Pourquoi les navigateurs web sont devenus la porte d’entrée des cybercriminels pour compromettre les endpoints ?

Une fois entrée dans le réseau, le véritable objectif des pirates est d’atteindre les endpoints, qui recèlent à la fois les informations les plus intéressantes à dérober mais aussi le pouvoir de bloquer l’ensemble du système s’ils sont compromis.

Jérémie Schram, Directeur technique France de WatchGuard Technologies partage son expertise du sujet.

Selon nos rapports sur la sécurité Internet (2^ème trimestre 2025), 17 % des attaques visant les endpoints provenaient des navigateurs, ce qui représentait une augmentation de 5,5 % par rapport au trimestre précédent. Dans de nombreux cas, ces attaques s’appuient sur des extensions de navigateur apparemment légitimes qui demandent des autorisations non-essentielles et servent de point d’entrée initial, en particulier dans les navigateurs largement utilisés tels que Chrome. Comme cette activité semble sûre et s’inscrit dans le cadre des flux de travail normaux des utilisateurs, elle contourne souvent les contrôles de sécurité traditionnels, créant ainsi un écart critique entre le point de départ de l’attaque et l’endroit où elle cause finalement des dommages.

Cela pose un défi aux organisations. Comment détecter et stopper une menace qui commence dans le navigateur avant qu’elle ne s’exécute et fasse des dégâts ?

Les navigateurs comme vecteur d’attaque persistant

Du fait de leur nécessité pour accéder aux applications d’entreprise, gérer les identités, télécharger des fichiers et exécuter des processus qui interagissent directement avec le système d’exploitation de l’organisation, les navigateurs constituent un point d’entrée attractif pour les attaquants, car ils peuvent dissimuler une activité malveillante au sein de comportements légitimes. Contrairement à des vecteurs d’attaque plus directs, les cybercriminels qui utilisent les navigateurs ne cherchent pas toujours une exploitation immédiate. Dans de nombreux cas, l’objectif est d’établir une persistance. Ces menaces opèrent dans le flux de travail normal de l’utilisateur, et peuvent passer inaperçues pendant de longues périodes, donnant aux cybercriminels tout le temps nécessaire pour causer des dommages.

Le défi pour les organisations est que ce type d’attaque ne correspond pas aux modèles de détection traditionnels. Il n’existe pas de fichiers ou de comportements clairement malveillants pouvant être facilement identifiés par des signatures. De plus, parce que ce vecteur d’attaque est piloté par l’utilisateur, les contrôles préventifs seuls ne sont pas toujours suffisants. C’est pourquoi disposer d’une solution EDR n’est plus optionnel mais essentiel.

Jérémie Schram, Directeur technique France de WatchGuard Technologies

Les endpoints comme point de décision et de contrôle

Si le navigateur constitue le point d’entrée d’une attaque, c’est au niveau du endpoint que l’attaque se concrétise. C’est là que les processus sont lancés, que les identifiants sont consultés, que des fichiers supplémentaires sont téléchargés et que le mouvement latéral est initié. Pour cette raison, une protection efficace dépend de la capacité à détecter un comportement malveillant dans des applications de confiance et à y répondre immédiatement.

L’augmentation du nombre d’attaques qui passent par les navigateurs reflète la réalité du travail moderne. À mesure que davantage d’actions légitimes transitent par les navigateurs, les attaquants tentent d’en tirer profit, et le risque augmente en conséquence. Une sécurité efficace ne consiste pas à rajouter plus de produits ou de couches, mais permettre une protection proactive grâce à une intelligence coordonnée.

Lorsque les endpoints fonctionnent comme des points de décision intelligents — capables d’apprendre, de corréler, de communiquer et de répondre — la sécurité devient moins réactive et s’intègre naturellement aux opérations quotidiennes.