À une époque où les identités numériques sont les clés de notre royaume, une épidémie silencieuse fait rage dans le cyberespace. Les infostealers, malware sophistiqués malware pour récolter des identifiants, ont volé 1,8 milliard d'identifiants sur 5,8 millions d'appareils rien qu'en 2025, soit une augmentation de 800 % par rapport aux années précédentes. Cette ampleur stupéfiante du vol d'identifiants est désormais à l'origine de 86 % de toutes les violations, ce qui modifie fondamentalement la manière dont les organisations doivent aborder la sécurité.
La gravité de cette menace est devenue indéniable en octobre 2025, lorsque 183 millions d'identifiants Gmail ont inondé les marchés clandestins, se vendant à seulement 10 dollars par compte. Bien qu'il ne s'agisse pas d'une violation des systèmes de Google, cette fuite massive a démontré comment endpoint peuvent se traduire par des catastrophes de sécurité à l'échelle de l'entreprise. Pour les professionnels de la sécurité qui défendent des environnements de plus en plus complexes, comprendre les voleurs d'informations n'est pas facultatif, c'est essentiel à la survie de l'organisation.
Les infostealers sont une catégorie spécialisée de malware pour extraire silencieusement des informations sensibles des systèmes infectés, en particulier les identifiants d'authentification, les jetons de session et les données personnelles. Ces programmes malveillants opèrent discrètement en arrière-plan, récoltant les mots de passe stockés dans les navigateurs, les clés de portefeuille de cryptomonnaie, les informations système et les cookies de session actifs qui contournent l'authentification multifactorielle. Contrairement aux ransomwares qui annoncent leur présence par le biais du chiffrement, les infostealers restent indétectables tout en pillant systématiquement les identités numériques.
La sophistication des voleurs d'informations modernes va bien au-delà du simple vol de mots de passe. Ces outils extraient des profils numériques complets, notamment l'historique des navigateurs, les données de remplissage automatique, les captures d'écran et les configurations système. Fonctionnant selon un modèle Malware(MaaS), les criminels peuvent louer l'accès à des plateformes avancées de vol d'informations pour seulement 200 dollars par mois, ce qui supprime les barrières techniques à l'entrée. Cette démocratisation des outils de cybercriminalité a transformé le vol d'identifiants, qui était auparavant une compétence spécialisée, en un service de base.
Le modèle économique qui sous-tend les logiciels d'usurpation d'informations explique pourquoi ceux-ci sont devenus l'arme préférée des cybercriminels. Les identifiants volés circulent dans une économie souterraine sophistiquée où les courtiers en accès initial (IAB) achètent, regroupent et revendent l'accès à des comptes compromis. Un seul identifiant d'entreprise peut rapporter des milliers de dollars lorsqu'il donne accès à des réseaux de grande valeur. Cette incitation économique stimule l'innovation continue en matière de techniques d'évasion et de stratégies de ciblage.
Les chiffres dressent un tableau inquiétant de la prolifération des logiciels malveillants destinés à voler des informations. Des études montrent que 1,8 milliard d'identifiants ont été volés sur 5,8 millions d'appareils en 2025, et que le coût moyen d'une violation s'élève désormais à 4,44 millions de dollars pour les entreprises à l'échelle mondiale, atteignant 10,22 millions de dollars aux États-Unis. L'analyse géographique montre une concentration des infections en Inde (10 %) et au Brésil (8 %), même si aucune région n'est épargnée.
Les efforts des forces de l'ordre, tels que l'opération Endgame, ont permis de perturber les infrastructures principales, de saisir plus de 1 025 serveurs et d'arrêter des opérateurs clés. Cependant, chaque fois qu'une opération est menée, de nouvelles variantes apparaissent. La résilience de cet écosystème provient de sa nature décentralisée et des faibles barrières à l'entrée offertes par les plateformes MaaS. Les organisations qui mettent en œuvre des solutions de détection et de réponse aux menaces d'identité (ITDR) font état d'une amélioration significative des taux de détection, même si le délai entre l'infection et la découverte reste en moyenne de 4 jours.
Le passage aux Zero Trust reflète la prise de conscience par le secteur que le vol d'identifiants est inévitable. Plutôt que de miser uniquement sur la prévention, les stratégies de sécurité modernes partent du principe que les compromissions sont inévitables et s'attachent à limiter l'impact des identifiants volés grâce à une vérification continue et à des modèles d'accès à privilèges minimaux.
Comprendre les mécanismes techniques des infostealers permet de comprendre pourquoi les mesures de sécurité traditionnelles échouent souvent. Ces outils sophistiqués utilisent plusieurs méthodes d'extraction, des techniques d'évasion avancées et une infrastructure de commande et de contrôle résiliente pour maintenir un accès permanent aux flux de données des victimes.
La chaîne d'infection commence généralement par une manipulation psychologique, exploitant la psychologie humaine plutôt que les vulnérabilités techniques. Phishing diffusant des pièces jointes malveillantes restent le vecteur principal, même si la publicité malveillante et les téléchargements de logiciels compromis ont augmenté de 700 % grâce à des initiatives telles que la campagne ClickFix. Une fois exécutés, les voleurs d'informations commencent immédiatement à récolter les identifiants stockés dans les navigateurs, les clients de messagerie et les gestionnaires de mots de passe, tout en établissant une communication avec l'infrastructure de l'attaquant.
