Infostealers : La Menace Silencieuse qui Alimente le Cybercrime

Introduction : l'arme silencieuse de l'écosystème cybercriminel

Dans le paysage actuel de la cybercriminalité, les infostealers -- ces malwares spécialisés dans le vol silencieux de données -- se sont imposés comme le vecteur d'accès initial numéro un pour les opérateurs de ransomware. Loin des attaques spectaculaires qui font la une des médias, les infostealers opèrent dans l'ombre, collectant méthodiquement les identifiants, cookies de session, portefeuilles de cryptomonnaies et autres données sensibles sur les postes infectés. Leur efficacité repose sur un modèle économique redoutable : le Malware-as-a-Service (MaaS), qui permet à n'importe quel acteur malveillant, même sans compétences techniques poussées, de déployer une campagne d'infection en quelques clics.

Les chiffres sont éloquents. Selon les rapports de threat intelligence publiés entre 2025 et début 2026, plus de 10 millions de systèmes ont été infectés par des infostealers au cours de la seule année 2025, avec une croissance de 58 % par rapport à l'année précédente. Les plateformes de revente de logs volés -- Russian Market, Genesis Market et les innombrables canaux Telegram -- brassent des volumes considérables. Un seul log contenant des credentials VPN d'entreprise peut se vendre entre 10 et 500 dollars, mais génère potentiellement des millions de dollars de dommages lorsqu'il alimente une attaque de ransomware ciblée.

L'écosystème est désormais parfaitement structuré. Les développeurs de stealers (RedLine, Raccoon, Lumma, Vidar, Stealc, Meta) vendent ou louent leur malware. Les opérateurs le distribuent massivement via du malvertising, du phishing ou des logiciels piratés. Les logs récoltés sont triés, classés, puis revendus sur des marchés spécialisés. Les Initial Access Brokers (IAB) achètent ces logs pour identifier les accès d'entreprise exploitables, puis revendent ces accès aux groupes de ransomware qui réalisent la compromission finale. C'est une chaîne de valeur industrialisée, où chaque maillon est spécialisé et interchangeable.

Cet article propose une analyse exhaustive de cette menace : des familles de stealers les plus actives aux techniques de distribution, des données ciblées au fonctionnement des marchés de logs, du lien avec le ransomware aux contre-mesures opérationnelles. Que vous soyez analyste SOC, responsable sécurité ou RSSI, comprendre les infostealers est devenu indispensable pour protéger votre organisation.

"Les infostealers sont la principale porte d'entrée de l'écosystème ransomware. Ignorer cette menace, c'est laisser la clé sous le paillasson."
-- Analyse SEKOIA.IO, Threat Landscape 2025-2026

Panorama des Infostealers Majeurs

Le marché des infostealers est dominé par une poignée de familles qui se disputent les parts de marché du cybercrime. Chacune présente des caractéristiques techniques distinctes, mais toutes partagent un objectif commun : extraire le maximum de données exploitables d'un système compromis en un minimum de temps, généralement en moins de 30 secondes.

RedLine Stealer

RedLine reste l'un des infostealers les plus répandus depuis son apparition en 2020. Distribué principalement comme MaaS sur des forums russophones, il est vendu sous forme d'abonnement mensuel (environ 150 USD/mois) ou en licence à vie (environ 800 USD). Son panel d'administration web permet aux opérateurs de configurer les paramètres de collecte, de gérer les bots infectés et de télécharger les logs extraits.

Du point de vue technique, RedLine cible un éventail impressionnant de données. Il extrait les credentials stockés dans les navigateurs Chromium et Firefox, les cookies de session (y compris les cookies protégés par les mécanismes DPAPI de Windows), les données de remplissage automatique, l'historique de navigation, les données de portefeuilles crypto (extensions de navigateurs comme MetaMask, Phantom, ainsi que les clients desktop comme Exodus et Electrum), les informations système complètes (processeur, GPU, RAM, logiciels installés, solutions antivirus détectées), les tokens Discord, les fichiers ciblés par extension (.txt, .doc, .key, .kdbx), et réalise des captures d'écran du bureau de la victime.

La communication avec le serveur de commande et contrôle (C2) s'effectue via des requêtes SOAP/XML ou des API REST sur HTTP/HTTPS. Les données volées sont compressées puis exfiltrées en une seule transmission, ce qui rend la détection difficile car l'activité réseau est brève. Malgré le démantèlement de certaines infrastructures par les forces de l'ordre en 2023, de nouvelles variantes continuent d'apparaître, témoignant de la résilience de son écosystème.

