Qu'est-ce qu'un infostealer ? Comprendre le malware qui vole vos identifiants

Un infostealer est un type de malware spécialisé dans le vol d’identifiants, de mots de passe, de cookies de session et de données sensibles stockées sur un ordinateur infecté. Contrairement aux ransomwares qui chiffrent vos fichiers, les infostealers opèrent silencieusement, exfiltrant vos données en quelques secondes avant de disparaître sans laisser de trace visible.

En 2025, les infostealers représentent l’une des menaces les plus répandues dans le paysage cyber. Selon le rapport IBM X-Force Threat Intelligence Index, les identifiants volés sont impliqués dans plus de 30 % des incidents de sécurité analysés. Cette réalité place les stealers au coeur des préoccupations des équipes de sécurité, que ce soit dans les grandes entreprises ou les PME.

Comment fonctionne un infostealer ?

Un infostealer suit un cycle d’attaque précis, conçu pour maximiser le volume de données volées tout en minimisant les chances de détection. Le processus se déroule généralement en quatre étapes distinctes qui ne prennent que quelques secondes au total.

Phase 1 : Infection. Le malware arrive sur la machine de la victime par différents vecteurs : pièce jointe malveillante dans un email de phishing, logiciel cracké téléchargé sur un site pirate, fausse mise à jour de navigateur ou publicité malveillante (malvertising). Les campagnes de distribution utilisent souvent YouTube, Discord ou Telegram pour toucher un public large, notamment les jeunes utilisateurs attirés par les cracks de jeux vidéo.

Phase 2 : Collecte. Une fois exécuté, le stealer parcourt le système de fichiers et les bases de données locales des navigateurs. Il extrait les mots de passe enregistrés dans Chrome, Firefox, Edge et Opera, les cookies de session actifs, les données de remplissage automatique, les portefeuilles de cryptomonnaies, les tokens Discord et les fichiers sensibles présents sur le bureau. Certaines familles capturent également une capture d’écran et collectent les informations matérielles de la machine (HWID, nom d’ordinateur, adresse IP).

Phase 3 : Exfiltration. Les données collectées sont compressées dans une archive (souvent protégée par mot de passe) et envoyées vers un serveur de commande et contrôle (C2), un canal Telegram privé ou un serveur Discord contrôlé par l’attaquant. Le tout se déroule en moins de 30 secondes dans la plupart des cas.

Phase 4 : Monétisation. Les logs (archives contenant les données volées) sont ensuite revendus sur des marchés spécialisés du dark web, des forums cybercriminels ou des canaux Telegram dédiés. Un seul log contenant des accès à des services bancaires ou d’entreprise peut se vendre entre 10 et 200 dollars selon sa valeur.

Quelles sont les familles d’infostealers les plus dangereuses ?

Le marché des infostealers est en constante évolution. De nouvelles familles apparaissent régulièrement tandis que d’autres sont démantelées par les forces de l’ordre. Voici les quatre familles les plus actives qui dominent le paysage actuel des menaces.

RedLine Stealer

RedLine a longtemps été le stealer le plus répandu au monde. Distribué sous forme de Malware-as-a-Service (MaaS) pour environ 150 dollars par mois, il offre une interface conviviale permettant à des attaquants sans compétences techniques avancées de lancer des campagnes de vol massives. Bien que les autorités aient mené des opérations contre son infrastructure, des variantes continuent de circuler activement.

Raccoon Stealer

Raccoon Stealer s’est imposé grâce à son modèle économique accessible et ses mises à jour régulières. Sa version 2.0 a été entièrement réécrite en C/C++ pour améliorer ses performances. Après l’arrestation de l’un de ses opérateurs en 2022, le projet a connu des interruptions, mais des forks et des imitations persistent sur les forums underground.