Les infostealers modernes utilisent des techniques d'évasion sophistiquées qui leur permettent de contourner les contrôles de sécurité. Ils utilisent le « process hollowing » pour se cacher dans des applications légitimes, emploient des astuces anti-analyse pour détecter les machines virtuelles et exploitent des techniques sans fichier qui fonctionnent entièrement en mémoire. Le protocole de commande et de contrôle basé sur JSON de StealC V2 illustre cette évolution, en ajustant dynamiquement son comportement en fonction de l'environnement cible tout en maintenant des canaux de communication cryptés résistants à la surveillance du réseau.
Le processus d'extraction suit une séquence méthodique :
Le modèle MaaS a transformé les voleurs d'informations, qui sont passés d'outils personnalisés à des produits commerciaux. Pour 200 dollars par mois, les criminels ont accès à des plateformes sophistiquées comprenant malware personnalisables, un hébergement sécurisé, une gestion automatisée des campagnes et des tableaux de bord statistiques en temps réel. Ce modèle d'abonnement offre des mises à jour continues, garantissant que malware à l'abri des signatures de détection.
Les opérateurs de plateformes gèrent la complexité technique tandis que les « clients » se concentrent sur la distribution. Des fonctionnalités telles que l'architecture modulaire permettent aux pirates de sélectionner des capacités spécifiques, réduisant ainsi la taille des fichiers et les profils de détection. Le lancement d'Acreed en 2025 illustre cette tendance, en proposant des modules personnalisables pour le vol de navigateurs, le ciblage des cryptomonnaies et la collecte d'identifiants d'entreprise. La concurrence sur le marché stimule l'innovation, les fournisseurs se précipitant pour ajouter des fonctionnalités telles que les captures d'écran multi-écrans et des capacités anti-analyse améliorées.
L'efficacité économique des plateformes MaaS explique leur croissance explosive. Comparez le coût mensuel de 200 dollars aux gains potentiels de plusieurs milliers de dollars par compte d'entreprise compromis, et le retour sur investissement devient évident. Cette accessibilité a élargi le cercle des acteurs malveillants, qui ne se limite plus à des groupes sophistiqués, mais comprend désormais des criminels opportunistes, multipliant ainsi la surface d'attaque que les organisations doivent défendre.
Les stratégies de distribution ont évolué au-delà des pièces jointes traditionnelles envoyées par e-mail. La campagne ClickFix fait preuve d'une ingénierie sociale sophistiquée, affichant de faux messages d'erreur invitant les utilisateurs à « corriger » des problèmes en exécutant des commandes PowerShell malveillantes. Ces campagnes exploitent des contextes de confiance (invites de mise à jour logicielle, notifications du navigateur et alertes système) pour contourner le scepticisme des utilisateurs.
Les attaques visant la chaîne d'approvisionnement constituent un vecteur émergent, les pirates compromettant des logiciels légitimes pour distribuer des logiciels espions. L'incident Snowflake, impliquant six souches différentes de logiciels espions, a compromis 165 environnements via des outils tiers infectés. Le sabotage du référencement naturel (SEO) redirige le trafic vers des sites malveillants hébergeant de faux cracks de logiciels et des modifications de jeux, ciblant en particulier les jeunes moins sensibilisés aux risques de sécurité.
Les campagnes de malvertising achètent des espaces publicitaires légitimes pour diffuser des logiciels malveillants destinés à voler des informations, en tirant parti de plateformes de confiance pour atteindre leurs victimes. Ces publicités imitent souvent des logiciels populaires, renvoyant vers des pages de téléchargement convaincantes qui hébergent des charges utiles malveillantes. Le ciblage géographique et démographique garantit que les campagnes atteignent des cibles intéressantes : les professionnels de la finance pendant la période fiscale, les gamers lors des sorties de jeux vidéo majeurs ou les étudiants pendant les périodes d'examens.
Le paysage des infostealers se caractérise par une grande diversité de variantes, chacune dotée de capacités et de profils cibles uniques. Comprendre ces différences aide les équipes de sécurité à hiérarchiser les stratégies de détection et à allouer efficacement les ressources défensives.
Le marché a connu des bouleversements importants en 2025, les opérations des forces de l'ordre ayant démantelé les acteurs établis, tandis que de nouvelles variantes ont rapidement comblé le vide. Cette évolution constante oblige les équipes de sécurité à maintenir à jour leurs informations sur les menaces tout en se préparant à faire face aux menaces émergentes. Malware révèle des schémas communs entre les différentes variantes, bien que chaque famille conserve des caractéristiques distinctes qui nécessitent des approches de détection adaptées.
La concurrence stimule l'innovation, les développeurs se livrant à une course effrénée pour ajouter des fonctionnalités qui différencient leurs produits. Des techniques d'évasion avancées, des applications cibles étendues et des méthodes améliorées d'exfiltration de données apparaissent régulièrement dans les mises à jour. Les plateformes de renseignements sur les menaces suivent ces évolutions et fournissent aux équipes de sécurité des indicateurs de compromission et des modèles comportementaux essentiels à la détection.
Lumma Stealer domine le marché avec 1 200 recherches mensuelles, ce qui reflète son adoption généralisée parmi les cybercriminels. Cette variante a connu une augmentation de 369 % des détections malgré la saisie par Microsoft et Cloudflare de 2 300 domaines associés en mai 2025. Sa résilience provient d'une infrastructure distribuée et d'une adaptation rapide aux mesures prises par les forces de l'ordre.