Raccoon Stealer v2

Raccoon Stealer a connu un développement mouvementé. Après l'arrestation de son développeur principal, un ressortissant ukrainien, en mars 2022, l'équipe restante a lancé la version 2 (également appelée RecordBreaker) entièrement réécrite en C/C++ (la v1 était en C++). Cette réécriture a considérablement amélioré les performances et réduit la taille du binaire, facilitant son intégration dans des chaînes de distribution polymorphiques.

Le modèle commercial de Raccoon v2 repose sur un abonnement de 200 USD par mois, ce qui le place dans le segment milieu de gamme. Il se distingue par sa simplicité d'utilisation : le panel de gestion est intuitif, et les logs sont automatiquement structurés et classés par pays, navigateur et type de données volées. Les fonctionnalités couvrent l'extraction de credentials navigateur, les cookies, les données de remplissage automatique, les portefeuilles crypto, et les informations système. Le stealer collecte également les fichiers présents sur le bureau de la victime selon des filtres configurables (extension, taille maximale).

Lumma Stealer (LummaC2)

Lumma Stealer, apparu fin 2022, s'est rapidement imposé comme l'un des infostealers les plus sophistiqués du marché. Vendu entre 250 et 1000 USD selon le plan choisi (Basic, Professional, Corporate), il se distingue par ses capacités d'évasion avancées. Lumma utilise des techniques d'anti-analyse comme la détection de machines virtuelles (VMware, VirtualBox, Hyper-V), la vérification du nombre de processeurs et de la mémoire disponible, l'inspection des noms de processus pour détecter les sandboxes (WireShark, Process Monitor, x64dbg), et le chiffrement des chaînes de caractères pour compliquer la rétro-ingénierie statique.

L'une des innovations de Lumma est sa capacité à restaurer les cookies Google expirés. En exploitant des mécanismes liés aux tokens de rafraîchissement OAuth, certaines versions de Lumma ont démontré la capacité de régénérer des cookies de session Google même après leur expiration ou leur invalidation par l'utilisateur. Cette fonctionnalité, si elle est confirmée dans sa pleine portée, représente une escalade significative dans les capacités des stealers, car elle pourrait permettre un accès persistant aux comptes Google des victimes, contournant ainsi les procédures de réinitialisation de mot de passe et de révocation de session.

Lumma utilise également des techniques de contournement d'EDR comme le unhooking de DLL ntdll.dll, la résolution dynamique d'API via des hachages, et l'injection de code dans des processus légitimes. Son infrastructure C2 s'appuie sur des domaines générés algorithmiquement (DGA) et des communications chiffrées, rendant le blocage par indicateurs de compromission particulièrement difficile.

Vidar, Meta Stealer et Stealc

Vidar, fork du célèbre Arkei Stealer, reste actif depuis 2018. Il se distingue par sa capacité à télécharger sa configuration et ses dépendances (DLL légitimes de navigateurs) depuis des profils de réseaux sociaux (Steam, Telegram, Mastodon), technique d'infrastructure dite "Dead Drop Resolver" qui complique le démantèlement de son C2. Vidar cible les mêmes catégories de données que ses concurrents, avec une attention particulière portée aux portefeuilles crypto et aux gestionnaires de mots de passe (KeePass, Bitwarden, 1Password).

Meta Stealer (à ne pas confondre avec MetaStealer ciblant macOS) est apparu en 2022 en se positionnant comme un concurrent direct de RedLine. Vendu autour de 125 USD/mois, il offre des fonctionnalités similaires avec un panel modernisé et une meilleure gestion des logs. Sa particularité réside dans sa capacité à exfiltrer les données via Telegram, en plus du C2 HTTP traditionnel, offrant ainsi une redondance dans les canaux d'exfiltration.

Stealc, apparu début 2023, emprunte le meilleur de ses prédécesseurs (Vidar, Raccoon, RedLine) avec une approche modulaire. Le stealer télécharge dynamiquement les bibliothèques nécessaires et les règles de parsing spécifiques aux navigateurs ciblés. Cette modularité lui permet de s'adapter rapidement aux mises à jour de sécurité des navigateurs. Son prix accessible (200 USD/mois) et sa documentation technique détaillée en font un choix populaire auprès des affiliés.

