En janvier 2024, Linus Tech Tips a perdu une grande partie de sa vidéothèque et trois de ses chaînes YouTube face à un attaquant. Le gestionnaire de mots de passe était intact, la 2FA était activée, personne dans l'équipe n'a reçu la moindre alerte de connexion. L'attaquant ne s'est pas connecté, il n'en avait pas besoin. Il disposait d'un cookie de session que le navigateur de la victime acceptait déjà comme preuve de connexion.
Voilà à quoi ressemble la compromission de comptes aujourd'hui. Les mots de passe ne sont quasiment plus cassés, les codes 2FA quasiment plus interceptés. Ce que l'on vole, ce sont les jetons de session : ces cookies dans lesquels ton navigateur a noté « cet utilisateur est déjà authentifié ». Une fois extraits, il suffit de les rejouer dans un autre navigateur pour accéder au compte directement, sans aucune vérification supplémentaire.
Ce qu'est vraiment une session
Quand tu te connectes à un service, le serveur ne vérifie ton mot de passe et ton second facteur qu'une seule fois. Il envoie ensuite à ton navigateur un cookie, en général un long jeton aléatoire. À chaque requête suivante, ton navigateur renvoie ce cookie et le serveur l'accepte comme preuve que tu es déjà connecté. C'est pour cette raison que tu n'as pas à te ré-authentifier sur chaque page.
Ces jetons restent valides quelques jours à quelques semaines, en général. Gmail accepte les sessions jusqu'à deux semaines, Slack et Discord jusqu'à un an, et certains outils SaaS n'expirent tout simplement jamais. Du point de vue du serveur, celui qui détient le jeton est l'utilisateur légitime, peu importe l'appareil qui le présente.
Le cookie vit dans une base de données au sein de ton profil de navigateur, dans des fichiers comme Cookies ou Network State du dossier utilisateur de Chrome. N'importe quel programme exécuté avec tes droits peut le lire. Windows chiffre certaines valeurs, mais avec la clé DPAPI du même compte, à laquelle le programme a évidemment accès.
Comment les cookies se font voler aujourd'hui
Cette famille d'attaques porte un nom : les infostealers. Des programmes comme RedLine, Raccoon, Lumma ou Stealc se louent en mode service pour quelques centaines de dollars par mois. Ils tournent quelques secondes sur la machine de la victime, aspirent cookies, mots de passe, données d'autofill et wallets crypto, puis s'effacent.
Le vecteur d'entrée le plus courant reste les logiciels crackés et les cheats de jeux. Derrière, on trouve des campagnes de malvertising, de faux installeurs d'outils connus et des programmes prétendument piratés. Une fois l'infection lancée, il faut moins d'une minute pour que l'ensemble des données du navigateur soit dans les mains de l'attaquant.
Les paquets volés finissent en vente sur des marketplaces comme Russian Market, Genesis ou 2easy. Ce que tu y achètes, ce n'est pas un simple mot de passe, c'est un bot complet : un lot de cookies, avec fingerprint, user agent et historique d'IP. Avec ça, un acheteur reproduit ton environnement de navigation d'assez près pour passer sous le radar du moteur de risque du service.
Pourquoi ton second facteur ne sert à rien ici
La 2FA protège la phase de connexion. Une fois cette connexion validée, la session est émise. Le cookie dit au serveur « tu m'as déjà vérifié, il y a trois jours », et le serveur le croit. Un attaquant qui rejoue ce cookie court-circuite tout le parcours d'authentification, 2FA et contrôle biométrique compris.
Certains services rattachent la session à une adresse IP ou à l'empreinte de l'appareil. Cela aide face à un appareil franchement différent, mais pas face à un attaquant qui aligne empreinte et IP. Or c'est précisément ce que les marketplaces vendent avec le cookie. Ton équipe sécurité ne voit, au mieux, qu'une connexion depuis ta ville, à tes horaires de bureau.
Les clés matérielles FIDO2 aident au moment de la connexion. Elles n'aident plus rien face à un cookie déjà émis. Sur les comptes vraiment critiques, des approches de token binding (Device-Bound Session Credentials, DBSC) commencent à émerger, mais en 2026 le déploiement reste partiel. D'ici là, un cookie volé reste un cookie valide.
Comment repérer un vol
Les alertes de connexion classiques ne voient rien quand un attaquant réutilise ta session au lieu de se reconnecter. Les signaux sont plus discrets. Des messages envoyés que tu n'as jamais écrits, c'est un indicateur clair. Des filtres ou règles de redirection apparus sans que tu y sois pour rien sont presque toujours laissés par l'attaquant. Et si des amis te font remarquer un message dont tu n'as aucun souvenir, le signal d'alerte est sans ambiguïté.
Sur les services qui exposent la gestion des sessions (Google, GitHub, Discord), jette un œil à la liste des appareils actifs. Les sessions venant de villes, de navigateurs ou de systèmes d'exploitation inattendus doivent être révoquées immédiatement. Change ensuite le mot de passe, parce que le bouton de déconnexion passe par une nouvelle authentification et n'invalide pas systématiquement toutes les sessions volées.
Si tu soupçonnes un infostealer, changer les mots de passe ne suffit pas. Dans l'ordre : réinstalle la machine ou isole-la pour analyse, change les mots de passe depuis un poste propre, invalide toutes les sessions, fais tourner les secrets 2FA.
Protéger ses sessions sans vivre en ermite
Le geste le plus efficace, c'est d'empêcher les cookies sensibles d'exister sur ta machine principale. Si tu te connectes via un navigateur isolé qui est effacé à la fin de la session, il ne reste aucun cookie sur une machine encore allumée. Un infostealer sur ton portable ne trouve plus rien à voler.
En pratique, un modèle à plusieurs niveaux marche très bien. Les connexions du quotidien sur des sites à faible enjeu restent dans ton navigateur habituel. Les comptes à forte valeur, tout ce qui sert à déplacer de l'argent, à déployer du code, à gérer des budgets publicitaires ou à voir des données clients, ne s'ouvrent que dans une session isolée. Changer cette habitude reste la seule chose qui mette véritablement en échec ce type d'attaque. Pour la vision plus large, va voir How Hackers Use Your Browser History.
Et si tu avais un vrai bureau, partout, sur n'importe quel appareil ?
Teste Browser.lol gratuitement et retrouve toute la puissance d'un PC, même depuis ton téléphone.
Ouvrir mon bureau virtuelRien à installer • Tous les appareils