L'analyse technique révèle les capacités sophistiquées de Lumma, notamment l'extraction avancée des mots de passe stockés dans les navigateurs Chrome, Firefox et Edge. Le malware plusieurs techniques anti-analyse, détectant les machines virtuelles et les environnements sandbox afin d'échapper à l'analyse automatisée. Son architecture modulaire permet aux opérateurs de personnaliser les charges utiles, en ajoutant ou en supprimant des fonctionnalités en fonction des profils cibles. La communication s'effectue via des canaux cryptés utilisant des algorithmes de génération de domaines (DGA) qui compliquent les efforts de suppression.
Le succès de Lumma reflète son équilibre entre sophistication et facilité d'utilisation. Le panneau de gestion fournit des statistiques en temps réel, une analyse automatisée des journaux et des outils de monétisation intégrés. Les opérateurs peuvent filtrer les identifiants volés en fonction de leur valeur, identifiant automatiquement les cibles de grande valeur telles que les comptes d'entreprise ou les portefeuilles de cryptomonnaies. Cette efficacité a fait de Lumma le choix préféré des groupes sophistiqués comme des criminels débutants.
Trois nouvelles variantes sont apparues comme des menaces importantes en 2025, chacune apportant des capacités uniques à l'écosystème des voleurs d'informations :
Acreed Stealer a été lancé début 2025 avec une conception modulaire permettant une sélection personnalisée des fonctionnalités. Proposé à un prix compétitif de 200 dollars par mois, Acreed cible les identifiants de connexion aux navigateurs, les portefeuilles de cryptomonnaies et les informations système. Son architecture met l'accent sur la furtivité, en utilisant des processus Windows légitimes pour l'injection et en évitant les modèles de détection courants. La distribution se fait principalement par le biais de campagnes phishing de malvertising ciblant les utilisateurs professionnels.
StealC V2 (Monster V2) a publié la version 2.2.4 en novembre 2025, intégrant les enseignements tirés des opérations de démantèlement menées par les forces de l'ordre. L'abonnement mensuel de 200 dollars comprend des protocoles de commande et de contrôle basés sur JSON pour une meilleure évasion, des capacités de capture d'écran multi-moniteurs pour saisir des informations sensibles et une extraction améliorée des données du navigateur, y compris les fichiers de restauration de session. Les techniques anti-analyse de StealC V2 détectent et contournent les solutions EDR modernes, contribuant ainsi au taux de contournement de 66 % observé chez les voleurs d'informations.
Nexus Stealer a rapidement gagné des parts de marché après la perturbation de RedLine, en se concentrant sur la collecte avancée d'identifiants et le vol de jetons de session. Ses capacités comprennent le ciblage des bases de données des gestionnaires de mots de passe, l'extraction des codes de secours d'authentification à deux facteurs et le vol sophistiqué de cookies contournant l'isolation des sites. Nexus représente la prochaine génération d'infostealers, intégrant l'apprentissage automatique pour la hiérarchisation des cibles et l'exploitation automatisée des identifiants volés.
Des incidents réels démontrent comment les voleurs d'informations peuvent entraîner des catastrophes organisationnelles. Ces cas révèlent les modes d'attaque, l'ampleur des répercussions et les défaillances en cascade qui suivent la compromission des identifiants.
La fuite, en octobre 2025, de 183 millions d'identifiants Gmail illustre l'ampleur considérable du vol d'identifiants à l'heure actuelle. Récoltés à l'aide de Synthient Stealer et d'autres variantes, ces 400 Go de données ont inondé les marchés clandestins, faisant chuter le prix des identifiants à un niveau historiquement bas de 10 dollars par compte. La réponse de Google, à savoir la réinitialisation massive des mots de passe et le renforcement de la surveillance, a mis en évidence la nature réactive des défenses actuelles contre les attaquants proactifs.
La compromission de la chaîne d'approvisionnement Snowflake a démontré comment les voleurs d'informations permettent des attaques complexes en plusieurs étapes. Six souches différentes de voleurs d'informations ont compromis les machines des développeurs, volant des identifiants qui ont ensuite été utilisés pour accéder à 165 environnements clients. L'attaque a contourné les frontières de sécurité traditionnelles, exploitant les relations de confiance entre les fournisseurs et les clients. Cet incident a contraint l'ensemble du secteur à réévaluer ses pratiques en matière cloud , en particulier en ce qui concerne la gestion des accès tiers.
L'opération Endgame menée en novembre 2025 a permis de mettre au jour l'infrastructure qui soutenait les opérations d'infostealing. La saisie de plus de 1 025 serveurs et 20 domaines a perturbé l'accès à plus de 100 000 portefeuilles de cryptomonnaies compromis. Pourtant, en quelques jours, une nouvelle infrastructure a vu le jour, démontrant la résilience de l'écosystème des voleurs d'informations. Le jeu du chat et de la souris entre les forces de l'ordre et les opérateurs se poursuit, chaque démantèlement apportant un soulagement temporaire avant que les variantes ne s'adaptent et ne refassent surface.
Les voleurs d'informations constituent la première étape de nombreuses attaques par ransomware, les identifiants volés étant vendus à des groupes spécialisés pour être exploités. La campagne de ransomware HellCat illustre parfaitement ce processus, utilisant les identifiants JIRA obtenus à partir des journaux des voleurs pour obtenir un accès initial. Une fois à l'intérieur, les attaquants ont augmenté leurs privilèges, se sont déplacés latéralement et ont déployé le ransomware, causant des millions de dollars de dommages.