Tableau comparatif des infostealers majeurs

Chaîne d'Infection : du clic à l'exfiltration

La distribution des infostealers repose sur un arsenal de vecteurs d'infection en constante évolution. Les opérateurs exploitent la crédulité des utilisateurs, les failles des plateformes publicitaires, et les lacunes des contrôles de sécurité des endpoints pour atteindre leurs cibles. Comprendre cette chaîne d'infection est essentiel pour mettre en place des défenses efficaces à chaque étape.

Vecteurs de distribution

Malvertising et SEO Poisoning

Le malvertising (publicités malveillantes) constitue l'un des vecteurs de distribution les plus efficaces pour les infostealers en 2025-2026. Les opérateurs achètent des espaces publicitaires légitimes sur Google Ads, Bing Ads ou des réseaux publicitaires tiers, en ciblant des mots-clés populaires liés à des logiciels couramment recherchés : "Slack download", "Visual Studio Code", "7-Zip", "Notepad++", "OBS Studio", "VLC media player". Les annonces sponsorisées apparaissent en tête des résultats de recherche, au-dessus des résultats organiques, et dirigent les utilisateurs vers des sites de téléchargement clonés qui imitent parfaitement le site officiel du logiciel recherché.

Le SEO poisoning complète cette approche en créant des pages web optimisées pour le référencement naturel, ciblant des requêtes spécifiques comme "crack Photoshop 2026", "keygen Office 365", ou "télécharger gratuitement [logiciel payant]". Ces pages sont hébergées sur des domaines compromis ou fraîchement créés, souvent avec des TLD comme .top, .click, .download. Les fichiers distribués sont généralement des archives ZIP protégées par mot de passe (pour contourner les analyses antivirus), contenant un exécutable d'installation qui installe le logiciel légitime en parallèle de l'infostealer, offrant ainsi une expérience utilisateur apparemment normale.

Faux logiciels crackés et piratés

La distribution via des logiciels crackés reste un vecteur majeur. Les sites de téléchargement pirate, les torrents et les forums de warez servent de canaux de diffusion. Les opérateurs empaquettent l'infostealer dans des installeurs qui imitent les "cracks" ou "keygens" pour des logiciels populaires : suites Adobe, Microsoft Office, jeux vidéo, logiciels de montage vidéo. L'utilisateur qui désactive son antivirus pour exécuter le "crack" (une pratique courante suggérée dans les instructions) facilite involontairement l'infection.

Phishing ciblé et ingénierie sociale

Les campagnes de phishing délivrent les infostealers via des emails soigneusement conçus imitant des notifications professionnelles : factures, bons de commande, notifications de livraison, alertes de sécurité bancaire. Les pièces jointes peuvent être des documents Office avec macros (bien que cette technique soit en déclin depuis la désactivation par défaut des macros par Microsoft), des fichiers OneNote contenant des scripts embarqués, des fichiers HTML exécutant du code JavaScript malveillant (HTML smuggling), ou des raccourcis Windows (.lnk) déguisés en documents.

YouTube, Discord et Telegram

Les plateformes sociales constituent un vecteur de distribution en forte croissance. Sur YouTube, des vidéos promettant des "hacks de jeux vidéo", des "générateurs de monnaie virtuelle" ou des "logiciels crackés" incluent dans leur description des liens vers des fichiers infectés, souvent hébergés sur MediaFire, Mega ou Google Drive. Sur Discord, des serveurs dédiés au gaming ou au piratage distribuent des fichiers malveillants déguisés en mods de jeux ou en outils de triche. Telegram héberge de nombreux canaux de distribution directe d'infostealers, où les opérateurs partagent des builds personnalisés à leurs affiliés.

Techniques de delivery

Les techniques de livraison ont considérablement évolué pour contourner les protections de sécurité modernes, en particulier depuis la décision de Microsoft de bloquer par défaut les macros VBA dans les documents provenant d'Internet (Mark-of-the-Web).

ISO/VHD Mounting : les fichiers image disque (.iso, .vhd, .img) sont montés automatiquement par Windows lors d'un double-clic. Les fichiers contenus à l'intérieur ne portent pas le Mark-of-the-Web, ce qui permet de contourner les avertissements de sécurité SmartScreen. L'image disque contient typiquement un raccourci .lnk pointant vers un script PowerShell ou un binaire malveillant caché dans un sous-dossier.

