Skip to content
Cybersécurité

Exposed credentials : comment l'EASM détecte vos fuites de données avant les attaquants

Des millions de credentials d'entreprises circulent sur le dark web. En moyenne, il s'écoule 146 jours entre la fuite et sa découverte. L'EASM surveille les fuites en continu et vous alerte avant que les attaquants n'agissent.

Thomas Leroy
13 janvier 20256 min

Exposed credentials : comment l'EASM détecte vos fuites de données avant les attaquants

En 2024, plus de 3,2 milliards de credentials ont été mis en vente sur des forums cybercriminels. Une fraction significative appartient à des employés d'entreprises — des identifiants valides qui permettent un accès direct à leurs systèmes.

Le problème ? La plupart des organisations ne savent pas que leurs credentials ont fuité. En moyenne, 146 jours s'écoulent entre la fuite et sa découverte interne.

D'où viennent les fuites de credentials ?

Stealers (logiciels voleurs d'identifiants)

Des malwares spécialisés (Raccoon Stealer, RedLine, Vidar) infectent les ordinateurs des employés (souvent à domicile, sur des appareils personnels) et extraient tous les mots de passe sauvegardrés dans les navigateurs.

Volume : Raccoon Stealer seul a volé plus de 50 millions de credentials avant son démantèlement en 2022.

Violations de données tierces

Vos employés utilisent leurs emails professionnels pour s'inscrire à des services tiers (LinkedIn, forums, etc.). Quand ces services sont piratés, leurs credentials deviennent publics.

Phishing et social engineering

Credentials collectés directement via des campagnes de phishing ciblé.

Commits GitHub accidentels

Des clés API, tokens et credentials committés par erreur dans des repositories publics ou privés accessibles.

Les risques associés aux credentials compromis

Type de credentialRisqueImpact potentiel
Email corporate + mot de passeAccès messagerie, M365, Google WorkspaceAccès aux emails, fichiers, contacts
VPN credentialsAccès réseau interneMouvement latéral, ransomware
Credentials Active DirectoryContrôle des systèmes WindowsPrivilège escalation, exfiltration
Clés API cloudAccès AWS/Azure/GCPCryptojacking, exfiltration, destruction
Credentials base de donnéesAccès direct aux donnéesVol de données clients, RGPD

Comment l'EASM monitore vos credentials compromis ?

L'EASM surveille plusieurs sources pour détecter les credentials associés à votre organisation :

Sources surveillées

  • Have I Been Pwned (HIBP) : Base de données de référence, 15 milliards de credentials
  • Forums cybercriminels publics : Exploit.in, BreachForums, RaidForums
  • Telegram : Chaînes de distribution de stealers logs
  • GitHub : Repositories avec credentials accidentels
  • Paste sites : Pastebin, Ghostbin et équivalents

Méthode de détection

L'EASM recherche les adresses email @votredomaine.com dans ces sources et alerte immédiatement quand une fuite est détectée.

Que faire quand un credential est détecté dans une fuite ?

Actions immédiates (< 1 heure) :

  1. Réinitialiser le mot de passe du compte compromis
  2. Invalider toutes les sessions actives
  3. Vérifier l'historique des connexions pour détecter un accès illigitime
  4. Activer le MFA si pas encore en place
  5. Notifier l'employé concerné

Investigation (< 24 heures) :

  1. Déterminer l'origine de la fuite (stealer, violation tierce, phishing)
  2. Évaluer si d'autres comptes de l'employé sont compromis
  3. Vérifier si le credential a déjà été utilisé

Breach Atlas Credential Monitoring

Brech Atlas surveille automatiquement les fuites de credentials pour votre domaine :

  • Monitoring continu de 15+ sources de fuites
  • Alerte P1 immédiate par email et Slack
  • Détails sur la source et la date de la fuite
  • Instructions de remédiation step-by-step
  • Historique des fuites pour audit de conformité (RGPD, NIS2)
← Retour au blog