Infostealer, le malware silencieux qui vend vos identifiants au kilo
📩 Pour nous contacter: redaction@frenchweb.fr
Dans la famille des menaces cyber, ils ne chiffrent pas vos fichiers, ils ne demandent pas de rançon, et pourtant, ils ouvrent la voie à certaines des cyberattaques les plus destructrices en entreprise. Les infostealers, ou cleptogiciels, sont devenus l’outil de prédilection des cybercriminels pour collecter et revendre à la chaîne des millions d’identifiants d’accès, une menace qui opère sans bruit.
Une menace discrète mais systémique
Installés à l’insu de l’utilisateur via des fichiers piégés (logiciels cracks, extensions, pièces jointes), ils aspirent silencieusement toutes les données d’identification présentes sur le poste contaminé : mots de passe enregistrés, cookies de session, historiques de navigation, identifiants VPN, accès aux messageries, tableaux de bord internes, et parfois même des fichiers ou captures d’écran. Une fois la collecte terminée, ces informations sont exfiltrées vers des serveurs distants, puis intégrées à des bases de données appelées logs, vendues ou échangées sur des places de marché cybercriminelles.
Une industrie structurée, des coûts dérisoires
Chaque log se présente sous la forme d’un fichier contenant des milliers d’identifiants au format brut. Ces fichiers sont revendus quelques euros l’unité, parfois en bundles par pays, par entreprise ou par secteur d’activité. Des plateformes telles que RussianMarket, 2easy ou Genesis Market (démantelé en 2023) ont industrialisé le modèle et en parallèle, des initial access brokers (IAB) se sont spécialisés dans la revente d’accès premium, ciblant des entreprises vulnérables mais à forte valeur.
Une porte d’entrée vers l’attaque finale
Une fois les identifiants récupérés, l’exploitation peut prendre plusieurs formes :
- Connexion directe à des systèmes internes sans alerte, faute de MFA ou de surveillance comportementale.
- Utilisation d’un accès pour scraper massivement des bases de données.
- Vente de l’accès à des groupes plus organisés, qui dérouleront ensuite une attaque par rançongiciel, extorsion, ou exfiltration massive de données sensibles.
Des outils accessibles, des victimes non sensibilisées
Les infostealers ne sont pas réservés aux cybercriminels chevronnés. Leur utilisation est à la portée de n’importe quel acteur malveillant disposant de 50 euros et d’un tutoriel. Le plus préoccupant reste la facilité avec laquelle les employés, en entreprise ou dans la fonction publique, peuvent être infectés. Une extension de navigateur gratuite, un logiciel de bureautique cracké, une mise à jour factice, il suffit d’un clic.
Dans la majorité des cas, les victimes ignorent tout de la compromission. Le malware ne ralentit pas la machine, ne s’affiche pas, et ne modifie aucun comportement visible. Le danger est souvent invisible jusqu’à ce qu’un événement majeur révèle l’étendue des dégâts.
Une réponse encore trop partielle
Malgré l’ampleur du phénomène, peu d’organisations ont adapté leurs politiques de sécurité, l’essentiel des budgets reste orienté vers la protection périmétrique ou les solutions anti-ransomware, ce qui laisse un angle mort critique sur la détection post-infection et l’analyse des fuites de données.
Quelques mesures à appliquer:
- Interdire les mots de passe réutilisés,
- Appliquer systématiquement le MFA,
- Mettre en place des solutions de détection comportementale (EDR/NDR),
- Former tous les collaborateurs aux risques liés aux infostealers.