HTML Smuggling : cette technique consiste à encoder le payload malveillant directement dans du code JavaScript intégré à une page HTML ou à un email HTML. Lorsque l'utilisateur ouvre le fichier, le JavaScript reconstruit le binaire malveillant en mémoire et déclenche son téléchargement automatique. Cette approche contourne efficacement les passerelles de messagerie et les proxys web qui n'analysent que les fichiers joints classiques.

Loader Chains : les infostealers sont rarement délivrés directement. Ils passent par une chaîne de loaders intermédiaires : BatLoader utilise des scripts batch obfusqués qui téléchargent et exécutent le payload via PowerShell ou mshta.exe. SocGholish (FakeUpdates) se présente sous forme de fausses mises à jour de navigateur et utilise des frameworks JavaScript obfusqués pour déployer le stealer. PrivateLoader fonctionne comme un service de distribution pay-per-install, installant simultanément plusieurs malwares (infostealer + cryptominer + botnet). SmokeLoader, vétéran du marché, agit comme un loader modulaire capable de télécharger et d'exécuter n'importe quel payload, y compris des infostealers.

Données Ciblées : l'inventaire complet du pillage

Les infostealers modernes sont conçus pour ratisser large et extraire le maximum de données exploitables en un minimum de temps. Chaque catégorie de données volées correspond à un cas d'usage spécifique dans l'écosystème cybercriminel, qu'il s'agisse de fraude financière directe, de prise de contrôle de compte, ou d'accès initial pour une compromission plus profonde.

Cookies de session : le bypass MFA ultime

Les cookies de session sont devenus la cible prioritaire des infostealers, et pour cause : ils permettent de contourner entièrement l'authentification multifacteur (MFA). Lorsqu'un utilisateur s'authentifie sur un service web avec son identifiant, son mot de passe et son second facteur (OTP, push notification, FIDO2), le serveur émet un cookie de session qui valide cette authentification pour une durée déterminée. En volant ce cookie, un attaquant peut importer la session dans son propre navigateur et accéder au service comme s'il était l'utilisateur légitime, sans jamais avoir à fournir le mot de passe ou le second facteur. C'est la technique connue sous le nom de session hijacking ou pass-the-cookie.

Les stealers ciblent spécifiquement les cookies stockés par Chrome, Firefox, Edge et d'autres navigateurs Chromium. Sur les systèmes Windows, les cookies Chrome sont chiffrés via l'API DPAPI (Data Protection API) liée au compte utilisateur. Les infostealers comme RedLine et Lumma implémentent le déchiffrement DPAPI en natif pour récupérer les cookies en clair. Les services les plus ciblés incluent Google Workspace, Microsoft 365, AWS Console, les portails VPN (Cisco AnyConnect, Palo Alto GlobalProtect), les SSO d'entreprise (Okta, Azure AD), et les plateformes de développement (GitHub, GitLab).

Credentials des navigateurs

Tous les navigateurs modernes proposent une fonctionnalité de sauvegarde des mots de passe. Chrome stocke les credentials dans une base SQLite (Login Data) avec chiffrement AES-GCM via DPAPI. Firefox utilise un schéma différent avec des bases logins.json et key4.db, protégées par NSS (Network Security Services). Edge, basé sur Chromium, utilise le même mécanisme que Chrome. Les stealers implémentent les routines de déchiffrement pour chacun de ces navigateurs et extraient les triplets (URL, nom d'utilisateur, mot de passe) en texte clair.

La quantité de credentials récupérés peut être colossale. Un utilisateur moyen a des centaines de comptes en ligne, dont beaucoup partagent les mêmes mots de passe (credential stuffing). Un seul log d'infostealer peut contenir entre 50 et 500 paires d'identifiants, couvrant des services personnels (email, réseaux sociaux, e-commerce) et professionnels (portails RH, outils de gestion de projet, CRM, ERP).

Portefeuilles de cryptomonnaies

Le vol de cryptomonnaies représente la source de revenu direct la plus lucrative pour les opérateurs d'infostealers. Les cibles incluent les extensions de navigateur (MetaMask, Phantom, Coinbase Wallet, Trust Wallet -- les stealers extraient les fichiers de configuration contenant les clés chiffrées et les mnémoniques), les clients desktop (Exodus, Electrum, Atomic Wallet, Bitcoin Core -- les répertoires de données sont directement copiés), et les fichiers wallet (wallet.dat, keystore/, seed phrases stockées dans des fichiers texte). Certains stealers sophistiqués surveillent même le presse-papiers pour détecter et remplacer les adresses de portefeuilles copiées par l'utilisateur (technique du clipboard hijacking), redirigeant ainsi les transactions vers des portefeuilles contrôlés par l'attaquant.

