCloud des combolists clandestines a révélé que 51 % des enregistrements chevauchaient les journaux d’infostealer précédemment observésce qui indique que les criminels reconditionnent de plus en plus les données exfiltrées par des logiciels malveillants plutôt que de s’appuyer uniquement sur de nouvelles divulgations de violations.
Au cours de l’année écoulée, des rapports publics ont documenté plusieurs campagnes de contournement de l’authentification multifacteur utilisant des kits de phishing AitM (adversary-in-the-middle) et des techniques de relecture de session, y compris des activités ciblant les environnements Microsoft 365 via des jetons d’authentification volés.
Le 4 mars 2026, Europol a annoncé, en partenariat avec Microsoft et d’autres organisations privées, avoir procédé à une saisie coordonnée de Magnat 2FA – une infrastructure et un service majeurs de phishing en tant que service qui ont permis un contournement généralisé de l’AMF grâce aux techniques AitM – et ont considérablement perturbé ses capacités opérationnelles. SpyCloud a soutenu l’effort de perturbation mondiale en fournissant des renseignements sur l’identité des victimes et des analyses opérationnelles tirées de sources criminelles clandestines. L’opération récente met en évidence l’industrialisation du phishing et la valeur croissante des artefacts de session dans les workflows des attaquants.
Les logiciels malveillants continuent d’exfiltrer les données d’identité
Malgré la montée du phishing, les logiciels malveillants infostealer restent un contributeur important à l’exposition des identités, permettant aux attaquants de récolter des informations d’identification, des cookies et des jetons d’authentification sur les appareils infectés. SpyCloud récupéré plus de 642,4 millions d’informations d’identification exposées suite à 13,2 millions d’infections par des logiciels malveillants infostealer en 2025. Cela représente une moyenne de 50 identifiants d’utilisateur exposés par infection par un logiciel malveillant, ce qui augmente encore le nombre de points d’entrée disponibles pour les acteurs malveillants.
Une partie notable des infections s’est produite sur les terminaux sur lesquels des outils EDR ou antivirus sont installés, ce qui renforce le fait que les contrôles des terminaux ne suffisent pas à eux seuls à empêcher le vol d’identité.
L’exposition des informations d’identification reste élevée, avec une mauvaise hygiène des mots de passe
SpyCloud récupéré 5,3 milliards de paires d’identifiants – des identifiants volés composés de noms d’utilisateur ou d’adresses e-mail et de mots de passe.
Parmi les références d’entreprise exposées, 80 % contenaient des mots de passe en clairréduisant considérablement les obstacles aux attaques immédiates de piratage de compte. Une fois de plus, les modèles prévisibles liés à la culture pop, au sport et aux chaînes numériques courtes continuent d’être largement utilisés. Les mots de passe les plus tendances incluent :
- 67 / sixsept : 140,4 millions
- sucré/biscuit/bonbon/gâteau/tarte : 5,7 millions
- chefs / chefs de Kansas City : 5M
- 2025 : 4,1 millions
- pomme / banane / orange / fraise / fruit : 2,6 millions
La réutilisation des mots de passe reste répandue et le rapport identifie également 1,1 million de mots de passe principaux du gestionnaire de mots de passe circulant dans des sources souterraines, soulevant des inquiétudes quant à la compromission au niveau du coffre-fort lorsque les informations d’identification principales sont faibles.
La surface d’exposition de l’identité en expansion
Le rapport 2026 met en évidence un changement central dans les menaces d’identité et souligne la nécessité d’une protection continue contre les menaces d’identité, tant au niveau des identités humaines que des machines. Les attaquants combinent les données de violation, les captures de phishing, les journaux de logiciels malveillants, les jetons de session et les informations d’identification des machines pour créer des profils d’identité composites qui alimentent tout, du piratage de session et des ransomwares jusqu’à la compromission de la chaîne d’approvisionnement.
À mesure que les organisations accélèrent l’adoption du cloud et intègrent des outils d’IA dans leurs flux de travail, les identités des machines sont de plus en plus intégrées aux systèmes critiques. Le vol de ces informations d’identification et jetons d’authentification peut créer des effets d’entraînement en aval bien au-delà d’un seul compte compromis.
« Le défi ne consiste pas seulement à arrêter le phishing ou les logiciels malveillants », a ajouté Hilligoss. « Il s’agit de comprendre comment les identités exposées se connectent entre les systèmes, les fournisseurs et les flux de travail d’automatisation. » Il poursuit : « SpyCloud a récupéré près d’un billion d’actifs d’identité volés au cours de nos 10 années de lutte contre la cybercriminalité. C’est la base de nos connaissances sur l’évolution de la prolifération des identités et sur la manière dont les mauvais acteurs cherchent à utiliser les données comme une arme contre les individus et les entreprises. Mais il y a de bonnes nouvelles pour les défenseurs. Lorsque les organisations surveillent en permanence l’exposition et intègrent des flux de travail de remédiation automatisés, nous avons vu comment cela peut réduire considérablement la fenêtre d’opportunité de l’attaquant, et c’est une victoire pour laquelle il vaut la peine de se battre. «
Rapport complet et analyse approfondie disponibles ici.
À propos de SpyCloud
SpyCloud transforme les données récupérées sur le darknet pour perturber la cybercriminalité. Ses solutions automatisées de protection contre les menaces d’identité exploitent des analyses avancées et l’IA pour empêcher de manière proactive les ransomwares et le piratage de compte, détecter les menaces internes, protéger l’identité des employés et des consommateurs et accélérer les enquêtes sur la cybercriminalité. Les données de SpyCloud provenant des violations, des appareils infectés par des logiciels malveillants et des hameçonnages réussis alimentent également de nombreuses offres populaires de surveillance du dark web et de protection contre le vol d’identité. Les clients comprennent sept des 10 sociétés Fortune, ainsi que des centaines d’entreprises mondiales, de sociétés de taille moyenne et d’agences gouvernementales dans le monde entier. Basée à Austin, Texas, SpyCloud héberge plus de 200 experts en cybersécurité dont la mission est de protéger les entreprises et les consommateurs contre les données d’identité volées que les criminels utilisent désormais pour les cibler. Pour en savoir plus et obtenir des informations sur les données exposées de votre entreprise, les utilisateurs peuvent visiter spycloud.com.
Contact
Katie Hanusik
DEMANDE au nom de SpyCloud
spycloud@req.co
