⚡ Points Clés

Les logiciels malveillants de type infostealer ont récolté 1,8 milliard d’identifiants au premier semestre 2025 — une hausse de 800 % — et volent de plus en plus de cookies de session actifs qui permettent aux attaquants de se connecter comme vos employés sans aucune invite MFA. Flashpoint a recensé plus de 11,1 millions de machines infectées à la fin de l’année, qualifiant l’identité de « principal vecteur d’exploitation » alors que la cybercriminalité passe « de l’effraction à la connexion ».

En résumé: Les équipes IT algériennes devraient considérer la MFA comme nécessaire mais insuffisante et activer les sessions liées à l’appareil, des durées de jeton plus courtes et une ré-authentification déclenchée par anomalie pour combler la faille des cookies de session.

Lire l’analyse complète ↓

🧭 Radar de Décision

Pertinence pour l’Algérie
Élevé
Avec 36,2 millions d’internautes et une forte dépendance aux appareils personnels et aux machines truffées de logiciels sans licence, les entreprises algériennes se trouvent en plein dans le rayon d’action des infostealers.
Calendrier d’action
Immédiat
Le vol de cookies de session est un vecteur d’attaque actif et croissant en 2025-2026 ; les interrupteurs défensifs sont disponibles aujourd’hui et désactivés par défaut.
Parties prenantes clés
Responsables IT, dirigeants de PME, RSSI, administrateurs système
Assessment: Responsables IT, dirigeants de PME, RSSI, administrateurs système. Review the full article for detailed context and recommendations.
Type de décision
Tactique
Cela exige des changements concrets de configuration et de politique sur les plateformes d’identité et les terminaux, et non une étude stratégique de long terme.
Niveau de priorité
Élevé
Un seul cookie de session volé peut accorder des semaines d’accès non détecté à des comptes critiques malgré une MFA activée.

En bref: Considérez la MFA comme nécessaire mais désormais insuffisante. Activez les sessions liées à l’appareil dans Google Workspace ou Microsoft 365, réduisez la durée des sessions à quelques heures, activez la ré-authentification déclenchée par anomalie et interdisez les logiciels craqués sur les machines de travail. Ces quatre mesures ne coûtent rien et comblent la faille qu’exploitent les infostealers.

Publicité

Quand la MFA cesse de suffire

Pour la plupart des entreprises algériennes, activer l’authentification multifacteur (MFA) a semblé être la ligne d’arrivée d’un projet de sécurité des identités. Ajoutez un code provenant d’une application ou un SMS par-dessus le mot de passe, et le compte est protégé. Cette hypothèse est désormais fausse d’une manière précise et dangereuse — et les données qui le démontrent sont brutales.

Selon l’édition de mi-année du Global Threat Intelligence Index de Flashpoint, rapportée par Infosecurity Magazine, les infostealers ont récolté 1,8 milliard d’identifiants au cours des six premiers mois de 2025, une hausse de 800 % par rapport au semestre précédent, à partir de 5,8 millions d’hôtes infectés. À la fin de l’année, le rapport Global Threat Intelligence 2026 de Flashpoint recensait plus de 11,1 millions de machines infectées par des infostealers et 3,3 milliards d’identifiants et jetons cloud compromis. Sa phrase la plus importante pour tout responsable informatique algérien se lit ainsi : « Les mécanismes fondamentaux de la cybercriminalité sont passés de l’effraction à la connexion, les attaquants exploitant des cookies de session volés pour se comporter comme des utilisateurs légitimes. »

Ce basculement est au cœur du problème. La MFA protège le moment où vous vous connectez — mais pas la session qui suit.

Lorsqu’un employé se connecte à une application web — Microsoft 365, Google Workspace, un portail bancaire, un tableau de bord interne — et complète le défi MFA, l’application émet un cookie de session. Le navigateur stocke ce cookie et le présente à chaque requête suivante. Comme l’explique l’analyse technique de WhiteIntel, l’application « fait alors confiance à ce jeton de session sans revalider les identifiants ». La MFA n’a protégé que la porte d’entrée ; le cookie est une clé que le contrôleur de la porte n’inspecte plus.

Un infostealer — souvent diffusé via un téléchargement de logiciel craqué, une extension de navigateur malveillante ou un leurre de phishing — n’essaie pas de casser le mot de passe ni de vaincre la MFA. Il copie simplement ce cookie de session depuis le stockage du navigateur et l’expédie à l’attaquant. Ce dernier charge le cookie dans son propre navigateur et, comme le formule WhiteIntel, « l’application le sert comme s’il était l’utilisateur ». Aucune invite de mot de passe. Aucune notification MFA. Rien que la victime puisse remarquer.