Tokens Discord, Telegram et applications

Les tokens d'authentification des applications de messagerie constituent des cibles de grande valeur. Un token Discord volé permet de prendre le contrôle total du compte : accès aux messages privés, aux serveurs, possibilité de disséminer des liens malveillants aux contacts de la victime. Les tokens Telegram offrent un accès similaire. Ces comptes compromis sont ensuite utilisés comme vecteurs de distribution secondaires pour propager l'infostealer de manière virale au sein des cercles de confiance de la victime.

Données bancaires, clés SSH/VPN et fichiers sensibles

Les données de cartes bancaires stockées dans les navigateurs (numéro, date d'expiration, CVV lorsqu'il est enregistré) sont systématiquement extraites. Les clés SSH (typiquement dans ~/.ssh/) et les configurations VPN (fichiers .ovpn, profils Cisco AnyConnect) sont également collectées car elles fournissent un accès direct aux infrastructures d'entreprise. Les stealers recherchent des fichiers sensibles par extension : .kdbx (bases KeePass), .key, .pem, .pfx (certificats), .rdp (connexions Bureau à distance). Les captures d'écran prises au moment de l'infection et les données système complètes (nom d'hôte, domaine, IP, processus, logiciels installés, solutions de sécurité présentes) enrichissent le profil de la victime et aident les acheteurs de logs à évaluer la valeur de la cible.

Le Marché des Logs : l'économie souterraine des données volées

Les données exfiltrées par les infostealers alimentent un marché noir structuré, véritable place de marché de l'économie cybercriminelle. Comprendre ce marché est essentiel pour évaluer l'impact réel d'une infection par infostealer et pour anticiper les attaques qui en découlent.

Les plateformes de revente

Russian Market s'est imposé comme la plateforme dominante depuis la fin de 2023. Ce marché automatisé propose des millions de logs structurés, classés par pays, par type de données et par fraîcheur. L'interface ressemble à un site e-commerce classique : les acheteurs peuvent filtrer par pays de la victime, navigateur, type de données disponibles (credentials, cookies, cartes), et même par service spécifique (ex: tous les logs contenant des identifiants Amazon, PayPal ou des VPN d'entreprise). Les prix varient de 1 à 50 USD pour un log individuel, mais les logs corporate contenant des credentials VPN ou des cookies SSO peuvent atteindre plusieurs centaines de dollars.

Genesis Market, démantelé par les forces de l'ordre en avril 2023 lors de l'opération Cookie Monster, proposait une approche différente : plutôt que de vendre des logs bruts, Genesis vendait des "bots" -- des empreintes numériques complètes incluant cookies, credentials, fingerprint du navigateur et configuration système. Les acheteurs pouvaient importer cette empreinte dans un navigateur spécialisé (Genesis Security) pour usurper l'identité numérique de la victime de manière indétectable. Malgré le démantèlement, des successeurs ont émergé, reproduisant le même modèle sur de nouvelles infrastructures.

Telegram est devenu le canal de distribution le plus dynamique. Des milliers de canaux et groupes Telegram proposent des logs en vente directe, des abonnements à des flux de logs frais, et des services de recherche personnalisée ("cherchez-vous des credentials pour telle entreprise ?"). L'avantage de Telegram réside dans sa rapidité : les logs peuvent être mis en vente quelques minutes après l'exfiltration, alors que les marchés automatisés nécessitent un temps de traitement et d'indexation.

