
Pas de mot de passe volé, pas de MFA contournée, et pourtant l’attaquant a accédé au compte de l’utilisateur : c’est l’un des scénarios de compromission les plus courants aujourd’hui. La faute au vol de session, une technique qui contourne la MFA sans jamais avoir besoin du mot de passe ni du second facteur. Dans cet article, je vous propose de comprendre pourquoi l’identité seule ne suffit plus à protéger un accès, puis nous verrons comment Specops Device Trust referme cet angle mort en liant chaque accès à un appareil de confiance. Ainsi, un attaquant ne peut pas se connecter au compte d’un utilisateur depuis une machine non approuvée.
Cet article inclut une communication commerciale pour Specops Software.
Pourquoi la MFA et la conformité Intune ne suffisent pas
La réponse classique face à ces risques consiste à exiger un appareil conforme via Microsoft Intune et l’accès conditionnel. C’est une bonne pratique, et elle fonctionne bien… sur les appareils enrôlés dans Intune. Le souci, c’est que cette approche laisse deux angles morts : les appareils non gérés (BYOD, prestataires) et la dérive de conformité en cours de session. Je vous explique.
Le premier, ce sont les appareils que vous ne gérez pas, ceux sur lesquels vous n’avez pas la main. Les appareils personnels : vous ne pouvez pas les enrôler de force dans un MDM. Résultat, soit vous bloquez leur accès (c’est le choix que font certaines entreprises), soit vous les laissez passer et vous acceptez le risque.
Le second, c’est la temporalité de l’évaluation. La conformité Intune est un état pré-calculé : l’appareil se signale périodiquement, et son statut est ensuite consommé par l’accès conditionnel au moment de l’émission du jeton. Entre deux évaluations, une dérive passe inaperçue. Un poste sain à 9h00 peut ne plus l’être à 9h40 sans que rien ne le détecte avant la prochaine demande de jeton.
Une couche de Device Trust répond à ces problématiques : la productivité et le BYOD sont conservés, tandis que la posture de sécurité n’est pas impactée.
Qu’est-ce que Specops Device Trust ?
Specops Device Trust est une solution de Zero Trust issue de la technologie Infinipoint, un éditeur israélien racheté par Outpost24 fin 2025. L’occasion de rappeler qu’Outpost24 est une société fondée en 2001, avec un siège en Suède et des équipes présentes dans plusieurs pays, dont la France.
La solution Specops Device Trust se présente sous la forme d’un service SaaS qui s’intercale dans le flux d’authentification pour vérifier non seulement l’utilisateur, mais aussi l’appareil depuis lequel il se connecte. Ce second point est particulièrement important.
La solution s’appuie sur plusieurs principes :
Association identité <-> appareil de confiance : chaque utilisateur est épinglé à ses appareils approuvés. Un accès ne peut aboutir que depuis une machine reconnue.
Vérification de la posture de l’appareil et en continu : la conformité de l’appareil (chiffrement, système à jour, antivirus actif, configuration du système, pare-feu, etc.) est évaluée au moment de la connexion, puis réévaluée tout au long de la session (vérification continue).
Remédiation par l’utilisateur : plutôt que de bloquer sèchement, la solution propose une correction en un clic (pour mettre à jour le système, par exemple)) assortie de périodes de grâce, pour que l’utilisateur effectue lui-même la remédiation. Surtout, il peut mettre sa machine en conformité et ainsi se connecter sans jamais ouvrir de ticket auprès du support.
Couverture des appareils gérés et non gérés : Windows, macOS, Linux et mobiles, y compris le BYOD et les postes de prestataires, sans imposer d’enrôlement MDM.
Intégration directe à un fournisseur d’identité : la solution se branche sur l’IdP (Microsoft Entra ID dans notre cas) pour ajouter la vérification d’appareil au parcours d’authentification. D’autres idP sont pris en charge comme Okta, Google, Citrix, PingOne ou encore Keycloak (et OpenID Connect d’une façon générale).
Les trois situations où Specops Device Trust change la donne
Prenons le temps d’étudier trois scénarios d’utilisation réels.
Bloquer le rejeu d’une session volée
Prenons un cas concret. Guy Mauve ([email protected]) travaille parfois depuis son ordinateur personnel, PC-GUY, une machine que le service informatique ne gère pas. C’est le principe même du BYOD. Il se connecte à Microsoft 365, valide sa MFA, consulte ses e-mails : rien d’anormal. Sauf que la machine PC-GUY, a été infectée par un infostealer quelques heures plus tôt. Sur l’ordinateur familial, on ne sait pas vraiment qui fait quoi dans de nombreux foyers.