Les courtiers en accès initial (IAB) facilitent cet écosystème en achetant des identifiants auprès d'opérateurs spécialisés dans le vol d'informations et en revendant l'accès à des groupes de ransomware. Les prix varient en fonction de la valeur de la cible : les identifiants d'une entreprise du Fortune 500 peuvent atteindre 50 000 dollars, tandis que l'accès à une petite entreprise se vend pour quelques centaines de dollars. Cette spécialisation permet à chaque groupe de se concentrer sur son domaine d'expertise : le vol d'identifiants, le courtage d'accès ou l'exécution d'attaques par ransomware.
Le délai entre le vol des identifiants et le déploiement du ransomware est en moyenne de 4 à 7 jours, mais les groupes sophistiqués peuvent agir plus rapidement. Cette période représente le moment critique pour la détection et la réponse. Les organisations qui détectent et réagissent au vol d'identifiants en quelques heures peuvent empêcher l'escalade, tandis que celles qui mettent plusieurs jours à réagir sont inévitablement compromises. Le délai moyen de détection de 4 jours signifie que la plupart des organisations découvrent les infections après que les attaquants ont déjà monétisé les données volées.
Une défense efficace contre les voleurs d'informations nécessite des stratégies multicouches combinant contrôles techniques, améliorations des processus et formation des utilisateurs. Le taux de contournement endpoint , qui atteint 66 %, démontre pourquoi les entreprises ne peuvent pas se contenter d'une seule couche de sécurité.
Les stratégies de détection doivent tenir compte de la nature furtive et des capacités polymorphes des infostealers. Les variantes modernes utilisent des techniques d'évasion sophistiquées, notamment le « process hollowing », les tactiques « living-off-the-land » et les communications cryptées. L'analyse comportementale offre une détection plus fiable que les approches basées sur les signatures, en se concentrant sur les modèles d'activité anormaux plutôt que sur malware spécifiques malware . L'analyse forensique de la mémoire peut révéler les infostealers opérant entièrement dans la RAM, tandis que les solutions détection et réponse aux incidents NDR) identifient les modèles suspects d'exfiltration de données.
La prévention nécessite de s'attaquer à la fois aux vulnérabilités techniques et aux facteurs humains. Si les contrôles technologiques offrent une protection essentielle, le comportement des utilisateurs reste le principal vecteur d'infection. Les organisations doivent trouver un équilibre entre les exigences de sécurité et la facilité d'utilisation, en veillant à ce que les mesures de protection n'entravent pas la productivité. L'évolution rapide des techniques d'infostealing signifie que les défenses d'hier peuvent s'avérer inefficaces contre les menaces d'aujourd'hui, ce qui nécessite une adaptation et une amélioration continues.
Les méthodes de détection efficaces comprennent :
Les solutions Endpoint et de réponseEndpoint (EDR) rencontrent des difficultés importantes pour détecter les voleurs d'informations modernes. Le taux de contournement de 66 % reflète les techniques d'évasion sophistiquées spécialement conçues pour contourner endpoint . Les voleurs d'informations utilisent des API Windows légitimes pour extraire les identifiants, ce qui rend leur comportement normal aux yeux des solutions EDR. Ils opèrent brièvement, extrayant les données et se désactivant avant que les algorithmes de détection ne signalent une activité suspecte.
Les variantes modernes utilisent plusieurs techniques anti-EDR, notamment des appels système directs contournant les hooks API, l'injection de processus dans des applications de confiance et des opérations au niveau du noyau évitant la surveillance en mode utilisateur. Elles détectent les environnements de virtualisation et de sandbox, restant inactives lorsqu'elles sont analysées. Certaines variantes ciblent spécifiquement les processus EDR, tentant de désactiver ou de corrompre les outils de sécurité avant de commencer l'extraction des identifiants.
La solution ne consiste pas à abandonner l'EDR, mais à le compléter par des technologies complémentaires. Les solutions ITDR (Identity Threat Detection and Response) se concentrent sur les anomalies liées à l'identité plutôt que sur endpoint . La détection réseau identifie l'exfiltration de données indépendamment de endpoint . Les technologies de tromperie créent des identifiants leurres qui déclenchent des alertes lorsqu'ils sont consultés. Cette approche de défense en profondeur pallie les limites de l'EDR tout en maintenant endpoint .
La rapidité est essentielle pour réussir à contrer les infections par des logiciels malveillants visant à voler des informations. L'accord de niveau de service (SLA) de 4 heures pour la réinitialisation des identifiants représente la meilleure pratique, mais sa mise en œuvre nécessite une préparation et une automatisation. Chaque heure de retard augmente le risque de monétisation des identifiants et d'attaques secondaires.
Les mesures d'intervention immédiates doivent se concentrer sur le confinement et l'invalidation des identifiants. Cela implique notamment d'isoler les systèmes infectés de l'accès au réseau, de réinitialiser tous les mots de passe potentiellement compromis, de révoquer les sessions actives et les jetons d'authentification, et d'examiner les journaux d'accès à la recherche d'authentifications suspectes. Les organisations doivent informer les utilisateurs et les partenaires concernés tout en conservant les preuves médico-légales pour l'enquête. La mise en place temporaire de facteurs d'authentification supplémentaires et la surveillance des tentatives de réutilisation des identifiants permettent d'éviter toute nouvelle compromission.