Format et structure d'un log

Un log d'infostealer typique est structuré sous forme d'archive contenant plusieurs fichiers et dossiers organisés de manière standardisée :

LOG_FR_Chrome_2026-02-10/
├── Browsers/
│   ├── Chrome_Default_Passwords.txt      # URL | Login | Password
│   ├── Chrome_Default_Cookies.txt        # Host | Cookie | Value | Expiry
│   ├── Chrome_Default_Autofill.txt       # Nom, adresse, téléphone
│   ├── Chrome_Default_CreditCards.txt    # Numéro | Exp | Nom
│   ├── Firefox_default_Passwords.txt
│   └── Edge_Default_Passwords.txt
├── Crypto/
│   ├── MetaMask/                         # Vault data
│   ├── Exodus/                           # seed, conf
│   └── wallet_addresses.txt
├── Files/
│   ├── Desktop_files.txt                 # Fichiers bureau ciblés
│   └── Documents/                        # .kdbx, .key, .pem
├── Tokens/
│   ├── Discord_tokens.txt
│   └── Telegram_tdata/
├── System/
│   ├── SystemInfo.txt                    # OS, CPU, GPU, RAM, AV
│   ├── InstalledSoftware.txt
│   ├── ProcessList.txt
│   └── Screenshot.png
├── SSH/
│   └── id_rsa, known_hosts
└── VPN/
    └── profiles.ovpn

Ce format standardisé permet aux acheteurs de parcourir et d'analyser rapidement les logs à l'aide d'outils automatisés. Des scripts spécialisés extraient automatiquement les credentials par service, identifient les logs contenant des accès d'entreprise, et évaluent la valeur financière de chaque log en fonction des données qu'il contient.

Les Initial Access Brokers (IAB) : le chaînon vers le ransomware

Les Initial Access Brokers représentent un maillon critique de la chaîne cybercriminelle. Ces acteurs spécialisés achètent massivement des logs d'infostealers et les analysent pour identifier les accès d'entreprise exploitables. Un IAB typique va filtrer les millions de logs disponibles pour trouver ceux qui contiennent des credentials VPN d'entreprise (Cisco AnyConnect, Pulse Secure, Fortinet), des cookies de session SSO (Okta, Azure AD), des accès RDP (Remote Desktop Protocol) à des serveurs exposés, ou des credentials pour des interfaces d'administration (Citrix, VMware vCenter, panneaux de gestion cloud).

Une fois un accès viable identifié, l'IAB le valide (s'assure que les credentials fonctionnent encore et que l'accès est exploitable), puis le met en vente sur des forums spécialisés (Exploit, XSS, RAMP) ou le propose directement à des groupes de ransomware via des canaux privés. Les prix des accès IAB varient considérablement selon la taille de l'entreprise cible et le type d'accès : de 500 USD pour un accès VPN à une PME, jusqu'à 50 000 USD ou plus pour un accès administrateur de domaine à une grande entreprise ou une infrastructure critique. Le retour sur investissement est spectaculaire pour les opérateurs de ransomware, qui peuvent transformer un accès acheté quelques milliers de dollars en une rançon de plusieurs millions.

Le lien avec le Ransomware : de l'infostealer à la demande de rançon

La relation entre infostealers et ransomware est désormais fermement établie par de multiples rapports de threat intelligence. Les données collectées par les stealers sont le carburant qui alimente la machine ransomware. Plusieurs cas d'études majeurs illustrent cette connexion avec une clarté alarmante.

Cas d'études et scénarios documentés

Scénario VPN Credentials : un employé d'une entreprise du CAC 40 télécharge un "crack" pour un logiciel de montage vidéo sur son ordinateur personnel. L'infostealer extrait les credentials de son navigateur, y compris ceux du VPN d'entreprise qu'il utilise en télétravail. Le log apparaît sur Russian Market 24 heures plus tard. Un IAB l'achète pour 30 USD, valide l'accès VPN, et revend l'accès à un affilié LockBit pour 5 000 USD. L'affilié se connecte au réseau de l'entreprise via le VPN compromis, effectue une reconnaissance Active Directory, exploite des vulnérabilités de post-exploitation pour obtenir des privilèges Domain Admin, déploie le ransomware sur l'ensemble du domaine. La rançon demandée : 15 millions de dollars. Le tout, à partir d'un log d'infostealer acheté pour 30 dollars.

Scénario Session Cookie SSO : un développeur d'une entreprise technologique est victime d'une campagne de malvertising ciblant des outils de développement. L'infostealer extrait les cookies de session de sa connexion Okta SSO. L'attaquant importe le cookie dans son navigateur, accède au portail SSO, pivote vers les applications internes (Jira, Confluence, Jenkins, AWS Console). Depuis Jenkins, il obtient des secrets d'environnement (clés API AWS, tokens Kubernetes), qu'il utilise pour accéder à l'infrastructure cloud. Les données de clients sont exfiltrées avant le déploiement du ransomware, dans une double extorsion classique.