Quelques minutes plus tard, un attaquant injecte ce cookie dans son propre navigateur, sur sa propre machine, et accède à la boîte Outlook de Guy. Il n’a pas eu besoin de son mot de passe. Il n’a pas eu besoin de son téléphone. La session était déjà authentifiée : Microsoft Entra ID la considère comme légitime.
C’est ce que l’on appelle le vol de cookie, associé à la méthode pass-the-cookie. Il s’agit d’une technique de détournement de session (référencée T1539 dans le référentiel MITRE ATT&CK) qui consiste à voler un cookie d’authentification, puis à le rejouer dans un autre navigateur pour usurper la session de la victime. La MFA ayant déjà été satisfaite au moment où le cookie a été émis, elle n’est pas redemandée.
Dans le cas où la solution Specops Device Trust est en place, un cookie exfiltré par un infostealer devient inexploitable dès lors que l’accès exige un appareil approuvé. L’attaquant possède un jeton valide, mais depuis la mauvaise machine : à la réévaluation, l’accès sera refusé. Le vol de session, principal vecteur de contournement de la MFA, n’est plus exploitable.
Un accès depuis un appareil non autorisé peut avoir des conséquences dramatiques. L’occasion de remettre en avant cette actualité : Comment les pirates ont effacé 80 000 PC chez Stryker en détournant Intune.
Sécuriser l’accès des prestataires et le BYOD
Un prestataire externe, ou un collaborateur sur son appareil personnel, peut se voir imposer un niveau de sécurité (chiffrement, antivirus actif, système à jour) sans être enrôlé dans un MDM. Si un contrôle échoue, l’utilisateur se voit refuser l’accès. Il peut aussi envisager de corriger lui-même sa configuration via l’invite de remédiation proposée par Specops Device Trust. S’il répond aux différentes conditions, l’accès lui sera accordé.
Ainsi, la posture de sécurité attendue pour accéder au système d’information est étendue aux machines qu’on ne gère pas, sans que ce soit une charge supplémentaire pour le service d’assistance.
Réagir à une dérive de conformité en cours de session
Un poste conforme à la connexion peut cesser de l’être en cours de session : un antivirus désactivé, une mise à jour critique manquante, une nouvelle vulnérabilité. Là où un contrôle réalisé uniquement au login ne verrait rien, la vérification continue réévalue la posture pendant la session, lorsque l’utilisateur travaille, et restreint l’accès en cas de dérive, avec là encore une possibilité de remédiation.
Prenons un exemple courant. En pleine journée, un utilisateur désactive son antivirus parce qu’il ralentit une application, ou un logiciel fraîchement installé le met en pause. Ceci interroge quant à la gestion des privilèges sur le poste de travail, mais ce n’est pas l’objet de cet article. Cette action a une conséquence sur son poste : il était conforme au moment de la connexion, mais il ne l’est plus une heure plus tard.
Avec un contrôle réalisé uniquement à l’authentification, cette dérive passerait inaperçue jusqu’à la prochaine connexion. La vérification continue réévalue la posture à intervalle régulier, de l’ordre de dix minutes : elle détecte la désactivation à sa prochaine passe et alerte le service informatique (ou mieux encore : un signal est envoyé vers une autre solution).
Ce scénario est aussi l’occasion de rappeler que la désactivation des protections est une action fréquemment observée lors de la compromission d’un PC, ou avant le déclenchement d’un ransomware. Réévaluer la posture pendant que l’utilisateur travaille, et pas seulement à la connexion, permet de réagir rapidement.
Découverte de la console Specops Device Trust
Intégration à votre environnement existant
La première étape de la configuration consiste à lier Specops Device Trust à votre environnement professionnel. Il y a plusieurs connexions envisageables :
Fournisseurs d’identité (IdP) : liaison à la solution via laquelle s’authentifient vos utilisateurs. Pour greffer la solution à Microsoft 365, on choisira Microsoft Azure. Specops Device Trust se positionnera alors comme une méthode d’authentification externe (External MFA).
Intégration : la solution peut aussi se connecter à d’autres outils comme Intune, Jamf, Chef, ou encore CrowdStrike. Ceci crée des interactions entre Specops Device Trust et vos autres outils. Par exemple, c’est utile pour récupérer des informations sur les appareils enregistrés dans Intune.
