Les profils de victimes d’infostealer les plus ciblés par les cybercriminels : lequel êtes-vous ?

Qu’est-ce qu’un infostealer, et comment ça marche ?

Un infostealer est un type de logiciel malveillant créé pour infecter les systèmes informatiques afin de voler les données stockées localement telles que les noms d'utilisateur et mots de passe enregistrés, les entrées de saisie automatique du navigateur, les informations financières et autres données à caractère personnel des internautes.

Une tactique courante consiste à inciter la victime à exécuter un fichier ou un programme d'installation piégé. Les pirates procèdent généralement via le phishing, le malvertising ou encore l’ingénierie sociale. Une fois le logiciel malveillant exécuté, il collecte des données depuis les points de stockage courants (tels que les navigateurs web, les clients e-mail et les gestionnaires de mots de passe), puis regroupe les informations volées dans un registre et les envoie à un serveur d'infrastructure contrôlé par le pirate. De nombreuses opérations utilisent un panneau d'administration qui reçoit ces fichiers, les organise et les rend faciles à rechercher.

Suite à l'exfiltration des données, les opérateurs d'infostealers vendent ces fichiers à des fins lucratives, les échangent au sein de communautés privées ou les transmettent à d'autres criminels, qui utilisent ensuite les données volées pour prendre le contrôle des comptes des victimes et commettres des fraudes.

Comment les logiciels infostealer s’introduisent sur les appareils

Les infostealers infectent généralement un appareil lorsqu'un utilisateur est amené à exécuter lui-même un fichier malveillant. Les pirates utilisent des techniques d'ingénierie sociale et des canaux de distribution qui donnent aux logiciels malveillants une apparence légitime, utile ou urgente. Les canaux les plus courants sont les suivants :

Logiciels piratés, cheats, mods et outils « gratuits »

Les infostealers peuvent être distribués via des logiciels piratés, des cheats ou des mods de jeux, ou encore des installateurs non officiels, où les logiciels malveillants se greffent sur des programmes légitimes. Ces fichiers sont partagés sur des sites torrent, des plateformes d'hébergement de fichiers, des forums mais également dans les descriptions de vidéos, où les utilisateurs ont tendance à désactiver les avertissements ou à ignorer les invites de sécurité. Une fois exécuté, le malware s'exécute en parallèle du logiciel annoncé et récolte les données stockées.

Fausses pages de téléchargement, publicités malveillantes et pièges liés aux recherches sponsorisées

Les infostealers se propagent également par le biais de publicités frauduleuses, de résultats de recherche sponsorisés et de fausses pages de téléchargement qui imitent les sites légitimes. Ces pages apparaissent lorsque les utilisateurs recherchent des outils, des mises à jour ou des correctifs populaires, et sont suffisamment bien conçues pour ne pas éveiller les soupçons au premier abord. Mais un simple clic imprudent sur un faux bouton de téléchargement peut remplacer le logiciel légitime par un infostealer.

Extensions de navigateur malveillantes

Les logiciels infostealers peuvent également être diffusés via des extensions malveillantes qui se font passer pour des outils légitimes, tels que des bloqueurs de publicités, des modules complémentaires de productivité ou des traqueurs de prix. Une fois ajoutées à un navigateur, ces extensions fonctionnent dans son environnement sécurisé, avec un accès direct aux mots de passe stockés, aux cookies et aux sessions actives. Grâce à ce camouflage, une extension malveillante peut rester en place longtemps après avoir récupéré les données qu'elle recherchait.

Liens et fichiers partagés via la messagerie instantanée et les services de stockage cloud

Les infostealers peuvent également s'introduire dans un appareil via des liens et des fichiers partagés sur des plateformes de discussion telles que les chats de groupe, les serveurs et les messages directs, ainsi que via des liens vers des espaces de stockage cloud publiés sur des forums ou des réseaux sociaux. Les pirates partagent des « outils gratuits », du « contenu premium » ou des « correctifs », puis utilisent l'hébergement de fichiers intégré ou des dossiers partagés pour diffuser des archives et des programmes d'installation infectés. Lorsque la victime ouvre le fichier, l'infostealer s'exécute et commence à collecter les données stockées localement.

Réseaux de chargeurs et campagnes de rémunération par installation

Parfois, les infostealers sont introduits dans les appareils par des malwares appelés « loaders » : de petits programmes déjà installés sur un appareil et dont la seule fonction est de télécharger et de lancer d'autres fichiers malveillants. Les loaders sont généralement installés de la même manière que les infostealers (téléchargements piégés, pièces jointes de phishing ou liens infectés), mais ils restent sur les appareils afin que les pirates puissent déployer de nouveaux malwares ultérieurement. Les cybercriminels paient ces réseaux de chargeurs pour qu'ils poussent les infostealers vers les ordinateurs infectés par pays ou par volume. Ce modèle évite d'avoir à piéger deux fois le même utilisateur et transforme la diffusion de logiciels malveillants en un service automatisé.

Les profils de victimes les plus touchés par les infostealers

Les utilisateurs les plus touchés par les infostealers sont généralement ceux dont les appareils contiennent un mélange dense de mots de passe enregistrés, de connexions synchronisées et d'onglets ouverts avec des sessions actives. Dans la plupart des cas, on retrouve les mêmes types d'utilisateurs, caractérisés par leurs activités en ligne et les outils qu'ils utilisent. Les profils ci-dessous décrivent les types de victimes courants et montrent comment un comportement apparemment normal peut en faire une cible tentante.