Scénario RDP via Credentials volés : des identifiants RDP extraits par un infostealer Raccoon permettent l'accès direct à un serveur de fichiers dans un cabinet d'avocats. L'attaquant, un affilié du groupe ALPHV/BlackCat, utilise cet accès comme point d'entrée pour scanner le réseau interne, identifier les partages de fichiers contenant des données sensibles (dossiers clients, propriété intellectuelle), exfiltrer ces données, puis chiffrer les systèmes. L'absence de segmentation réseau et de MFA sur les accès RDP a facilité l'ensemble de la chaîne d'attaque.

Le flux d'attaque typique

La chaîne complète, de l'infection initiale par infostealer au déploiement de ransomware, suit un schéma bien défini que nous pouvons décomposer en étapes chronologiques. Cette industrialisation du processus, avec des acteurs spécialisés à chaque étape, rend l'ensemble extrêmement efficace et difficile à perturber.

Contre-Mesures : défense en profondeur contre les infostealers

La lutte contre les infostealers nécessite une approche de défense en profondeur combinant des contrôles techniques, organisationnels et humains. Aucune mesure isolée ne suffit à neutraliser cette menace ; c'est l'empilement de couches de sécurité complémentaires qui rend la chaîne d'attaque plus difficile et plus coûteuse à réaliser pour les adversaires.

Détection sur les endpoints : EDR/XDR

Les solutions EDR (Endpoint Detection and Response) et XDR (Extended Detection and Response) constituent la première ligne de défense. Pour être efficaces contre les infostealers, elles doivent implémenter des détections comportementales spécifiques : accès aux bases de données des navigateurs (Login Data, Cookies, Web Data) par des processus non-navigateur, appels à l'API CryptUnprotectData (DPAPI) par des processus suspects, accès aux répertoires de stockage des portefeuilles crypto, lecture des fichiers de profils des navigateurs, exfiltration réseau immédiatement après l'accès aux données sensibles. Les solutions EDR modernes comme CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne et Elastic Security intègrent des règles de détection spécifiques aux comportements des stealers. Cependant, les stealers les plus sophistiqués comme Lumma implémentent des techniques d'évasion (unhooking, syscalls directs, process hollowing) qui peuvent contourner ces détections.

Browser Isolation et gestion des credentials

L'isolation du navigateur (Remote Browser Isolation - RBI) exécute les sessions de navigation dans un environnement cloud isolé, éliminant le risque d'infection locale via le navigateur. Les solutions comme Zscaler Browser Isolation, Menlo Security ou Island Enterprise Browser créent une barrière physique entre le contenu web potentiellement malveillant et le poste de travail.

La désactivation du gestionnaire de mots de passe intégré au navigateur est une mesure fondamentale. Les organisations doivent imposer l'utilisation de gestionnaires de mots de passe dédiés (1Password, Bitwarden, CyberArk PAM) qui ne stockent pas les credentials dans les bases SQLite des navigateurs. Les GPO (Group Policy Objects) permettent de désactiver la sauvegarde de mots de passe dans Chrome, Edge et Firefox à l'échelle de l'entreprise. Cette seule mesure neutralise une partie significative de la collecte des infostealers.

Session Token Hardening

Le renforcement des tokens de session vise à réduire l'exploitabilité des cookies volés. Les mesures incluent la liaison des tokens de session à l'empreinte TLS du client (token binding), la réduction de la durée de validité des sessions (8 heures maximum pour les accès sensibles), la ré-authentification obligatoire pour les actions critiques (changement de mot de passe, accès aux données sensibles, téléchargement en masse), la validation de l'adresse IP et du user-agent dans le contexte de session (en tenant compte du BYOD et de la mobilité), et l'implémentation de Device Trust (certificats client, conformité posture). Google a introduit en 2024 les Device Bound Session Credentials (DBSC), qui lient les cookies de session au TPM (Trusted Platform Module) du dispositif, rendant les cookies inexploitables sur un autre appareil. Cette approche, si elle est généralisée, pourrait considérablement réduire l'impact du vol de cookies.