API : une solution tierce peut se connecter à Specops Device Trust via une API.
Cette configuration initiale permet de synchroniser vos identités vers la base de Specops Device Trust, notamment les utilisateurs et les groupes. Ce qui ne vous empêche pas de créer des utilisateurs et des groupes, voire même des groupes dynamiques, directement dans l’outil.
Les stratégies d’authentification et de conformité
Les politiques se configurent depuis le menu Policies, qui distingue plusieurs briques : authentification des utilisateurs, authentification des appareils, posture des ordinateurs et des mobiles, ou encore la conformité automatisée. La valeur ajoutée de cette solution passe par la mise en place de ces stratégies.
Authentification des utilisateurs
Lorsqu’un utilisateur s’authentifie auprès d’une ressource à l’aide de son compte Microsoft 365, il devra passer par la case Specops Device Trust. En tant que méthode d’authentification externe, plusieurs facteurs d’authentification sont configurables : mot de passe, application Infinipoint pour recevoir une notification Push, un code TOTP avec une application Authenticator ou encore une clé de sécurité.
C’est la première étape du processus d’authentification Specops Device Trust, suivie par celles décrites ci-dessous.
Authentification des appareils
La stratégie d’authentification des appareils conditionne l’accès à la confiance accordée à la machine elle-même. Avant même de s’intéresser à l’utilisateur, elle vérifie que l’appareil est connu, reconnu et, si on l’exige, équipé du client Specops Device Trust (encore nommé Infinipoint à l’heure actuelle). C’est ce qui permet de dire : cet accès n’aboutit que depuis un poste approuvé.
On la configure séparément pour les ordinateurs et les mobiles, ce qui laisse la liberté d’appliquer un niveau d’exigence différent selon le type d’appareil. Pour chaque plateforme, on décide de la posture générale : refuser purement et simplement les connexions, les laisser passer sans contrôle, ou n’autoriser que les appareils authentifiés.
Par ailleurs, la stratégie permet de conditionner l’accès à l’état de santé du poste : un appareil jugé non conforme peut se voir refuser la connexion, même si les identifiants de l’utilisateur sont valides. On peut choisir de rejouer l’ensemble des contrôles de sécurité en temps réel à chaque connexion, pour les ressources les plus sensibles. Grâce à ce mécanisme, la décision d’accepter la connexion ne dépend pas seulement de l’identité de la machine mais aussi de sa conformité à l’instant T.
Enfin, chaque stratégie s’applique à un périmètre que l’on détermine, soit par utilisateurs, par groupes, par zone géographique, par plage d’adresses IP ou par fournisseur d’identité.
Notions de propriété et d’épinglage
Cette stratégie vient durcir le lien entre un utilisateur et son matériel, en contrôlant quels appareils lui appartiennent et depuis lesquels il peut se connecter. L’idée est de maîtriser l’inventaire des postes et de limiter les mouvements latéraux d’un attaquant qui aurait mis la main sur un compte.
Specops Device Trust permet d’adopter la logique suivante : le premier utilisateur qui s’authentifie sur une machine en devient le propriétaire. À partir de là, on peut encadrer les choses en limitant le nombre d’appareils qu’une même personne est autorisée à posséder. L’intérêt est de réduire le risque de connexion depuis des appareils indésirables, grâce à une notion de quota. Si le quota est atteint, un utilisateur qui tente de se connecter depuis un nouveau poste se voit refuser l’accès ! On peut aussi passer d’une acceptation automatique des nouveaux appareils à une approbation manuelle, où un administrateur doit valider explicitement chaque machine avant qu’elle n’accède à l’environnement.
Au-delà de la notion d’ownership, il y a celle d’épinglage. Lorsqu’un utilisateur est épinglé à ses appareils, il peut se connecter uniquement depuis le matériel qui lui appartient, et rien d’autre. L’intérêt est direct face au vol d’identifiants : même si un attaquant récupère le mot de passe et la MFA d’un utilisateur, il ne peut rien en faire sans posséder physiquement l’ordinateur de cette personne (ce qui met hors jeu les infostealers).
Ces restrictions s’appliquent de façon indépendante selon les catégories d’appareils (postes gérés par l’entreprise, postes personnels en BYOD, mobiles d’entreprise ou mobiles personnels). Cela en ayant la possibilité de définir des règles différentes selon les types d’appareils.