La récupération va au-delà des mesures techniques correctives et inclut également l'amélioration des processus et la formation des utilisateurs. Les organisations doivent analyser les vecteurs d'infection afin d'éviter toute récidive, mettre à jour les contrôles de sécurité en fonction des enseignements tirés et renforcer la surveillance des modèles d'attaque similaires. La formation des utilisateurs doit aborder les tactiques spécifiques d'ingénierie sociale utilisées, tandis que les équipes de sécurité doivent réviser les procédures d'intervention en cas d'incident en fonction de leur expérience. La surveillance du dark web à la recherche d'identifiants divulgués et les évaluations régulières de la sécurité permettent d'identifier les risques actuels.
Les cadres réglementaires reconnaissent de plus en plus le vol d'identifiants comme un problème critique en matière de conformité. Les organisations sont soumises à une pression croissante pour mettre en œuvre des contrôles complets protégeant les systèmes d'authentification et les identités des utilisateurs.
MITRE ATT&CK cartographie les comportements des voleurs d'informations à travers plusieurs techniques, notamment T1003 (vidage des identifiants du système d'exploitation), T1555 (identifiants provenant des magasins de mots de passe), T1539 (vol de cookies de session Web), T1056 (capture des entrées) et T1005 (données provenant du système local). Cette cartographie permet aux organisations d'aligner leurs stratégies défensives sur les modèles de menaces reconnus. Les cadres de conformité font référence à ces techniques lorsqu'ils définissent les exigences en matière de sécurité.
Le cadre de cybersécurité 2.0 du NIST traite les menaces liées au vol d'informations à travers plusieurs familles de contrôles. PR.AC (gestion des identités et contrôle d'accès) exige une authentification forte et une protection des identifiants. DE.CM (surveillance continue de la sécurité) impose des capacités de détection du vol d'identifiants. RS.AN (analyse) exige des procédures d'enquête en cas de compromission suspectée. Ces contrôles constituent la base de la conformité réglementaire dans tous les secteurs.
La directive européenne NIS2, qui entrera en vigueur en octobre 2024, traite spécifiquement des violations d'identifiants. Les organisations doivent signaler les incidents importants dans les 24 heures, puis fournir des rapports détaillés dans les 72 heures. Le vol d'identifiants affectant des services critiques déclenche des notifications obligatoires aux autorités nationales. Les sanctions en cas de non-conformité peuvent atteindre 2 % du chiffre d'affaires annuel mondial, ce qui souligne les risques financiers liés à des contrôles inadéquats.
Le secteur de la sécurité a évolué au-delà des défenses périmétriques traditionnelles, reconnaissant que le vol d'identifiants nécessite des stratégies centrées sur l'identité. Les approches modernes partent du principe que les violations sont inévitables et se concentrent sur la limitation de leur impact grâce à des changements architecturaux et aux technologies émergentes.
Zero Trust modifie fondamentalement la manière dont les organisations abordent la sécurité des identifiants. Plutôt que de faire implicitement confiance aux utilisateurs authentifiés, Zero Trust vérifie Zero Trust l'identité et l'autorisation. Cette approche limite la valeur des identifiants volés en exigeant une vérification supplémentaire pour les actions sensibles. La microsegmentation contient les violations, empêchant tout mouvement latéral même avec des identifiants valides. Le principe du moindre privilège garantit que les comptes compromis n'accèdent qu'aux ressources nécessaires.
La surveillance automatisée du dark web est devenue essentielle pour une défense proactive. Des services analysent en permanence les marchés clandestins à la recherche d'identifiants d'organisations, fournissant ainsi une alerte précoce en cas de compromission. L'intégration avec les systèmes de gestion des identités permet une réponse automatique lorsque des identifiants apparaissent en ligne. Des algorithmes d'apprentissage automatique identifient les schémas suggérant des attaques ciblées, tandis que les flux de renseignements sur les menaces fournissent des informations contextuelles sur les campagnes émergentes. Cette approche proactive permet aux organisations de passer d'une posture de sécurité réactive à une posture prédictive.
Les identifiants de session liés à un appareil (DBSC) représentent la prochaine évolution en matière de sécurité d'authentification. Cette technologie émergente lie cryptographiquement les jetons de session à des appareils spécifiques, empêchant ainsi les attaques par rejeu même en cas de vol de cookies. Les premières implémentations donnent des résultats prometteurs, mais leur adoption à grande échelle dépendra de la prise en charge par les navigateurs et les applications. Les clés d'accès FIDO2, désormais prises en charge par 93 % des comptes utilisateurs, offrent une protection immédiate grâce à une authentification phishing que les voleurs d'informations ne peuvent compromettre.
Vectra AI la détection des voleurs d'informations sous l'angle de l'identité, en combinant les signaux réseau et d'identité pour identifier les tentatives de vol d'identifiants avant que l'exfiltration ne se produise. Plutôt que de s'appuyer sur malware qui deviennent rapidement obsolètes, Attack Signal Intelligence™ se concentre sur les anomalies comportementales indiquant une compromission. Cette méthodologie détecte les variantes inconnues et zero-day en identifiant les comportements cohérents que tous les voleurs d'informations doivent présenter : accès aux magasins d'identifiants, établissement de canaux de commande et exfiltration de données. En corrélant les anomalies d'identité avec les modèles réseau, les équipes de sécurité obtiennent une visibilité sur les attaques qui contournent endpoint traditionnelle endpoint .
Le paysage de la cybersécurité continue d'évoluer rapidement, les voleurs d'informations étant au premier plan des nouveaux défis. Au cours des 12 à 24 prochains mois, les organisations devront se préparer à plusieurs changements majeurs qui vont bouleverser la manière dont nous nous défendons contre le vol d'identifiants.