Monitoring des credentials compromis

La surveillance proactive des fuites de credentials permet de détecter rapidement si des identifiants d'entreprise apparaissent dans des logs d'infostealers. Les services spécialisés incluent Hudson Rock, qui surveille en temps réel les marchés de logs et les canaux Telegram pour détecter les credentials d'entreprise compromis. Flare et KELA offrent des plateformes de surveillance du dark web avec des alertes automatisées. Have I Been Pwned (HIBP) reste une ressource gratuite essentielle pour vérifier si des adresses email ont été compromises. SpyCloud propose une base de données exhaustive de credentials issus de stealers avec des API d'intégration pour les SIEM. L'intégration de ces services dans les workflows de réponse aux incidents permet de réagir rapidement en forçant la réinitialisation des mots de passe compromis, en révoquant les sessions actives, et en investiguant l'étendue de la compromission.

Protection DPAPI et surveillance réseau

La protection DPAPI peut être renforcée en utilisant Windows Credential Guard, qui isole les secrets DPAPI dans un hyperviseur sécurisé (VBS - Virtualization Based Security). Cette mesure empêche les infostealers d'accéder aux clés de déchiffrement DPAPI même s'ils s'exécutent avec des privilèges élevés sur le système d'exploitation.

La surveillance réseau doit intégrer des règles de détection spécifiques à l'exfiltration des stealers. Les indicateurs réseau comprennent des connexions HTTP/HTTPS inhabituelles depuis des postes de travail vers des domaines récemment créés, des uploads importants peu après le téléchargement d'un exécutable, des communications avec des adresses IP connues de C2 d'infostealers (threat intelligence feeds), des résolutions DNS vers des domaines générés algorithmiquement (DGA), et des connexions à l'API Telegram depuis des processus non-Telegram (exfiltration via bot Telegram). Les solutions NDR (Network Detection and Response) comme Vectra, Darktrace ou ExtraHop peuvent identifier ces patterns comportementaux au niveau du trafic réseau.

Sensibilisation des utilisateurs

La sensibilisation reste un pilier incontournable. Les utilisateurs doivent comprendre les risques spécifiques liés aux infostealers : le danger des logiciels piratés et des "cracks" (premier vecteur de distribution), la nécessité de vérifier l'URL des sites de téléchargement (ne pas cliquer sur les annonces sponsorisées pour télécharger des logiciels), l'importance de ne pas sauvegarder les mots de passe dans les navigateurs, la vigilance face aux emails et messages contenant des liens suspects. Les programmes de sensibilisation doivent inclure des scénarios réalistes montrant comment un simple téléchargement peut mener à une compromission complète de l'entreprise. Les exercices de simulation de phishing doivent intégrer des scénarios de type malvertising et faux logiciels. Il est également crucial de créer une culture où les employés signalent rapidement toute activité suspecte ou téléchargement accidentel, sans crainte de sanctions, car la rapidité de la réponse est critique pour limiter l'impact.

Conclusion : une menace systémique qui exige une réponse globale

Les infostealers ont profondément transformé le paysage de la cybercriminalité en industrialisant le vol d'identifiants et en créant une chaîne d'approvisionnement fluide pour les opérateurs de ransomware. Leur modèle économique -- le MaaS -- a démocratisé l'accès à des outils de vol de données sophistiqués, permettant à un nombre croissant d'acteurs malveillants de participer à cet écosystème. La rapidité d'exécution des stealers (moins de 30 secondes), la diversité des données ciblées, et l'efficacité des marchés de revente rendent cette menace particulièrement insidieuse.

Face à cette menace systémique, les organisations doivent adopter une posture de sécurité qui intègre la réalité du marché des logs. Il ne suffit plus de protéger le périmètre ; il faut partir du principe que des credentials seront compromis et construire des défenses qui limitent l'impact de cette compromission. Le session token hardening, la surveillance proactive des fuites, la segmentation réseau rigoureuse, et la sensibilisation ciblée des utilisateurs constituent les piliers d'une défense efficace. Les technologies émergentes comme les Device Bound Session Credentials (DBSC) et les Passkeys FIDO2 offrent des perspectives encourageantes pour rendre les données volées par les stealers inexploitables, mais leur adoption généralisée prendra encore plusieurs années.

En définitive, la lutte contre les infostealers ne peut se gagner qu'en comprenant l'intégralité de la chaîne de valeur cybercriminelle : du développeur de malware au groupe de ransomware, en passant par les opérateurs, les marchés de logs et les courtiers d'accès. C'est cette compréhension globale qui permet de mettre en place des contre-mesures pertinentes à chaque maillon de la chaîne, et de réduire significativement la surface d'attaque exposée aux conséquences dévastatrices de cette menace silencieuse.