La brèche **Figure** a exposé 967 200 enregistrements d'e-mails sans aucun exploit. Comprendre ce que cela permet — et pourquoi votre MFA ne peut pas le contenir — est un problème d'architecture, pas un problème d'éducation des utilisateurs. En février 2026, TechRepublic a rapporté que **Figure**, une société de services financiers, avait exposé près de 967 200 enregistrements d'e-mails dans une violation de données nouvellement divulguée. Aucune vulnérabilité n'a été enchaînée. Aucun zero-day n'a été utilisé. Les enregistrements étaient accessibles, et maintenant ils sont entre les mains d'adversaires. La couverture des brèches comme celle-ci a tendance à s'arrêter au nombre. C'est le mauvais endroit pour s'arrêter. Le nombre d'enregistrements exposés n'est pas l'événement — c'est l'inventaire de départ pour l'événement qui suit. Pour comprendre le risque réel, vous devez suivre la chaîne d'attaque qu'une exposition de credentials comme celle-ci permet, étape par étape, et demander honnêtement si les contrôles d'authentification dans votre environnement peuvent l'interrompre à n'importe quel point. La plupart ne le peuvent pas. Voici pourquoi. ## Ce que les adversaires font avec 967 000 enregistrements d'e-mails Les adresses e-mail exposées ne sont pas des données statiques. Ce sont des intrants opérationnels. Dans les heures qui suivent la disponibilité d'un ensemble d'enregistrements comme celui-ci, les adversaires l'exécutent à travers plusieurs flux de travail parallèles simultanément. Le premier est le credential stuffing. Les clients et employés de **Figure** ont presque certainement réutilisé leurs mots de passe sur différents services. Les adversaires combinent les adresses exposées avec des bases de données de brèches d'incidents antérieurs — **LinkedIn**, **Dropbox**, RockYou2024 — et testent les paires résultantes contre des portails d'entreprise, des passerelles VPN, **Microsoft 365**, **Okta**, et des fournisseurs d'identité à grande échelle. L'automatisation gère le volume. Les taux de succès des campagnes de credential stuffing contre des listes d'e-mails fraîches s'élèvent régulièrement à deux à trois pour cent. Sur 967 000 enregistrements, cela représente 19 000 à 29 000 paires de credentials valides. Le deuxième flux de travail est le phishing ciblé. Les outils assistés par IA peuvent désormais générer des campagnes de phishing personnalisées à partir d'une liste d'e-mails en quelques minutes. Les messages font référence à l'organisation par son nom, usurpent des communications internes et sont visuellement indiscernables de la correspondance légitime. Le ciblage spécifique au destinataire — en utilisant le titre du poste, le département ou les données publiques **LinkedIn** pour adapter l'appât — est une pratique standard, pas une capacité réservée aux acteurs étatiques. Le troisième est l'ingénierie sociale via le help desk. Armés d'une adresse e-mail valide et d'OSINT de base, les adversaires usurpent l'identité d'employés lors d'appels aux équipes de support informatique, demandant des réinitialisations de mot de passe, des réinitialisations d'appareils MFA, ou des déblocages de compte. Ce vecteur d'attaque contourne entièrement la technologie d'authentification — il cible le processus humain qui existe pour gérer les échecs d'authentification. Dans chacun de ces flux de travail, aucune vulnérabilité technique n'est requise. L'objectif de l'adversaire n'est pas de s'introduire. C'est de se connecter en tant qu'utilisateur valide. La brèche ne crée pas d'accès. Elle crée les conditions dans lesquelles l'accès devient réalisable par le système d'authentification lui-même. <div> <h2><a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=BleepingComputer&amp;utm_medium=Content-Syndication">Transformez l'authentification en assurance</a></h2> <p>La plateforme d'identité biométriquement assurée de **Token** est conçue pour les organisations où l'échec de l'authentification n'est pas un résultat acceptable.</p> <p>Découvrez comment **Token** peut renforcer l'assurance d'identité dans votre pile IAM, SSO &amp; PAM existante.</p> <p><a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=BleepingComputer&amp;utm_medium=Content-Syndication">En savoir plus</a></p> </div> ## Pourquoi le MFA hérité ne peut pas interrompre cette chaîne C'est la partie de l'analyse que la plupart des post-mortems d'incidents sous-estiment. Les organisations lisent une exposition de credentials et concluent que leur déploiement MFA les protège. Pour la chaîne d'attaque décrite ci-dessus, cette conclusion est structurellement incorrecte. Les outils modernes des adversaires exécutent ce que les chercheurs en sécurité appellent un relais de phishing en temps réel, parfois appelé attaque de l'homme du milieu (AiTM). La mécanique est précise. Un adversaire construit un proxy inverse qui se situe entre la victime et le service légitime. Lorsque la victime saisit ses credentials sur la page usurpée, le proxy transmet ces credentials au vrai site en temps réel. Le vrai site répond par un défi MFA. Le proxy transmet ce défi à la victime. La victime répond — car la page semble légitime et l'invite MFA est réelle. Le proxy transmet la réponse. L'adversaire reçoit une session authentifiée. Le MFA par notification push, les codes à usage unique SMS et les applications d'authentification TOTP sont tous vulnérables à ce relais. Ils authentifient l'échange d'un code. Ils ne vérifient pas