Brèches Réelles — Études de Cas SAPS

Brèche Uber (2022)

Cause : Réutilisation de mot de passe + fatigue MFA

Les attaquants ont acheté un mot de passe réutilisé d’un employé, bombardé celui‑ci de demandes MFA jusqu’à ce qu’il en approuve une, puis obtenu un accès interne complet — Slack, panneaux d’administration, code source, tout.

Analyse SAPS : Le mot de passe volé serait inutile, car les identifiants de service ne peuvent pas s’authentifier auprès de l’identité. La fatigue MFA devient sans effet lorsque l’attaquant ne peut pas atteindre l’IdP.

Colonial Pipeline (2021)

Cause : Mot de passe VPN réutilisé

Les attaquants ont utilisé un seul mot de passe divulgué pour accéder au réseau de Colonial, forçant l’arrêt des pipelines de carburant aux États‑Unis et déclenchant une urgence nationale.

Analyse SAPS : Un mot de passe réutilisé provenant d’un autre service ne peut pas s’authentifier auprès de l’IdP. Les identifiants de service ne peuvent pas accéder aux systèmes internes au‑delà de leur portée.

Brèche LastPass (2022–2023)

Cause : Compromission d’un compte développeur → escalade d’identité

Les attaquants ont volé les identifiants d’un développeur, accédé aux systèmes internes et escaladé jusqu’aux sauvegardes de coffres clients. Une seule identité compromise a eu un impact mondial.

Analyse SAPS : L’identifiant compromis serait isolé à son service. Avec SAPS, les identifiants de service ne peuvent pas accéder aux systèmes d’identité ni s’escalader vers d’autres services internes.

Brèche MGM Resorts (2023)

Cause : Ingénierie sociale + réinitialisation MFA

Les attaquants ont usurpé l’identité d’un employé, réinitialisé la MFA, pris le contrôle d’Okta et paralysé casinos, hôtels, guichets automatiques et machines à sous à Las Vegas.

Analyse SAPS : Les comptes de service ne peuvent pas déclencher de réinitialisations d’identité. SAPS empêche l’escalade du service vers l’identité, bloquant le pivot qui a permis la prise de contrôle.

Brèche du Portail de Support Okta (2023)

Cause : Vol de jetons de session

Les attaquants ont volé des jetons de session et accédé aux systèmes de support client d’Okta, affectant de nombreuses entreprises.

Analyse SAPS : Les jetons volés ne peuvent pas s’escalader en accès à l’identité. SAPS impose une séparation stricte entre les jetons de service et l’autorité d’identité.

Brèche EA Games (2021)

Cause : Témoins de session volés + contournement MFA

Les attaquants ont utilisé des témoins de session volés pour contourner la MFA, accéder à Slack, manipuler le soutien TI et voler du code source.

Analyse SAPS : Le détournement de session ne peut pas s’escalader en accès à l’identité. SAPS empêche les témoins ou jetons volés d’être utilisés pour accéder aux systèmes d’identité ou aux services internes privilégiés.

Brèche Rockstar Games (2022)

Cause : Compromission d’un compte employé

Les attaquants ont compromis le compte Slack d’un employé et accédé aux systèmes internes, divulguant des images de développement de GTA6.

Analyse SAPS : Un compte de service compromis (Slack) ne peut pas pivoter vers l’identité ou d’autres systèmes internes. SAPS isole chaque service pour empêcher la propagation latérale.

Vulnérabilité Chaîne d’Approvisionnement IA (2026)

Cause : Paquet open‑source compromis → exécution de code à distance

Des millions d’agents IA ont été exposés lorsqu’un paquet open‑source largement utilisé contenait une vulnérabilité critique. Les attaquants pouvaient injecter du code malveillant exécuté automatiquement, car le système faisait confiance au paquet par défaut.

Analyse SAPS : SAPS élimine la confiance implicite dans l’exécution de code. Aucun agent, paquet ou processus automatisé ne peut agir sans un événement d’authentification initié par l’utilisateur et lié cryptographiquement. Le code malveillant ne peut pas usurper l’utilisateur, ne peut pas s’authentifier et ne peut pas s’escalader. La chaîne d’attaque s’arrête à la frontière d’identité.