Comment éviter d’être la prochaine fuite "vendue au kilo"

1/ HelloWork : nouvelle fuite. Et comme d'hab, on imagine un hack technique spectaculaire. Sauf que non. Le pattern réel, c'est : identifiants volés → connexion légitime → aspiration tranquille. Pas de WAF qui détecte, pas d'alerte. Juste un compte qui exfiltre.

2/ Le problème n'est pas (toujours) votre infra. C'est que vos sessions et votre auth sont traitées comme des détails. Un infostealer récupère les creds. L'attaquant se connecte proprement. Et si vous n'avez pas de rate limit sur l'export, il aspire tout en mode Dyson.

3/ MFA par email = illusion de sécurité. Si les creds viennent d'un stealer, y'a de bonnes chances que la boîte mail soit aussi compromise. Résultat : l'attaquant reçoit le code de validation et entre tranquille. → TOTP minimum. Passkeys si possible. Email = 0 protection.

4/ Un compte compromis ne devrait JAMAIS pouvoir exfiltrer votre base entière. Rate limiting sur recherche/export, détection d'anomalies (volume, vitesse, géoloc), step-up auth sur actions sensibles. Objectif : limiter les dégâts même quand vous perdez un compte.

5/ Les sessions immortelles, c'est le trou dans la raquette. Un attaquant vole un cookie de session → il rejoue la session, bypass le MFA, reste connecté des jours. Sessions courtes, rotation des tokens, invalidation côté serveur. Pas négociable.

6/ Cas réel vu en pentest : panel admin accessible via cookie volé, valide 30 jours, aucune ré-auth demandée sur export CSV. 1 compte RH compromis = base clients/candidats exfiltrée en 20 minutes. Détection : 0. Alerte utilisateur : 0.

7/ Vous pouvez avoir un WAF, des scans, une infra nickel… et finir en "pack promo à 500€" sur un forum. Parce que la vraie surface d'attaque, c'est pas votre code. C'est vos sessions mal gérées et vos comptes sous-protégés.

8/ Détails complets + checklist terrain ici : https://unmotdepassepourri.substack.com/p/comment-eviter-detre-la-prochaine