On a longtemps cru que un bon mot de passe et la double authentification (2FA) suffisaient à protéger ses comptes. Mauvaise nouvelle : en 2026, ce n’est plus vrai ! Les cybercriminels ont considérablement affiné leurs techniques. Phishing en temps réel, malwares cachés dans des tests techniques, attaques sur WiFi public… l’arsenal s’est étoffé.
Face à ces menaces, les experts sont de plus en plus catégoriques : les habitudes de sécurité doivent évoluer. Et vite.
Voici un tour d’horizon des nouvelles attaques qui circulent… et surtout des réflexes indispensables pour éviter les mauvaises surprises.
Les passkeys, la révolution qui remplace les mots de passe
Le mot de passe est depuis longtemps considéré comme le maillon faible de la sécurité numérique. Trop simple, réutilisé sur plusieurs sites, parfois stocké dans un fichier ou sur un post-it… les mauvaises pratiques sont légion.
Même un mot de passe complexe peut devenir inutile s’il est utilisé sur plusieurs services. Une seule fuite de données suffit alors pour compromettre plusieurs comptes.
C’est précisément pour résoudre ce problème que les passkeys se généralisent. Ce système d’authentification basé sur la norme FIDO2 remplace le mot de passe par une clé cryptographique stockée directement sur l’appareil de l’utilisateur.
Concrètement, la connexion devient simple :
- une empreinte digitale
- la reconnaissance faciale
- ou le déverrouillage du téléphone
Et voilà, vous êtes connecté.
Le grand avantage ? Il n’y a plus de mot de passe à voler. Le phishing devient quasiment impossible.
Les géants du numérique ont déjà adopté ce standard :
- Apple
- Microsoft
Depuis iOS 16, macOS Ventura ou encore Windows 11, la technologie est pleinement intégrée.
De nombreux services populaires l’utilisent déjà comme GitHub, PayPal ou Amazon.
Petit conseil cependant : pensez à enregistrer vos passkeys sur plusieurs appareils. Perdre le seul appareil contenant la clé peut compliquer la récupération du compte.
Les gestionnaires de mots de passe restent indispensables
Même si les passkeys progressent, des centaines de comptes fonctionnent encore avec des mots de passe classiques.
Et dans ce cas, un gestionnaire de mots de passe devient incontournable.
Pourquoi ? Parce qu’il permet de :
- générer des mots de passe uniques et complexes
- éviter la réutilisation entre plusieurs services
- stocker les identifiants dans un coffre chiffré
Certaines solutions proposent même des fonctionnalités avancées comme le déni plausible. Le principe : un mot de passe secondaire permet d’ouvrir un faux coffre contenant de fausses données.
Ce mécanisme peut s’avérer utile dans certains contextes sensibles, par exemple pour des journalistes, des chercheurs ou des voyageurs confrontés à des contrôles numériques.
Le phishing capable de contourner la 2FA
Beaucoup d’utilisateurs pensent que la double authentification est une protection absolue. En réalité, certaines attaques modernes peuvent contourner la 2FA en temps réel.
Un exemple récent est la plateforme de phishing appelée Tycoon 2FA, démantelée par les autorités européennes.
Son fonctionnement est redoutable :
- la victime reçoit un email imitant parfaitement celui d’un service légitime
- elle saisit ses identifiants sur une fausse page
- elle entre également son code de double authentification
À ce moment précis, un serveur intermédiaire transmet immédiatement ces informations au vrai site. Résultat : l’attaquant se connecte à votre place, malgré la 2FA.
La protection la plus solide contre ce type d’attaque reste les clés de sécurité physiques compatibles FIDO2, comme les clés USB d’authentification.
Ces dispositifs utilisent un mécanisme cryptographique qui empêche les attaques par proxy. Impossible d’intercepter l’authentification.
Les réseaux WiFi publics restent risqués
Se connecter au WiFi d’un hôtel, d’un café ou d’un aéroport paraît anodin. Pourtant, ces réseaux peuvent être dangereux.
Certains équipements WiFi disposent d’une fonction appelée isolation client, censée empêcher les appareils connectés au même réseau de communiquer entre eux.
Mais des chercheurs ont démontré que cette protection peut parfois être contournée.
Dans ce scénario, un attaquant connecté au même réseau pourrait intercepter certains échanges non chiffrés ou tenter des attaques réseau.
La meilleure protection reste simple :
- utiliser un VPN fiable sur les réseaux publics
- ou privilégier le partage de connexion mobile
Autre réflexe utile : désactiver la connexion automatique aux réseaux WiFi connus, afin d’éviter de se connecter par erreur à un faux hotspot portant le même nom.
Les faux entretiens d’embauche qui installent des malwares
Parmi les techniques les plus surprenantes, certaines campagnes ciblent désormais les développeurs… via de fausses offres d’emploi.
Le scénario est bien rodé :
- un recruteur contacte la victime pour un poste technique
- un entretien vidéo est organisé
- un “test technique” est envoyé sous forme de dépôt GitHub
Le piège ? Le projet contient une dépendance malveillante qui installe un malware lors de l’exécution.
Une fois installé, celui-ci peut voler :
- des clés SSH
- des tokens API
- des cookies de session
- ou des identifiants stockés sur la machine
Plusieurs chercheurs ont documenté ces campagnes, notamment dans une analyse publiée par l’ANSSI sur les menaces informatiques ciblées.
Pour éviter ce piège, les experts recommandent de tester tout code inconnu dans une machine virtuelle et de vérifier l’identité réelle du recruteur.
Les réflexes essentiels pour protéger ses comptes
Face à ces menaces, quelques pratiques permettent déjà de renforcer considérablement la sécurité :
- activer les passkeys lorsque le service le permet
- utiliser un gestionnaire de mots de passe dédié
- protéger les comptes critiques avec une clé de sécurité physique
- utiliser un VPN sur les réseaux publics
- exécuter tout code inconnu dans une machine virtuelle
- vérifier systématiquement l’adresse des sites web
- désactiver la connexion automatique au WiFi
Cela peut sembler beaucoup. En réalité, la plupart de ces protections se configurent une seule fois.
Et dans un monde où les cyberattaques évoluent sans cesse, ces quelques réglages peuvent faire toute la différence. Car aujourd’hui, la vraie faille de sécurité n’est plus seulement technique : elle se cache souvent dans nos habitudes numériques.
