Un navigateur compromis donne accès à tous les services où l’utilisateur est authentifié sans avoir besoin d’un seul mot de passe
Ce qu’il faut retenir
Le navigateur web est devenu le point de centralisation de tous les accès d’un utilisateur : email, outils SaaS, cloud, crypto, messageries. Il stocke les cookies de session, les mots de passe, l’historique, les tokens d’accès. Compromettre le navigateur revient à compromettre simultanément tous ces accès.
Avant, chaque service avait son propre credential isolé. Aujourd’hui, un seul infostealer qui exfiltre le profil Chrome d’un employé donne un accès immédiat à M365, GitHub, AWS, Slack, et tous les autres services utilisés au quotidien — sans déclencher une seule alerte d’authentification anormale.
Le navigateur doit être traité comme un endpoint critique, au même titre qu’un serveur d’authentification. Les politiques de sécurité (extensions autorisées, isolation des profils, durée de vie des sessions) ont un impact direct sur la surface d’attaque.
Illustrations
Cas 1 : Storm infostealer — panel de logs (2026)
Ce qui s’est passé : Le panel de logs de Storm montre 1715 entrées avec des credentials tagués automatiquement par service : Google, Facebook, Twitter/X, Coinbase, Binance, Blockchain.com, Crypto.com. Un seul build compromet l’intégralité du profil navigateur de la victime en une seule exfiltration.
Pourquoi c’est arrivé : Storm collecte en une passe : mots de passe sauvegardés, cookies de session, autofill, tokens Google, données de carte bancaire, historique. Tout est stocké au même endroit dans le profil navigateur.
Conséquences : L’opérateur peut filtrer et prioriser les accès par service depuis son panel. Un seul employé compromis peut devenir une porte d’entrée vers l’ensemble de l’infrastructure SaaS d’une organisation.
Cas 2 : Cookie-Bite — post-exploitation Azure (2025)
Ce qui s’est passé : Avec les seuls cookies ESTSAUTH volés depuis Chrome, Varonis démontre l’accès à : Azure Portal, M365 (Outlook, Teams), SharePoint, Graph API (énumération users/groupes). L’attaquant peut également obtenir des Access Tokens et Refresh Tokens via TokenSmith, ouvrant l’accès à d’autres services Microsoft sans ré-authentification.
Pourquoi c’est arrivé : Le SSO (Single Sign-On) Azure amplifie la valeur d’un seul cookie : une session Azure valide ouvre toutes les applications enterprise connectées à Entra ID.
Conséquences : Un cookie volé dans Chrome → accès à toute l’infrastructure M365 d’une organisation + possibilité d’escalade de privilèges via les permissions des applications enterprise.
Articles liés
- The silent Storm — BleepingComputer — angle : Storm, panel de logs, ciblage multi-services
- Cookie-Bite — Varonis Threat Labs — angle : post-exploitation détaillée depuis cookies Azure, outils ROADtools/AADInternals/TokenSmith
Principes liés
- Voler une session authentifiée est plus précieux que voler un mot de passe — elle bypasse le MFA et donne un accès immédiat
- Le MFA ne protège pas les sessions déjà actives — seule leur révocation contient une compromission en cours
- Les infostealers modernes exfiltrent les données chiffrées pour les déchiffrer côté serveur, rendant la détection endpoint aveugle