Vidar Stealer

Vidar se distingue par sa capacité à cibler une grande variété d’applications, incluant les gestionnaires de mots de passe, les clients FTP, les clients email et les portefeuilles de cryptomonnaies. Il utilise des techniques d’évasion sophistiquées, notamment la récupération de son adresse C2 depuis des profils de réseaux sociaux légitimes, rendant sa détection plus complexe.

LummaC2

LummaC2 est l’une des menaces les plus récentes et les plus préoccupantes. Ce stealer, écrit en C, cible spécifiquement les navigateurs basés sur Chromium et peut contourner certaines protections comme le chiffrement des cookies introduit par Google. Selon les données du rapport Verizon DBIR 2025, LummaC2 a connu une croissance exponentielle de sa distribution, le plaçant parmi les trois stealers les plus actifs au niveau mondial.

Quelles données un infostealer peut-il voler ?

La quantité de données qu’un infostealer moderne peut extraire est considérable. En quelques secondes, il peut collecter l’intégralité de votre vie numérique stockée localement, sans que vous ne remarquiez quoi que ce soit d’inhabituel sur votre machine.

• Identifiants et mots de passe : tous les mots de passe enregistrés dans vos navigateurs web
• Cookies de session : permettant de prendre le contrôle de vos sessions actives sans connaître le mot de passe
• Données de remplissage automatique : adresses, numéros de téléphone, numéros de carte bancaire
• Portefeuilles de cryptomonnaies : MetaMask, Phantom, Exodus et autres extensions de navigateur
• Tokens d’authentification : Discord, Telegram, Steam et autres applications
• Informations système : adresse IP, pays, nom de l’ordinateur, identifiant matériel (HWID)
• Fichiers sensibles : documents présents sur le bureau ou dans des dossiers spécifiques
• Captures d’écran : image de votre écran au moment de l’infection

Comment se protéger contre les infostealers ?

La protection contre les infostealers repose sur une approche multicouche, combinant bonnes pratiques individuelles et outils de détection professionnels. Aucune mesure isolée ne suffit, mais leur combinaison réduit considérablement le risque.

Mesures préventives essentielles :

1. Ne jamais télécharger de logiciels crackés : c’est le vecteur d’infection numéro un pour les infostealers
2. Activer l’authentification multifacteur (MFA) sur tous vos comptes critiques
3. Utiliser un gestionnaire de mots de passe dédié plutôt que celui du navigateur
4. Maintenir votre système et vos logiciels à jour pour corriger les vulnérabilités connues
5. Former vos collaborateurs à reconnaître les tentatives de phishing et les sites frauduleux

Mesures de détection :

Même avec les meilleures pratiques, une infection peut survenir. C’est pourquoi la détection rapide des fuites d’identifiants est cruciale. Plus vite vous identifiez qu’un mot de passe a été compromis, plus vite vous pouvez le réinitialiser avant qu’il ne soit exploité.

Comment Stealed détecte les identifiants volés par les infostealers ?

Stealed surveille en temps réel les canaux Telegram privés, les forums cybercriminels et les marchés du dark web où les logs d’infostealers sont publiés et échangés. Contrairement aux services comme HaveIBeenPwned qui se concentrent sur les bases de données issues de brèches classiques, Stealed analyse spécifiquement les logs de stealers, la source la plus active de fuites d’identifiants en 2026.

Chaque jour, la plateforme ingère et analyse plus de 100 millions de lignes de données provenant de ces sources. Lorsqu’un identifiant correspondant à l’un de vos domaines surveillés est détecté, une alerte est envoyée en temps réel via Slack, Microsoft Teams ou webhook. Vous savez immédiatement quel utilisateur est compromis, quel mot de passe a fuité et quelle URL est concernée.

Pour aller plus loin

• Comment détecter une fuite d’identifiants : guide étape par étape pour surveiller vos mots de passe et réagir en cas de compromission
• Stealed vs HaveIBeenPwned : comparaison détaillée des deux approches de détection de fuites d’identifiants

Créez un compte gratuitement pour commencer à surveiller vos domaines et détecter les identifiants de vos collaborateurs compromis par des infostealers.