C’est pourquoi le vol de session constitue désormais une catégorie de menace à part entière. L’analyse de Security Magazine sur les quatre failles d’identité exploitées par les attaquants rapporte que près d’un incident sur trois implique désormais un vol d’identifiants, la diffusion d’infostealers progressant de 84 % d’une année sur l’autre. L’article est franc : le « contournement de la MFA » est un abus de langage — la MFA a fonctionné correctement ; l’attaquant a simplement volé l’artefact émis après sa réussite.

L’ampleur de l’économie du vol de cookies est en soi un avertissement. Le rapport Identity Breach 2026 de Constella, résumé par la presse spécialisée, a constaté que les infostealers ont traité 51,7 millions de paquets de données en 2025, une hausse de 72 % d’une année sur l’autre — et que ces paquets sont particulièrement dangereux précisément parce qu’ils contiennent des cookies de session actifs qui contournent entièrement la MFA.

Publicité

Pourquoi cela frappe fort en Algérie

L’empreinte numérique de l’Algérie est désormais assez vaste pour que cette menace soit un risque au présent, et non une abstraction étrangère. Le rapport Digital 2025 Algérie de DataReportal recensait 36,2 millions d’internautes au début de 2025, soit un taux de pénétration de 76,9 %. Chacun de ces utilisateurs qui se connecte à un compte professionnel depuis un ordinateur portable personnel, un ordinateur familial partagé ou une machine exécutant un logiciel craqué constitue un point d’entrée potentiel pour le vol de cookies.

Deux réalités locales aiguisent l’exposition. D’abord, l’usage répandu de logiciels sans licence et craqués — une habitude d’économie courante dans les petites entreprises — est l’un des canaux de diffusion d’infostealers les plus fiables, car le « crack » est fréquemment le logiciel malveillant. Ensuite, de nombreuses PME algériennes ne disposent pas d’un parc de terminaux géré, de sorte que les employés se connectent aux systèmes professionnels depuis du matériel personnel dont l’entreprise n’a aucune visibilité. Un cookie volé sur une machine domestique est, pour l’application, indiscernable d’une connexion légitime au bureau.

La bonne nouvelle : les défenses ci-dessous relèvent de la configuration et de la discipline, et non d’outils coûteux. Elles sont à la portée d’une petite équipe IT, voire d’un seul administrateur compétent.

Ce que les équipes IT algériennes devraient faire

1. Activez les identifiants de session liés à l’appareil partout où votre plateforme le propose

La défense structurelle la plus solide consiste à rendre un cookie volé inutilisable sur tout appareil autre que celui auquel il a été émis. Google a rendu les Device Bound Session Credentials (DBSC) généralement disponibles dans Chrome sur Windows le 10 avril 2026, liant cryptographiquement une session au Trusted Platform Module (TPM) de l’appareil afin que la clé privée « ne puisse être exportée » et qu’un cookie copié devienne rapidement sans valeur. Si votre organisation utilise Google Workspace, activez le liage de session depuis la console d’administration ; si vous utilisez Microsoft 365, l’équivalent est la protection des jetons et l’évaluation continue de l’accès. N’attendez pas une compromission pour actionner ces interrupteurs — ils sont désactivés par défaut et ne coûtent rien. La seule réserve de WhiteIntel : la couverture du liage à l’appareil reste « partielle à travers le SaaS en 2026 », alors traitez-le comme une couche, pas comme le mur entier.

2. Raccourcissez la durée des sessions et imposez une ré-authentification sur les actions sensibles

Un cookie volé n’a de valeur que tant qu’il reste valide. Réduisez la fenêtre. Configurez votre fournisseur d’identité pour que les sessions web expirent au bout de quelques heures plutôt que de quelques semaines, et exigez une nouvelle connexion — pas seulement un cookie valide — avant les opérations à fort impact telles que modifier des coordonnées de paiement, exporter des données clients ou ajouter un administrateur. WhiteIntel recommande exactement cette superposition : des sessions de courte durée associées à une « ré-authentification conditionnelle » pour les opérations sensibles. Pour une PME algérienne, le réglage pratique est une reconnexion quotidienne du personnel et une MFA renforcée sur toute action financière ou d’administration. Ce seul changement peut transformer un vol de cookie réussi, d’une brèche d’un mois, en une gêne de quelques heures.