L'intelligence artificielle transforme à la fois les capacités d'attaque et de défense. Les attaquants exploitent l'IA pour créer phishing convaincants, identifier automatiquement les cibles de grande valeur dans les ensembles de données volés et développer malware polymorphes malware s'adaptent aux mesures défensives. Les défenseurs ripostent avec une analyse comportementale alimentée par l'IA, une recherche automatisée des menaces et des modèles prédictifs identifiant les cibles potentielles. Cette course à l'armement de l'IA s'accélérera jusqu'en 2026, les avantages passant des attaquants aux défenseurs à mesure que les technologies mûrissent.
L'informatique quantique représente une menace à long terme pour les méthodes de chiffrement actuelles qui protègent les identifiants stockés. Même si les ordinateurs quantiques pratiques ne seront pas disponibles avant plusieurs années, les organisations doivent commencer à se préparer à des attaques de type « récolter maintenant, déchiffrer plus tard », dans lesquelles les adversaires volent des données chiffrées pour les déchiffrer ultérieurement. Les normes de cryptographie post-quantique, finalisées par le NIST en 2024, doivent être mises en œuvre dans tous les systèmes d'authentification. Les organisations doivent inventorier leurs dépendances cryptographiques et élaborer des plans de migration vers des algorithmes résistants à l'informatique quantique.
La pression réglementaire va s'intensifier à la suite de violations très médiatisées attribuées au vol d'identifiants. La directive NIS2 de l'UE établit des précédents que d'autres régions sont susceptibles de suivre, avec des notifications obligatoires en cas de violation et des sanctions importantes en cas de contrôles inadéquats. Le projet de loi fédérale américaine sur la protection de la vie privée comprend des dispositions traitant spécifiquement de la protection des identifiants et de la vérification d'identité. Les organisations opérant à l'échelle internationale sont confrontées à un ensemble complexe d'exigences qui nécessitent la mise en place de programmes complets de sécurité des identités.
Les priorités d'investissement pour les 24 prochains mois doivent se concentrer sur trois domaines critiques. Premièrement, les organisations doivent accélérer l'adoption des clés d'accès, avec pour objectif une couverture à 100 % des comptes privilégiés d'ici le deuxième trimestre 2026. Deuxièmement, le déploiement de l'ITDR doit dépasser le stade des programmes pilotes pour s'étendre à la mise en œuvre en production couvrant tous les magasins d'identités. Troisièmement, Zero Trust doivent passer de cadres conceptuels à des architectures opérationnelles avec vérification continue et microsegmentation.
La convergence des environnements informatiques et OT crée de nouvelles surfaces d'attaque pour les voleurs d'informations. Les systèmes de contrôle industriels se connectent de plus en plus aux réseaux d'entreprise, exposant ainsi les technologies opérationnelles à des risques de vol d'identifiants. Les identifiants compromis d'un ingénieur pourraient permettre d'accéder à des infrastructures critiques, créant ainsi des scénarios individu pouvant entraîner des dommages physiques au-delà du simple vol de données. Les organisations doivent étendre leurs programmes de sécurité des identités aux environnements OT, en mettant en œuvre des contrôles spécialisés pour les systèmes industriels.
L'épidémie d'infostealers représente un changement fondamental dans le paysage de la cybersécurité, où les défenses périmétriques traditionnelles et endpoint s'avèrent insuffisantes contre les attaques ciblant les identifiants. Avec 1,8 milliard d'identifiants volés rien qu'en 2025 et 86 % des violations impliquant le vol d'identifiants, les organisations ne peuvent plus considérer la sécurité des identités comme secondaire par rapport à la protection du réseau. L'émergence de variantes sophistiquées telles que Lumma, Acreed et StealC V2, disponibles pour seulement 200 dollars par mois, a démocratisé les capacités d'attaque avancées, tandis que le taux de contournement des EDR de 66 % révèle des lacunes critiques dans les défenses actuelles.
Pour lutter efficacement contre les voleurs d'informations, il faut adopter des stratégies de sécurité centrées sur l'identité qui partent du principe que la compromission est inévitable plutôt que de miser sur une prévention parfaite. Les entreprises doivent accélérer l'adoption des clés d'accès FIDO2, désormais prises en charge par 93 % des comptes, tout en mettant en œuvre des solutions ITDR qui détectent les tentatives de vol d'identifiants, quelles que soient malware . Le délai de réponse de 4 heures pour la réinitialisation des identifiants, bien que difficile à respecter compte tenu de la moyenne actuelle de 4 jours pour la détection, représente la différence cruciale entre des incidents maîtrisés et des violations catastrophiques. Zero Trust qui vérifient en permanence l'identité et limitent la portée des identifiants fournissent des défenses architecturales essentielles.
À l'avenir, la convergence des attaques améliorées par l'IA, des menaces liées à l'informatique quantique et des exigences réglementaires va transformer la manière dont les entreprises abordent la sécurité des identifiants. Les 12 à 24 prochains mois seront décisifs, car les entreprises s'empressent de mettre en place des clés d'accès, de déployer des plateformes ITDR et de mettre en œuvre Zero Trust cybercriminels des technologies émergentes. Les responsables de la sécurité doivent passer d'une approche réactive à des stratégies proactives, en considérant l'identité comme le nouveau périmètre de sécurité tout en se préparant à un environnement où chaque identifiant représente un vecteur de violation potentiel.
Agissez dès aujourd'hui en évaluant la vulnérabilité de votre organisation aux attaques visant les identifiants et en découvrant comment les approches modernes centrées sur l'identité peuvent renforcer votre défense contre la menace croissante des voleurs d'informations.
