Dans 80% des cyberattaques, le navigateur web est le maillon faible.

https://www.clubic.com/actualite-577572-dans-80-des-cyberattaques-le-navigateur-web-est-le-maillon-faible.html
Source : HackerNews — https://thehackernews.com/2025/09/when-browsers-become-attack-surface.html

Le navigateur Web est devenu la cible privilégiée pour orchestrer une cyberattaque avec des groupes spécialisés dans les moindres détails techniques de leur fonctionnement.

On estime que plus de 80% des incidents de sécurité en entreprise implique au début le navigateur web.
Le groupe Scattered Spider en a fait sa spécialité depuis deux ans.

Ils passent au crible le fonctionnement de Chromium, Firefox ou Safari pour des opérations chirurgicales. Ils commencent souvent leurs attaques par une phase de reconnaissance utilisant les API web comme WebRTC ou les techniques de fingerprinting pour cartographier l'environnement cible. Le groupe identifie les applications fréquemment utilisées, les extensions installées, et trace les comportements spécifiques des utilisateurs pour optimiser ses futures attaques.

Ils utilisent :

— Le vol de sessions authentifiées qui contourne l'authentification multi-facteurs (MFA) en capturant directement les tokens et cookies stockés dans la mémoire du navigateur.
Concrètement, quand un employé se connecte à son espace Office 365 ou Google Workspace, le navigateur conserve des jetons d'authentification pour éviter de redemander le mot de passe. Si le groupe récupère ces éléments, il peut accéder aux comptes sans jamais posséder les identifiants originaux.

— Les failles zero-day, des brèches permettant, notamment, de voler des clés API ou des tokens de session directement depuis une page web apparemment anodine.

— La technique du Browser-in-the-Browser (BitB). Les pirates utilisent des overlays de phishing sophistiqués, lesquels reproduisent parfaitement l'interface de connexion d'un service légitime. Mais en arrière-plan, ils capturent les identifiants. Ces fausses fenêtres contournent les outils de détection traditionnels comme les solutions EDR (Endpoint Detection and Response).

— Les scripts malveillants s'exécutent directement dans le navigateur ou utilise de fausses extensions pour installer des charges utiles. Ces dernières peuvent demander des permissions invasives : accès à tous les sites visités, lecture et modification du contenu, interaction avec le stockage local. Une fois installées, elles deviennent des outils d'espionnage permanents.

— Le remplissage automatique des navigateurs leur permet d'extraire les mots de passe sauvegardés, les informations de cartes bancaires et les données personnelles stockées localement, sans que l'utilisateur s'en aperçoive.