3. Déclenchez la MFA sur les anomalies, pas seulement à la connexion

La plupart des plateformes d’identité peuvent demander une ré-authentification lorsqu’une session apparaît soudainement depuis un nouvel appareil, un nouveau réseau ou un emplacement inattendu. Activez cela. Comme le note Security Magazine, les défenses contre le vol de jetons après authentification incluent « la détection des sessions provenant de nouveaux réseaux ou appareils » et l’évaluation continue de l’accès. En pratique, cela signifie qu’un cookie volé à un employé à Oran et rejoué par un attaquant depuis une adresse IP étrangère déclenche un défi auquel l’attaquant ne peut répondre. Associez cela à une alerte afin que votre responsable IT soit notifié, et pas seulement l’utilisateur final — les attaquants comptent sur un employé désorienté qui ignore l’invite.

4. Faites de l’hygiène du navigateur une politique écrite, pas une suggestion

Parce que les infostealers arrivent par le navigateur et le poste de travail, la couche humaine est décisive. Interdisez les logiciels craqués et sans licence sur toute machine utilisée pour le travail — c’est la règle à plus forte valeur, puisque les installateurs piratés sont un vecteur d’infostealer majeur. Restreignez les extensions de navigateur à une liste d’autorisation revue, car les extensions malveillantes lisent directement les cookies. Exigez que les comptes professionnels ne soient accessibles que depuis des machines dotées d’un système d’exploitation à jour et d’un anti-malware actif. Pour le personnel utilisant des appareils personnels, imposez un profil de navigateur distinct (ou un navigateur de travail dédié) afin qu’une compromission de la navigation personnelle n’expose pas automatiquement les cookies de session professionnels.

La leçon structurelle

Le message profond des données 2025-2026 est que l’identité est devenue le périmètre, et que ce périmètre présente une faille que ni les mots de passe ni la MFA ne couvrent à eux seuls. Le cadrage de Flashpoint — la cybercriminalité passant « de l’effraction à la connexion » — n’est pas un slogan ; c’est une instruction pour repenser les défenses autour de la session, et non seulement de la connexion. Pour les organisations algériennes, la part encourageante est que les contre-mesures les plus efficaces sont des choix de politique et de configuration déjà disponibles dans les plateformes qu’elles utilisent chaque jour : sessions liées à l’appareil, durées de jeton plus courtes, MFA déclenchée par anomalie et hygiène du navigateur imposée. Aucune d’entre elles n’exige un centre d’opérations de sécurité dédié ni un budget important. Les équipes qui les adoptent maintenant traiteront un cookie volé comme un incident contenu ; celles qui supposent que la MFA est la ligne d’arrivée continueront de découvrir qu’un attaquant est connecté comme leurs employés depuis des semaines.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn
Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Publicité

Questions Fréquemment Posées

Qu’est-ce que le vol de cookie de session et comment contourne-t-il la MFA ?

Un cookie de session est le jeton qu’une application web émet vers votre navigateur après que vous vous êtes connecté avec succès et avez passé la MFA, afin de ne pas redemander votre mot de passe à chaque page. Un infostealer copie ce cookie depuis le navigateur et l’envoie à un attaquant, qui le charge dans son propre navigateur et est servi comme s’il était vous — sans aucune invite de mot de passe ou de MFA. La MFA a fonctionné correctement ; l’attaquant a simplement volé l’artefact émis une fois qu’elle a réussi.

Les entreprises algériennes sont-elles réellement exposées, ou est-ce un problème occidental ?

Le risque est mondial et présent en Algérie. L’Algérie comptait 36,2 millions d’internautes au début de 2025, et la dépendance courante du pays aux appareils personnels et aux logiciels sans licence — un canal de diffusion d’infostealers fréquent — rend l’exposition locale plus élevée, et non plus faible. Tout employé se connectant à un compte professionnel depuis une machine personnelle ou domestique compromise peut voir son cookie de session volé.

Quelle est la défense la plus efficace qu’une petite équipe algérienne puisse déployer ?

Activer les identifiants de session liés à l’appareil (liage de session dans Google Workspace, protection des jetons dans Microsoft 365) est la correction structurelle la plus solide, car elle rend un cookie volé inutilisable sur tout autre appareil. Si ce n’est pas encore disponible pour votre plateforme, l’étape à plus forte valeur et à faible coût est d’interdire les logiciels craqués sur les machines de travail et de raccourcir la durée des sessions à quelques heures, ce qui limite considérablement la durée d’utilité d’un cookie volé.

Sources et lectures complémentaires