Les infostealers diffèrent fondamentalement des autres malware par leurs objectifs et leurs méthodes opérationnels. Alors que les ransomwares annoncent leur présence par le chiffrement des fichiers et les demandes de rançon, les infostealers opèrent en silence, évitant toute détection tout en extrayant des données précieuses. Contrairement aux chevaux de Troie d'accès à distance (RAT) qui maintiennent un accès persistant par une porte dérobée pour un contrôle manuel, les infostealers automatisent le processus d'extraction et s'autodétruisent généralement après avoir accompli leur mission.
La nature non persistante des infostealers les rend particulièrement difficiles à détecter et à éliminer. Ils ne nécessitent pas de communication de commande et de contrôle continue comme les botnets, mais effectuent plutôt des opérations rapides de type « smash-and-grab » (casse et vol). Leur objectif précis — le vol d'identifiants et de données — leur permet d'éviter les modifications du système susceptibles de déclencher des alertes de sécurité. Cette approche chirurgicale, combinée à des techniques d'évasion sophistiquées, explique pourquoi 66 % d'entre eux parviennent à contourner endpoint traditionnelles endpoint . Le modèle économique est également différent, les infostealers étant vendus comme des services plutôt que comme des outils, ce qui réduit les barrières à l'entrée pour les cybercriminels.
Les logiciels antivirus traditionnels présentent des limites importantes dans la détection des infostealers modernes. Des études montrent que 66 % d'entre eux parviennent à échapper aux solutions endpoint et de réponse endpoint (EDR). Ce taux de contournement élevé s'explique par plusieurs facteurs, notamment le code polymorphe qui change à chaque infection, l'utilisation légitime d'API qui semble inoffensive et les techniques anti-analyse sophistiquées qui détectent les outils de sécurité. Les infostealers fonctionnent souvent entièrement en mémoire, ne laissant que des traces minimes pour la détection basée sur les signatures.
La solution ne consiste pas à abandonner les antivirus, mais à les compléter par une détection comportementale et une sécurité axée sur l'identité. Les solutions ITDR surveillent les modèles d'accès aux identifiants anormaux, quel que soit le malware sous-jacent. La détection réseau identifie les exfiltrations de données suspectes même lorsque endpoint échoue. Les entreprises doivent maintenir à jour leurs antivirus comme défense de base tout en mettant en œuvre des couches supplémentaires, notamment le contrôle des applications, l'isolation des navigateurs et la surveillance continue de l'authentification. Des tests réguliers des capacités de détection à l'aide d'échantillons contrôlés d'infostealers permettent d'identifier les failles avant que des attaques réelles ne les exploitent.
Les identifiants volés entrent dans une économie souterraine sophistiquée avec des marchés, des modèles de tarification et des canaux de distribution bien établis. Dans un premier temps, les opérateurs d'infostealers trient les données capturées en fonction de leur valeur : les comptes d'entreprise, les identifiants bancaires et les portefeuilles de cryptomonnaies atteignent des prix élevés. Les identifiants en vrac sont soumis à une validation automatisée afin de confirmer les comptes actifs, les entrées non valides étant filtrées. Les courtiers en accès initial (IAB) achètent des identifiants d'entreprise de grande valeur, puis les reconditionnent pour les vendre à des groupes de ransomware et à des acteurs de menaces persistantes avancées (APT).
Le marché clandestin fonctionne comme un site de commerce électronique légitime, avec des systèmes de réputation, un service client et des garanties de remboursement. Les prix varient considérablement en fonction de la valeur cible : les identifiants d'un cadre supérieur d'une entreprise du Fortune 500 peuvent se vendre 50 000 dollars, tandis que les comptes de consommateurs se négocient entre 10 et 50 dollars. Les cybercriminels utilisent les identifiants volés pour obtenir un gain financier immédiat grâce à des achats et des virements non autorisés, des attaques par compromission des e-mails professionnels (BEC) visant les partenaires et les clients, et le vol de cryptomonnaies vidant les portefeuilles numériques. Les acteurs étatiques acquièrent des identifiants à des fins de cyberespionnage et de collecte de renseignements, tandis que les entreprises concurrentes se livrent à de l'espionnage industriel. La rapidité de la monétisation signifie que les organisations ont quelques heures, et non quelques jours, pour réagir au vol d'identifiants.
Les meilleures pratiques du secteur établissent un accord de niveau de service (SLA) de 4 heures pour la réinitialisation des identifiants après confirmation d'une infection par un voleur d'informations, bien que la détection moyenne actuelle soit de 4 jours. Cet écart entre les temps de réponse idéaux et réels représente une opportunité pour les pirates de monétiser les identifiants volés. Chaque heure de retard augmente les risques d'attaques secondaires, de mouvements latéraux et d'exfiltration de données. Les organisations qui détectent les infections dans les premières 24 heures préviennent 92 % des attaques en aval, tandis que celles qui prennent plus de temps sont presque certaines d'être compromises.
Une réponse immédiate nécessite des procédures préparées et une automatisation. Dans l'heure qui suit, isolez les systèmes infectés et lancez la préservation des preuves. Les 2 à 3 heures suivantes sont consacrées à la réinitialisation des identifiants des utilisateurs concernés, à la révocation des sessions actives et à la notification des équipes de sécurité. À la quatrième heure, mettez en place une surveillance renforcée des comptes concernés et commencez à rechercher les menaces liées aux infections. Les activités post-incident comprennent la réinitialisation complète des mots de passe pour tous les comptes potentiellement exposés, le déploiement de facteurs d'authentification supplémentaires, la surveillance du dark web à la recherche d'identifiants divulgués et la formation des utilisateurs sur le vecteur d'attaque spécifique. Les organisations doivent organiser des exercices trimestriels pour tester les procédures d'intervention, afin de s'assurer que les équipes peuvent respecter le SLA de 4 heures en cas d'infection réelle.