Si un attaquant cherche à s’authentifier avec les informations de session d’un utilisateur, en agissant depuis son propre poste, il sera bloqué par la stratégie. De plus, avant d’en arriver là, vous pouvez aussi l’inviter à installer le client Specops Device Trust sur sa machine (ce qui risque de refroidir certains pirates).
Posture de sécurité de l’appareil
Cette stratégie définit les exigences de sécurité qu’un poste doit satisfaire au moment de la connexion. C’est elle qui porte la notion de conformité : niveau de chiffrement, système à jour, protection active, etc. Il y a une approche modulaire, car on peut créer des profils de posture autonomes que l’on vient ensuite rattacher aux règles, et ces dernières s’appliquent aux appareils.
Cette approche « on définit une fois, on applique partout » garantit une cohérence à l’échelle du parc et simplifie la maintenance dans la durée : on ajuste un profil, et toutes les règles qui s’y réfèrent en bénéficient. Pour la création des règles de sécurité, il y a des modèles préconfigurés fournis par la plateforme (catalogue de règles), prêts à l’emploi, et de l’autre, la possibilité de créer des règles sur mesure (l’administrateur détermine les requêtes).
Il existe des règles pour les trois plateformes principales utilisées par les postes de travail : Windows, macOS et Linux. Certaines règles s’appliquent uniquement aux appareils d’entreprises, tandis que d’autres peuvent s’appliquer sur les appareils personnels (BYOD).
Un élément de configuration mérite d’être souligné, parce qu’il change beaucoup la réalité côté utilisateur : la période de grâce. Lorsqu’une stratégie de conformité n’est pas respectée, on peut décider de la fenêtre laissée à l’utilisateur pour corriger avant que l’accès ne soit restreint. On peut exiger une correction immédiate, sans tolérance, accorder un délai jusqu’à une date fixe, ou ouvrir une fenêtre glissante de quelques jours à compter du moment où le poste est détecté non conforme. C’est le curseur entre sécurité stricte et souplesse opérationnelle, à doser selon la sensibilité des ressources.
Lorsqu’un utilisateur s’authentifie sur un appareil non conforme, deux options s’offrent à lui s’il veut poursuivre sa connexion (les possibilités sont variables selon la configuration des politiques et le type d’appareils) :
Il doit reconfigurer son appareil pour qu’il soit conforme. Il peut s’agir d’un paramètre à ajuster, d’une mise à jour système à installer, etc.
Il peut autoriser la remédiation automatique : l’agent installé sur l’appareil s’occupe alors de corriger la configuration pour que la machine soit conforme.
Posture de sécurité des mobiles
Même principe que la section précédente mais appliqué aux appareils sous Android et iOS. Des paramètres sont disponibles pour les deux plateformes et peuvent être vérifiés par l’intermédiaire d’une politique.
Automatisation et conformité des appareils
Cette stratégie s’intéresse aux appareils eux-mêmes, indépendamment de l’utilisateur connecté. Là où les autres politiques interviennent au moment de la connexion, celle-ci s’exécute localement sur le poste selon une planification définie. Côté administrateur, c’est grâce à cette stratégie qu’il est possible de vérifier en continu l’état des appareils et d’avoir des remontées au niveau de la console Specops Device Trust. C’est ce qui permet de surveiller l’état des machines dans la durée, sans attendre qu’un utilisateur se connecte.
Plusieurs modes de fonctionnement sont proposés. En mode automatisé, la politique se contente d’observer et de remonter des informations : les écarts détectés n’affectent pas l’accès ni le statut de conformité global de l’appareil. C’est le mode adapté à la collecte de données, à l’audit ou à une surveillance non bloquante. En mode conformité, à l’inverse, les résultats pèsent réellement sur les décisions d’accès et un problème détecté fait basculer l’appareil sur l’état “non conforme” sur la plateforme. C’est ce mode qui sert à imposer un état obligatoire avant d’autoriser l’appareil à accéder à une ressource.
En tant qu’administrateur, vous pouvez aussi déterminer à quelle fréquence doivent s’exécuter les vérifications, même si vous n’aurez pas forcément la main selon le mode retenu. On peut la faire tourner à intervalle régulier, avec la possibilité de rattraper une vérification manquée dès que la machine revient en ligne. On peut aussi la caler sur des dates précises ou être sur de la vérification continue, où l’état sera vérifié toutes les 10 minutes.
