Infostealers - Comment les prévenir et les atténuer ?

Les Infostealers sont un type de logiciel malveillant qui s'infiltre dans les systèmes informatiques pour voler des informations sensibles, telles que les identifiants de connexion et les informations financières. Ciblant principalement les données des navigateurs et opérant de manière secrète, cette forme de vol d'informations logiciel malveillant peut se propager par le biais de nombreux vecteurs d'attaque, notamment les courriels phishing, les téléchargements malveillants, la publicité malveillante et d'autres encore.

RAPPORT SUR LA CYBERSÉCURITÉ Demander une démo

Que sont les Infostealers ?

Les voleurs d'informations font partie d'un secteur plus large d'exfiltration de données, les informations volées étant souvent conditionnées et échangées sur le dark web. Les cybercriminels commercialisent également les voleurs d'informations sous forme de logiciel malveillant-as-a-Service (MaaS), abaissant ainsi la barrière à l'entrée pour les acteurs malveillants.

Avec la maturation de l'écosystème autour de l'exfiltration des données et l'abandon des autres vecteurs d'attaque, les voleurs d'informations constituent une menace croissante contre laquelle vous devez vous protéger.

L'état de la cybersécurité en 2025 : Les voleurs d'informations ont le vent en poupe

Check PointLe rapport sur l'état de la cybersécurité en 2025 de la Commission européenne décrit en détail l'augmentation rapide du nombre de voleurs d'informations :

  • Les différents vecteurs d'infection du logiciel malveillant
  • L'industrie en pleine expansion qui s'est développée autour de l'exfiltration des données des entreprises
  • Les implications potentielles de la sécurité des données pour les entreprises

Le rapport indique que les attaques de voleurs d'informations ont augmenté de 58% en 2024.

Si la technologie qui sous-tend le logiciel malveillant de vol d'informations n'a pas beaucoup évolué au cours de l'année écoulée, le déclin des grands botnets, la maturation du marché plus large de l'exfiltration de données et l'adoption du travail à distance en font un point d'entrée efficace pour pénétrer dans le réseau de l'entreprise.

Les attaques d'Infostealer sont généralement de grande envergure, ciblant de nombreuses personnes et organisations plutôt que de chercher à pénétrer dans un réseau d'entreprise spécifique.

Les recherches montrent que 70% de tous les appareils infectés par des voleurs d'informations sont des appareils personnels plutôt que des appareils d' entreprise. L'un des principaux objectifs du ciblage des appareils personnels est d'accéder aux ressources de l'entreprise par le biais de points d'entrée " Bring Your Own appareil" (BYOD).

Le marché de l'information

Méthode rapide et relativement facile d'accès aux informations sensibles d'une entreprise, les voleurs d'informations peuvent rapidement collecter des quantités importantes de logs (identifiants de connexion ou autres informations sensibles permettant d'accéder à un réseau d'entreprise, constituant la première étape d'une violation de données plus importante).

logiciel malveillant As a Service

Grâce à leur capacité à collecter rapidement de gros volumes de données, les cybercriminels à l'origine des voleurs d'informations les commercialisent désormais auprès d'acteurs moins avancés sur le plan technique par l'intermédiaire de MaaS.

Voici quelques exemples des plateformes MaaS de vol d'informations les plus populaires sur le dark web :

  • RedLine Stealer
  • LummaC2
  • VolerC
  • Vidar

Le client ou l'affilié MaaS achète des licences pour ces outils de vol d'informations afin de mener ses propres campagnes d'infection. Les lots de données volées retournées sont ensuite vendus ou échangés sur la place de marché des voleurs d'informations. Le plus souvent par le biais de plateformes telles que Telegram ou de marchés clandestins, dont beaucoup sont basés en Russie.

Les plateformes de vol d'informations MaaS se font concurrence sur la base de la qualité des journaux et de la capacité à classer et à présenter rapidement les données volées sur la place de marché. La valeur de ces journaux diminue avec le temps, à mesure que les équipes de sécurité apprennent l'existence de la menace, suppriment le logiciel voleur d'informations de leur réseau et corrigent les risques générés.

C'est pourquoi les vendeurs d'informations doivent fournir un accès rapide à leurs derniers journaux, au moment où ils sont le plus utiles.

Courtiers d'accès initial

Les courtiers en accès initial (Initial Access Brokers, IAB) sont un autre acteur de l'écosystème des voleurs d'informations, au-delà des vendeurs et des affiliés. Il s'agit de personnes qui exploitent les informations initiales pour s'implanter dans le réseau de l'entreprise.

Ils veillent à ce qu'un journal puisse être converti en un accès plus large au réseau. 

En fournissant ce service, ils peuvent revendre l'accès à des cibles spécifiques sur des forums du dark web, attirant ainsi des acteurs de la menace ayant des objectifs spécifiques, tels que des attaques par logiciel rançonneur. Ces acteurs de la menace pourraient en outre monnayer les données initiales obtenues par le voleur d'informations en offrant des capacités d'attaque par le biais d'un logiciel rançonneur-as-a-Service (RaaS).

L'argent généré par ces stratagèmes, ainsi que des cybercrimes financiers plus simples (vol d'identité, fraude, transactions non autorisées, etc.), alimentent la croissance de l'écosystème des voleurs d'informations.