que l'individu qui effectue l'échange est le titulaire du compte autorisé. Ils ne peuvent pas distinguer une session directe d'une session relayée. Les kits d'outils qui automatisent cette attaque — Evilginx, Modlishka, Muraena, et leurs dérivés — sont publiquement disponibles, activement maintenus, et ne nécessitent aucun savoir-faire avancé pour fonctionner. La capacité n'est pas exotique. C'est la base. La fatigue MFA aggrave cela. Les adversaires qui obtiennent des credentials valides mais ne peuvent pas relayer la session en temps réel déclencheront plutôt des notifications push répétées jusqu'à ce qu'un utilisateur en approuve une par frustration ou confusion. Cette attaque a été utilisée avec succès contre des organisations dotées de programmes de sécurité matures, y compris dans des incidents qui ont reçu une couverture publique importante. Le fil conducteur commun à toutes ces techniques : le MFA hérité place un être humain au point de décision final de la chaîne d'authentification, puis s'appuie sur cet humain pour prendre la bonne décision dans des conditions spécifiquement conçues pour le déjouer. ## Le problème structurel que le MFA hérité ne peut pas résoudre La réponse standard de l'industrie de la sécurité aux échecs d'authentification est l'éducation des utilisateurs. Former les gens à reconnaître le phishing. Leur apprendre à vérifier les invites MFA inattendues. Leur rappeler de ne pas approuver les demandes qu'ils n'ont pas initiées. Cette réponse n'est pas fausse. Elle est insuffisante, et l'insuffisance est architecturale, pas motivationnelle. Une attaque par relais ne nécessite pas qu'un utilisateur reconnaisse une page de phishing. L'invite MFA qu'ils reçoivent est réelle, émise par le service légitime, délivrée via la même application qu'ils utilisent tous les jours. Il n'y a rien d'anormal à détecter pour l'utilisateur. L'attaque est conçue pour être invisible à l'humain dans la boucle — et elle l'est. Le problème plus profond est que l'architecture d'authentification que la plupart des organisations ont déployée n'a pas été conçue pour répondre à la question qui compte réellement dans un environnement post-brèche : l'individu autorisé était-il physiquement présent et biométriquement vérifié au moment de l'authentification ? Les notifications push ne répondent pas à cette question. Les codes SMS ne répondent pas à cette question. TOTP ne répond pas à cette question. Les jetons matériels USB répondent à une question connexe mais différente — ils prouvent que l'appareil enregistré était présent, pas la personne autorisée. Les auditeurs, les régulateurs et les assureurs cyber distinguent de plus en plus explicitement cette distinction. La question « pouvez-vous prouver que l'individu autorisé était là ? » apparaît dans les évaluations CMMC, les examens NYDFS et les questionnaires des souscripteurs. La présence de l'appareil n'est plus acceptée comme un substitut à la présence humaine dans les contextes d'accès à enjeux élevés. ## Ce que l'authentification résistante au phishing nécessite réellement **FIDO2**/WebAuthn est souvent cité dans cette conversation, et c'est une étape significative en avant — mais ce n'est pas suffisant en soi. Les implémentations standard de passkey lient le credential à un appareil ou à un compte cloud. Les passkeys synchronisées dans le cloud héritent des vulnérabilités du compte cloud : attaques de SIM swap contre le numéro de téléphone de récupération, prise de contrôle de compte via le phishing de credentials, exploitation du flux de récupération. Les passkeys liées à l'appareil prouvent la possession de l'appareil. Elles ne prouvent pas la présence humaine. L'authentification résistante au phishing qui ferme le vecteur d'attaque par relais nécessite trois propriétés simultanément : * **Liaison cryptographique d'origine :** le credential d'authentification est mathématiquement lié au domaine d'origine exact. Un site usurpé ne peut pas produire une signature valide car le domaine ne correspond pas. L'attaque échoue avant même que tout credential ne soit transmis. * **Clés privées liées au matériel qui ne quittent jamais le matériel sécurisé :** la clé de signature ne peut pas être exportée, copiée ou exfiltrée. Le compromis du point de terminaison ne compromet pas le credential. * **Vérification biométrique en direct de l'individu autorisé :** pas un modèle biométrique stocké qui peut être rejoué, mais une correspondance en temps réel qui confirme que la personne autorisée est physiquement présente au moment de l'authentification. Lorsque les trois propriétés sont présentes, une attaque par relais n'a aucune voie viable. L'adversaire ne peut pas produire une signature cryptographique valide à partir d'un site usurpé. Il ne peut pas relayer une session car la liaison cryptographique échoue dès que l'origine change. Il ne peut pas utiliser un appareil volé car la vérification biométrique échoue sans l'individu autorisé. Il ne peut pas utiliser l'ingénierie sociale pour obtenir une approbation car il n'y a pas d'invite d'approbation — l'authentification s'achève soit avec une correspondance biométrique en direct sur le matériel enregistré, soit elle ne s'achève pas. ## Token : une identité cryptographique qui vérifie l'humain, pas l'appareil <a rel="nofollow noopener" href="https://www.tokencore.com/?utm_campaign=41564278-Content-Syndication-BleepingComputer-When-Attackers-Already-Have-the-Keys&amp;utm_source=B