La gestion des vulnérabilités
Au-delà des politiques d’accès, la solution intègre un volet de gestion des vulnérabilités qui donne une vue d’ensemble du niveau de risque du parc. Le tableau de bord agrège les faiblesses détectées sur les appareils et les hiérarchise : score de risque moyen, nombre de vulnérabilités réparties par criticité, et identification des machines les plus exposées.
Les failles connues sont remontées par leur référence CVE avec leur score, et regroupées par type de faiblesse via la nomenclature CWE, ce qui permet de comprendre non seulement combien de vulnérabilités ont été détectées, mais aussi de quelle nature elles sont. Des filtres par plateforme et par système d’exploitation, ainsi qu’un export PDF, complètent l’ensemble pour cibler l’analyse ou produire un rapport.
L’intérêt, c’est de relier la posture des appareils à une réalité concrète : une machine n’est pas seulement « conforme » ou « non conforme » au sens des politiques, elle porte aussi un risque mesurable lié aux failles présentes sur son système et ses logiciels. Dans l’exemple ci-dessous, une ancienne version de Mozilla Firefox affole les compteurs.
Grâce aux stratégies, vous pouvez bloquer l’accès aux appareils dont une application spécifique est vulnérable ou aux appareils vulnérables à une CVE spécifique.
Les journaux d’accès
Les journaux d’accès retracent chaque tentative de connexion évaluée par Specops Device Trust. Ceci permet de retrouver une trace de toutes les tentatives de connexion, que ce soit un accès légitime ou une tentative d’intrusion.
Pour chaque événement, on retrouve la date, l’adresse IP, l’utilisateur, l’application concernée, l’appareil et sa plateforme, sa classification (poste d’entreprise ou personnel), le statut de conformité et la règle de posture appliquée. C’est surtout la colonne de statut qui parle : elle indique si l’accès a été accordé, refusé pour un problème de posture, bloqué parce que la limite d’appareils est atteinte, etc. L’idée à retenir est que c’est ici que chaque décision est tracée.
Device Trust face à la conformité Intune
Il serait malhonnête de présenter Device Trust comme un remplaçant d’Intune : les deux ne jouent pas dans la même catégorie. Intune est un outil de gestion complet du parc (déploiement d’applications, profils de configuration, chiffrement, mises à jour, scripts de remédiation), là où Device Trust est une couche de décision d’accès.
Le tableau suivant résume ce qui les distingue dans la gestion du contrôle d’accès :
CritèreConformité IntuneSpecops Device TrustMoment de l’évaluationÉtat pré-calculé, publié dans Entra IDSur l’Endpoint, en temps réel (lors de la connexion)RemédiationSouvent asynchrone / blocageSelf-service en un clic, périodes de grâceAppareils non gérés / BYODNécessite l’enrôlement MDMPris en charge sans enrôlement, même s’il faut installer l’agent pour avoir toutes les fonctionnalités.PérimètreGestion complète du deviceDécision d’accès basée sur l’appareil
Cet article est aussi l’occasion de rappeler que Microsoft propose ses propres parades natives face au vol de jeton : le Token Protection, qui vise à rendre un jeton utilisable uniquement depuis l’appareil prévu, ainsi que le Continuous Access Evaluation (CAE), qui permet une révocation des accès. Ces mécanismes sont pertinents et utiles, mais restent plus contraignants. Par exemple, le Token Protection suppose d’utiliser un appareil joint à Entra ID. L’apport spécifique de Device Trust est d’étendre cette logique de liaison identité <-> appareil aux postes non gérés, tout en y ajoutant la vérification continue de posture, ce qui couvre le BYOD.
Conclusion
Specops Device Trust apporte une réponse concrète à plusieurs situations auxquelles doivent faire face les DSI. Il faut retenir que les accès sont évalués en fonction de l’utilisateur et de l’appareil, et non pas uniquement l’un ou l’autre, ce qui permet d’être plus fin dans la gestion des accès. La principale contrainte, ce sera de faire accepter l’installation du client Specops Device Trust pour exploiter l’ensemble des fonctionnalités de la solution.
Pour en savoir plus ou demander une démo, suivez ce lien :
Cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Mon obsession depuis près de 15 ans ? Rendre l’administration système et la cybersécurité accessibles, que vous soyez junior ou confirmé. Plus qu’un métier, l’IT est pour moi une véritable passion. J’accompagne au quotidien les sysadmins et les professionnels de l’IT dans leur montée en compétences et leur veille technique.
