Certaines des violations d’identité les plus dommageables se produisent désormais après la connexion, lors de la réinitialisation du mot de passe, de la réinscription MFA ou des demandes de récupération de routine du service d’assistance. De nombreuses organisations ont renforcé la sécurité des connexions grâce à des contrôles MFA et résistants au phishing.
Ces flux de travail sont rarement traités comme des événements critiques pour la sécurité. Les attaquants savent que les informations d’identification peuvent être réinitialisées, que la MFA peut être désactivée et que les appareils peuvent être remplacés. Ils n’ont pas besoin de vaincre la cryptographie s’ils parviennent à convaincre un système ou un centre de services de les laisser entrer.
Cette faiblesse a été exploitée dans le monde réel. Lors d’une série d’incidents survenus en 2025, de grands détaillants britanniques tels que Marks & Spencer, Harrods et Co-op Group ont été ciblés par des attaquants qui ont utilisé l’ingénierie sociale pour inciter le personnel du service d’assistance à réinitialiser les informations d’identification et à contourner les protections MFA.
Des voies de rétablissement existent parce que les choses tournent mal. Cela en fait l’endroit le plus simple pour exploiter la confiance.
Lorsque les violations sont analysées après coup, la compromission initiale peut souvent être attribuée à un compte légitimement émis, protégé par MFA et conforme à la politique. L’échec n’était pas dû à la connexion. C’est dans la façon dont l’identité a été rétablie par la suite.
Pourquoi les flux de travail de récupération sont structurellement faibles
La récupération de compte est conçue pour être rapide et réduire les frictions, et non pour résister aux menaces. En conséquence, les workflows de récupération reposent souvent sur des hypothèses qui ne sont plus valables :
- La personne qui demande l’accès agit de bonne foi
- La voix, le courrier électronique ou le chat sont des canaux dignes de confiance
- Les questions basées sur les connaissances fournissent une assurance significative
- Le personnel du service d’assistance peut détecter de manière fiable la tromperie
Celles-ci étaient fragiles avant même que les attaquants ne commencent à utiliser l’IA. Aujourd’hui, il s’agit d’une brèche en attente.
L’usurpation d’identité ne nécessite plus de conjectures. Des données publiques, des identifiants piratés, des voix synthétisées et des prétextes convaincants peuvent être rassemblés rapidement et à moindre coût. Les voies de rétablissement qui s’appuient sur le jugement humain ou sur des informations statiques constituent désormais la voie de moindre résistance.
Le Help Desk comme autorité d’identité
Qu’elles souhaitent ou non ce rôle, les équipes du service d’assistance fonctionnent comme des autorités d’identité de facto. Ils décident qui obtient l’accès restauré, quels authentificateurs sont réinitialisés et quand des exceptions sont accordées.
Cela place le personnel de première ligne dans une position ingrate. Il leur est demandé de vérifier leur identité sans preuves fiables, souvent sous pression, en utilisant des canaux que les attaquants peuvent facilement manipuler.
Même les équipes bien entraînées ont du mal. Les scripts et la formation aident à contrer les tentatives peu sophistiquées, mais ils ne permettent pas de lutter contre l’usurpation d’identité sophistiquée. Lorsqu’un attaquant connaît la terminologie interne, la structure organisationnelle et l’activité récente, la différence entre un vrai employé et un faux devient presque impossible à détecter sans preuve plus solide.
Les réinitialisations MFA révèlent les failles de sécurité des identités
Même si l’authentification multifacteur est largement déployée dans de nombreuses organisations, elle est beaucoup moins rigoureusement gouvernée lors de la reprise. Dans de nombreux environnements, la réinitialisation de MFA ne nécessite guère plus que de répondre à des questions, de cliquer sur un lien de courrier électronique ou de persuader un agent d’assistance. Une fois réinitialisés, les contrôles en aval héritent de cette confiance compromise.
C’est pourquoi les organisations sont confrontées à des violations dans lesquelles l’authentification multifacteur était « activée » mais inefficace. Le contrôle existait, mais le chemin pour le contourner était plus facile que le chemin pour le traverser. L’authentification forte perd de sa valeur lorsque les flux de récupération recréent la confiance à partir de zéro au lieu de la rétablir.
Pourquoi la formation échoue
Lorsque des échecs de récupération se produisent, la réponse instinctive consiste en davantage de formation et en des procédures plus strictes. Ces mesures aident à la marge, mais elles ne résolvent pas le problème fondamental : l’absence de preuves d’identité vérifiables pendant la récupération.
Les humains ne sont pas doués pour détecter les tromperies à grande échelle, surtout lorsque les attaquants sont patients, préparés et persistants. L’usurpation d’identité assistée par l’IA fait encore pencher la balance, puisque la voix seule ne constitue plus une preuve d’identité.
Tant que la récupération dépendra du jugement plutôt que des preuves, elle restera exploitable.
Une identité vérifiée doit être réutilisable
Le défaut fondamental de la plupart des conceptions de récupération est que l’assurance de l’identité est considérée comme jetable. L’identité est vérifiée lors de l’intégration, puis effectivement supprimée une fois les informations d’identification émises.
Lorsque la récupération est nécessaire, les organisations tentent de reconstruire la confiance en utilisant des signaux plus faibles que ceux utilisés dans le processus de vérification initial. Cette inversion n’a aucun sens. La reprise ne doit pas abaisser la barre ; il doit faire référence à la preuve d’identité disponible la plus solide.
L’assurance de l’identité doit être un élément sur lequel les organisations peuvent revenir de manière fiable. Ce n’est pas quelque chose qui doit être recréé à la volée sous pression.
Cela ne signifie pas forcer chaque récupération par une révision manuelle ou ajouter des frictions sans discernement. Cela nécessite simplement de concevoir des systèmes dans lesquels l’identité vérifiée peut être réaffirmée sans compter sur la mémoire, le secret ou la confiance dans le canal.
Concevoir la récupération pour des conditions adverses
Les workflows de récupération doivent être construits en partant du principe que les attaquants les cibleront délibérément. Cela commence par traiter les réinitialisations et les réinscriptions comme des événements à haut risque plutôt que comme des événements de routine. Les actions sensibles doivent déclencher une vérification renforcée basée sur le contexte et l’impact, et non sur la commodité.
La récupération en libre-service peut toujours exister, mais elle doit préserver l’assurance de l’identité plutôt que de l’affaiblir. Sinon, les organisations échangent simplement le risque du support technique contre le risque automatisé. Tout aussi important, les actions de récupération doivent être vérifiables. Les organisations doivent être en mesure de démontrer non seulement que l’accès a été rétabli, mais aussi pourquoi et à qui.
Tant que la récupération reste le maillon faible, les attaquants continueront à contourner l’authentification forte sans jamais avoir besoin de l’attaquer directement.