Le « toujours connecté »

Le profil « toujours connecté » décrit principalement les utilisateurs Windows qui restent connectés à leur compte et passent beaucoup de temps sur les réseaux sociaux (comme Facebook, Instagram et X), les plateformes payantes de streaming et de médias, les sites d'achat en ligne et les services bancaires. Ces utilisateurs ont tendance à enregistrer leurs mots de passe et à conserver leurs sessions actives, car ils utilisent leurs comptes quotidiennement et se déconnectent rarement. Du pain béni pour un pirate informatique.

Le « gamer »

Le profil « gamer » comprend les utilisateurs qui passent du temps dans de grands écosystèmes de jeux vidéo et installent régulièrement des lanceurs de jeux, des mods, des cheats et des modules complémentaires tiers pour personnaliser ou débloquer le gameplay. Ce type de personnes exécute davantage de fichiers tiers que la plupart des utilisateurs, ce qui augmente les risques d'exécuter un téléchargement piégé et de créer un point d'entrée facile pour les attaquants. Les infostealers infectent les appareils des « gamers » par le biais de jeux piratés, de mods non officiels ou d'outils de performance « gratuits » contenant des logiciels malveillants. Les comptes de jeux stockent généralement les informations de paiement et les achats numériques, et leurs sessions de navigation restent généralement actives, ce qui explique pourquoi les opérateurs d'infostealers privilégient ce groupe.

Le « pro de l'informatique »

Aussi ironique que cela puisse paraître, le profil du « pro de l'informatique » est une cible de choix pour les acteurs malveillants. Les voleurs d'informations frappent durement les professionnels de l'informatique, car leurs terminaux (principalement des PC utilisés pour l'ingénierie ou l'administration informatique) concentrent en un seul endroit des identifiants de grande valeur et des accès administrateur. Ils stockent souvent les identifiants administrateur, les jetons API et les identifiants d'accès à distance, ainsi que les données de navigation quotidiennes. Si un logiciel infostealer s'introduit dans un appareil de ce type, les données de navigation volées peuvent devenir la première porte d'entrée vers l'accès aux outils et à l'infrastructure internes.

Pourquoi le vol de cookies peut vaincre les mots de passe et la MFA

À mesure que la sécurité des connexions s'est améliorée, les tactiques des infostealers ont évolué. Aujourd'hui, les opérateurs d'infostealers ciblent plus souvent les cookies d'authentification et les jetons de session que les mots de passe bruts. Ce changement reflète la manière dont les utilisateurs se connectent désormais à leurs comptes. De plus en plus d'utilisateurs ont recours à des gestionnaires de mots de passe et à l'authentification multifacteurs (MFA), ce qui pousse les pirates à rechercher des données qui leur permettent de contourner ces défenses.

Les cookies et les jetons sont émis après une connexion réussie, ce qui signifie qu'ils peuvent parfois permettre à un pirate d'accéder à un compte sans déclencher un nouvel écran de connexion ou une invite MFA. Ce qui amplifie le risque, c'est la durée de validité d'une session. Un jeton volé peut être réutilisé jusqu'à l'expiration de la session ou jusqu'à ce que le service le révoque, ce qui donne aux pirates une fenêtre pour se déplacer dans les services connectés.

Sur les marchés clandestins, les données de session volées sont désormais considérées comme une marchandise à part entière, dont le prix est directement dicté par la « fraîcheur » du fichier. Le passage du vol de mots de passe au vol de cookies de session et de jetons illustre bien la manière dont les pirates réagissent et s'adaptent au renforcement des mesures de sécurité.

Comment réduire le risque d’être victime d’un infostealer

Pour réduire le risque que votre appareil soit infecté par un malware de type « infostealer », limitez le nombre d'accès aux comptes que votre appareil stocke à la fois et, par conséquent, la portée d'un attaquant si un infostealer compromet votre appareil. L'idée est de réduire le champ d'action en renforçant la sécurité des comptes et des sessions qui déverrouillent d'autres comptes ou services. Les étapes ci-dessous vous indiquent comment procéder sans bouleverser vos habitudes en ligne.

• Protégez d'abord vos comptes les plus sensibles. Pensez en termes de passerelles, et non en termes de nombre de comptes. Verrouillez d'abord votre boîte mail principale, puis appliquez les mêmes protections à vos services bancaires, d'achat et de travail essentiels. Utilisez l'authentification multifacteurs (MFA) et les clés d'accès partout où elles sont prises en charge et essayez de ne pas laisser ces comptes essentiels protégés uniquement par des mots de passe.
• Réduisez la quantité d'informations mémorisées par votre navigateur. Passez régulièrement en revue les mots de passe stockés par votre navigateur ou votre gestionnaire de mots de passe, supprimez ceux que vous n'utilisez plus et déconnectez-vous de toutes les sessions qui vous semblent inconnues. Maintenez également votre système d'exploitation et votre navigateur à jour, car les anciennes versions sont plus faciles à exploiter et plus difficiles à récupérer après une infection par un infostealer.
• Traitez les téléchargements et les outils « gratuits » avec prudence. Évitez d'installer des lanceurs non officiels ou des logiciels piratés. Et si un outil vous demande de désactiver les protections ou de contourner les invites de sécurité pour l'installer, considérez cela comme un signe d'alerte et passez votre chemin.

Soyez attentif aux signes de piratage et changez rapidement d'accès. Surveillez les alertes de connexion inattendues, les e-mails de réinitialisation de mot de passe non sollicités et les nouvelles connexions sur d'autres appareils, autant de signes de piratage de compte. Modifiez vos mots de passe à l'aide d'un autre appareil (pas celui que vous soupçonnez d'être infecté), révoquez les sessions actives lorsque le service le permet et vérifiez les paramètres de récupération de compte afin que les pirates ne puissent pas se reconnecter via votre adresse e-mail ou vos codes de récupération.