L'association britannique à but non lucratif de lutte contre la fraude Cifas vient de publier une étude qui devrait inquiéter tous ceux qui dirigent une entreprise ou qui achètent auprès d'une entreprise : un salarié sur huit dans les grandes entreprises a déjà vendu ses identifiants de connexion professionnels ou connaît quelqu'un qui l'a fait.
Internet regorge d'identifiants piratés que les employés utilisent pour accéder aux systèmes de leur entreprise. La société de veille sur les menaces KELA a recensé près de 2,9 milliards d'identifiants piratés à l'échelle mondiale en 2025. La plupart proviennent d'attaques de phishing et de logiciels de vol d'informations. Mais comme certains employés cherchent à gagner rapidement de l'argent, les cybercriminels n'ont qu'à leur faire une offre.
Les initiés dont personne ne se soucie
Cifas a interrogé 2 000 employés d'entreprises comptant au moins 1 000 salariés. Parmi eux, 13 % ont admis avoir vendu leurs identifiants d'accès professionnels au cours des 12 derniers mois, ou connaître quelqu'un qui l'avait fait. Étonnamment, comme le souligne le rapport, les vendeurs agissaient ainsi « souvent en pensant que cela n'avait pas de conséquences graves ».
Flash info : vendre vos identifiants de connexion n'est pas anodin. Les cybercriminels s'en emparent pour prendre le contrôle de votre compte et s'en servir à des fins malveillantes. Selon Verizon, le nombre de prises de contrôle de comptes aux États-Unis a bondi de 6 % l'année dernière, pour dépasser les 78 000 cas.
De nombreux comptes piratés sont des comptes personnels utilisés pour divers services, allant des réseaux sociaux aux sites de streaming en ligne, sans oublier, bien sûr, les comptes bancaires. Mais beaucoup d’autres sont des comptes liés à des systèmes d’entreprise tels que Microsoft 365, Salesforce et d’autres plateformes contenant des données sensibles de l’entreprise. Ces informations confidentielles constituent des marchandises de grande valeur pour les criminels, qui peuvent ensuite les revendre sur le marché noir.
Votre patron a plus de chances de conclure une vente que vous
C'est là qu'une technique courante appelée « principe du privilège minimal » devrait idéalement entrer en jeu.
L'idée est qu'un compte d'entreprise en ligne ne doit avoir accès qu'aux informations dont il a besoin. Ainsi, Jim, à la cantine, devrait pouvoir accéder au système de commande de repas, mais pas à l'intégralité de la base de données clients. De cette façon, même si le compte de Jim venait à être piraté, le pire que les pirates pourraient faire serait de vous priver de saucisses demain.
Le problème, c'est que, selon le rapport, les cadres supérieurs sont encore plus enclins à vendre les identifiants de leurs comptes que les employés subalternes. Trente-deux pour cent des cadres supérieurs jugent cette pratique justifiable, tout comme 36 % des directeurs, 43 % des dirigeants de haut niveau et, fait surprenant, quatre chefs d'entreprise sur cinq. De par leurs fonctions, même avec un accès soumis au principe du « privilège minimal », leurs comptes peuvent toujours donner accès à des fonctions et à des données sensibles du système.
Ce n'est pas seulement un problème qui touche le Royaume-Uni
L'étude du Cifas porte spécifiquement sur le Royaume-Uni, mais cela ne s'arrête probablement pas là. Nous avons constaté que des employés de plusieurs entreprises vendaient l'accès à des comptes ou à des données de leur entreprise. Par exemple, la société de cryptomonnaie Coinbase a révélé l'année dernière que des employés d'une société de sous-traitance basée au Bangladesh avaient vendu des données clients à hackers.
Les identifiants compromis sont monnaie courante. Nos propres recherches ont révélé qu’au cours d’une période de 30 jours seulement, 111 entreprises du classement Fortune 500 ont vu les identifiants de leurs employés divulgués. Sur le long terme, 363 de ces entreprises (soit 73 %) ont perdu le contrôle d’au moins un identifiant d’employé.
Le fait que des employés vendent leurs identifiants d'accès n'est pas seulement préjudiciable aux entreprises qui les emploient. C'est également préjudiciable aux clients.
Lorsqu’un mot de passe de dirigeant est mis en vente, un fichier client risque de ne pas tarder à suivre, même si ce n’est probablement pas le dirigeant lui-même qui le vend. Malwarebytes que 91 % des entreprises du classement Fortune 500 ont vu les identifiants de leurs clients divulgués, et les comptes piratés constituent un excellent moyen d’y accéder.
Le risque lié aux initiés n'est donc pas seulement un problème pour les entreprises. C'est aussi un problème pour les consommateurs. Cela nous rend moins enclins à communiquer nos données personnelles à de grandes entreprises sans nous demander pourquoi elles en ont besoin.
Votre nom, votre adresse et votre numéro de téléphone sont probablement déjà en vente.
Les courtiers en données collectent et vendent vos données personnelles à quiconque est prêt à payer. Malwarebytes Personal Data Remover lesPersonal Data Remover , supprime vos informations, puis veille sur la situation pour s'assurer que cela reste ainsi.