Cibles de l'Infostealer

L'analyse des données révèle que les billes les plus courantes disponibles à la vente appartiennent aux plus grands fournisseurs de services en ligne et plateformes de médias sociaux, les 5 premiers étant :

  1. accounts.google.com
  2. facebook.com
  3. roblox.com
  4. login.live.com
  5. instagram.com

Étant donné la nature générale et non ciblée de la plupart des campagnes d'infection par des voleurs d'informations, il n'est pas surprenant que les identifiants de connexion volés appartiennent aux services les plus populaires.

Mais l'analyse suggère que les joueurs pourraient être plus sensibles que d'autres aux attaques de voleurs d'informations, en raison de la prévalence des identifiants de connexion à des sites et services connexes : Roblox, Discord, Twitch et Epic Games dans le top 13. Cela pourrait s'expliquer par le fait que l'hygiène de l'internet est moins stricte dans ces communautés.

Données géographiques d'Infostealer

Les voleurs de bois sont souvent étroitement liés à la Russie, les grumes étant vendues sur les marchés russes. L'analyse des grumes sur le marché russe montre qu'une part importante provient de pays comme l'Inde et le Brésil.

Les cinq principaux pays d'origine des grumes vendues sur le marché russe sont indiqués ci-dessous :

  1. Inde 10%
  2. Brésil 8%
  3. Indonesia 5%
  4. Pakistan 5%
  5. Égypte 5%

Comment prévenir les voleurs d'images

La protection contre le vol d'informations logiciel malveillant et l'exfiltration de données nécessite des processus de sécurité sophistiqués et des meilleures pratiques qui couvrent l'ensemble de votre organisation. Il s'agit notamment de protéger tous les points d'entrée potentiels, tels que les BYOD utilisés pour le travail à distance ou hybride.

Ces appareils étendent considérablement votre surface d'attaque et offrent aux voleurs d'informations beaucoup plus d'opportunités.

Les IAB peuvent identifier les journaux des appareils personnels qui offrent un accès à un réseau d'entreprise précieux - même en contournant les mécanismes d'authentification multifacteurs (MFA) en volant la session cookies trouvée sur l'appareil personnel. Par conséquent, tout processus de sécurité que vous avez mis en place doit s'étendre au-delà du périmètre traditionnel de l'entreprise pour inclure chaque point d'accès.

Méthodes clés pour empêcher les voleurs d'informations de s'infiltrer dans vos systèmes :

  • Repérer les attaques d'ingénierie sociale : Étant donné que les voleurs d'informations sont le plus souvent distribués par le biais de phishing et de téléchargements malveillants, votre meilleure défense consiste à former votre personnel à repérer les attaques d'ingénierie sociale. En outre, vous devriez envisager des outils de sécurité pour le courrier électronique qui bloquent les courriels ou les liens suspects.
  • Empêcher la synchronisation des navigateurs : Cela permet de s'assurer que les mots de passe de vos systèmes d'entreprise ne sont pas accessibles à partir d'un appareil personnel.
  • Utiliser la gestion avancée des identités et le contrôle d'accès: Ces systèmes permettent de suivre les comportements et de réagir en cas d'activité suspecte. Recherchez des outils qui bloquent immédiatement ou introduisent de nouvelles méthodes de vérification en cas d'activité suspecte.
  • Recherche proactive de journaux : Recherchez les journaux relatifs à votre entreprise et à ses employés sur les marchés d'espionnage ou utilisez les renseignements sur les menaces du dark-web pour repérer les fuites potentielles de données, y compris les comptes détournés.
  • Incorporer la détection et la réponse aux menaces (EDR) : Surveillez les menaces de cybersécurité telles que les voleurs d'informations et remédiez-y. Grâce à la détection basée sur le comportement et les signatures, les outils EDR peuvent rapidement identifier les logiciels malveillants sur votre réseau avant qu'ils ne se transforment en une grave atteinte à la protection des données.
  • Tirer parti de l'AMF : Bien qu'il soit possible pour les voleurs d'informations de contourner l'AMF par le biais des cookies de session, il s'agit toujours d'un outil précieux pour se protéger contre l'accès à d'autres formes de données. L'AMF constitue une sécurité au cas où un voleur d'informations accèderait aux identifiants de connexion et essaierait d'organiser une attaque plus large.

Prévenir & Atténuer l'impact des Infostealers avec Check Point

Les voleurs d'informations constituent une menace croissante pour la cybersécurité et permettent des violations de données de plus en plus graves. Avec le développement d'un vaste écosystème cybercriminel autour des voleurs d'informations, ce logiciel malveillant est la clé de l'ouverture de votre réseau aux acteurs de la menace dans le monde entier.

Grâce aux places de marché modernes pour le vol d'informations, le piratage du réseau d'une entreprise et l'obtention d'un accès non autorisé sont davantage une question d'argent que de compétences techniques. Les bases de données de journaux sont accessibles à toute personne disposée à payer. Si vous ne mettez pas en place des protections adéquates contre les voleurs d'informations, vous prenez le risque que les acteurs de la menace qui naviguent sur le dark web choisissent une autre cible plutôt que votre entreprise.

Pour en savoir plus sur le risque croissant que représentent les voleurs d'informations et sur la manière de protéger votre entreprise, vous pouvez télécharger le rapport "The State of Cybersécurité 2025 " sur le site Check Point.

Commencez

Check Point Endpoint Security Protection

Sécurité Zero Trust

Prévention avancée des menaces réseau

Sujets connexes

logiciel malveillant Types

Agent Tesla logiciel malveillant

FormBook logiciel malveillant

Remcos logiciel malveillant

Remote Access Trojan (RAT)