Oui, les clés d'accès offrent une protection exceptionnelle contre les voleurs d'informations grâce à une conception cryptographique qui rend impossible le vol d'identifiants. Contrairement aux mots de passe stockés dans les navigateurs ou les gestionnaires de mots de passe, les clés d'accès utilisent un système de cryptographie à clé publique-privée dans lequel la clé privée ne quitte jamais l'appareil. Même si les voleurs d'informations extraient les données du navigateur, ils ne peuvent pas accéder aux clés cryptographiques stockées dans les modules de sécurité matériels. Avec 93 % des comptes utilisateurs prenant désormais en charge les clés d'accès FIDO2, cette technologie représente la défense la plus efficace actuellement disponible contre le vol d'identifiants.
La nature phishing des clés d'accès permet de lutter à la fois contre les attaques techniques et les attaques d'ingénierie sociale. Les utilisateurs ne peuvent pas fournir accidentellement leurs clés d'accès à de faux sites web, car le protocole cryptographique valide le domaine demandeur. Cela élimine le principal vecteur d'infection pour les voleurs d'informations : les utilisateurs qui saisissent leurs identifiants sur des sites malveillants. Des défis restent à relever en matière de mise en œuvre, notamment la prise en charge des applications héritées, les besoins en matière de formation des utilisateurs et les procédures de récupération des comptes. Les organisations doivent donner la priorité au déploiement des clés d'accès pour les comptes privilégiés et les cibles de grande valeur, puis étendre progressivement leur couverture à mesure que les utilisateurs se familiarisent avec cette technologie. Associées aux Zero Trust et à la surveillance ITDR, les clés d'accès créent une défense en profondeur qui réduit considérablement les risques de vol d'identifiants.
Les infostealers contournent l'authentification multifactorielle (MFA) en volant les cookies de session, capturant ainsi les sessions authentifiées après que les utilisateurs ont répondu aux questions de sécurité. Lorsque les utilisateurs s'authentifient, les sites web créent des cookies de session qui maintiennent leur état de connexion. Les infostealers extraient ces cookies du stockage du navigateur, ce qui permet aux pirates de reproduire les sessions authentifiées sans connaître les mots de passe ni posséder les dispositifs MFA. Cette technique, connue sous le nom de détournement de session, contourne même les implémentations MFA les plus robustes, y compris les jetons matériels et l'authentification biométrique.
Les variantes avancées utilisent phishing en temps réel, capturant les codes MFA au moment où les utilisateurs les saisissent. L'infrastructure de l'attaquant se situe entre les victimes et les sites légitimes, relayant les défis d'authentification tout en capturant les réponses. Certains voleurs d'informations ciblent spécifiquement les codes de secours MFA stockés dans les gestionnaires de mots de passe ou les notes du navigateur. D'autres extraient les graines des applications d'authentification, ce qui permet aux attaquants de générer des codes TOTP valides. La défense nécessite la mise en œuvre de clés d'accès FIDO2 qui résistent aux attaques par rejeu, le déploiement d'identifiants de session liés à l'appareil (DBSC), la surveillance des déplacements impossibles et des modèles d'accès anormaux, et l'exigence d'une réauthentification pour les actions sensibles. Les organisations doivent également mettre en place des délais d'expiration de session courts et une authentification continue qui valide l'identité de l'utilisateur tout au long des sessions plutôt que seulement lors de la connexion.
Les nouvelles variantes telles qu'Acreed et StealC V2 représentent une avancée considérable en matière de capacités d'infostealing, intégrant les enseignements tirés des opérations de démantèlement menées par les forces de l'ordre et des améliorations apportées à la sécurité. Ces nouvelles plateformes disposent d'architectures modulaires permettant des attaques personnalisées, les opérateurs sélectionnant des modules spécifiques en fonction des cibles. Des techniques d'évasion avancées spécialement conçues pour contourner les solutions EDR modernes contribuent au taux d'échec de détection de 66 %. Les protocoles basés sur JSON et les canaux de commande cryptés résistent à la surveillance du réseau, tandis que les capacités anti-forensiques, notamment l'auto-suppression et la falsification des journaux, compliquent les enquêtes.
La démocratisation des fonctionnalités avancées grâce à des abonnements mensuels à 200 dollars signifie que les attaques sophistiquées ne nécessitent plus d'expertise technique. La fonctionnalité de capture d'écran multi-moniteur de StealC V2 permet de récupérer des informations autres que les identifiants stockés, notamment les données sensibles affichées à l'écran et les codes QR d'authentification. L'intégration de l'apprentissage automatique permet de hiérarchiser automatiquement les cibles, en se concentrant d'abord sur les identifiants de grande valeur. Ces variantes démontrent également une meilleure résilience aux démantèlements grâce à une infrastructure distribuée, des canaux de commande basés sur la blockchain et une adaptation rapide aux mesures prises par les forces de l'ordre. La rapidité de l'innovation implique que les stratégies défensives doivent évoluer en permanence, les organisations ne pouvant plus se contenter de défenses statiques face à des menaces en constante évolution.