La catastrophe silencieuse
Alors que les rançongiciels dominent les gros titres et les discussions en conseil d’administration, une menace moins visible mais sans doute plus dommageable croît à un rythme exponentiel. Les logiciels malveillants voleurs d’informations — les « infostealers » — sont devenus la couche fondatrice de l’économie cybercriminelle moderne, récoltant silencieusement identifiants, jetons de session, portefeuilles de cryptomonnaies et données personnelles à une échelle qui défie toute compréhension simple.
Les chiffres sont stupéfiants. Selon le rapport de renseignement sur les menaces 2025 de KELA, les infostealers ont compromis 3,9 milliards d’identifiants sur 4,3 millions d’appareils infectés rien qu’en 2024. Le rapport 2025 Identity Exposure de SpyCloud a révélé que 548 millions d’identifiants ont été exfiltrés via des infostealers, avec en moyenne 44 identifiants exposés par infection et 1 861 cookies récoltés par appareil infecté. En janvier 2026, le chercheur en sécurité Jeremiah Fowler a découvert une base de données non protégée contenant 149 millions de paires identifiant-mot de passe uniques — dont 48 millions de comptes Gmail, 17 millions de comptes Facebook et 900 000 comptes Apple iCloud — compilée entièrement à partir d’opérations d’infostealers.
Ce ne sont pas des statistiques abstraites. Chaque identifiant volé est un point d’entrée potentiel pour une attaque de rançongiciel, une opération d’espionnage industriel, un schéma de fraude financière ou un vol d’identité. Les infostealers sont la chaîne d’approvisionnement qui alimente l’ensemble de l’écosystème cybercriminel, et leur industrialisation à travers le modèle Malware-as-a-Service (MaaS) les a rendus accessibles à pratiquement quiconque est prêt à payer.
Au cœur de l’écosystème des infostealers
Le paysage moderne des infostealers est dominé par une poignée de familles de malwares qui opèrent comme des services commerciaux — Lumma, RedLine, StealC, Raccoon et Vidar. Les trois premiers — Lumma, StealC et RedLine — étaient responsables de plus de 75 % des machines infectées en 2024, selon KELA. Chacun offre un ensemble de fonctionnalités légèrement différent, mais le modèle commercial est remarquablement cohérent : un service par abonnement qui fournit les binaires du malware, un panneau de gestion pour suivre les infections et un ensemble d’outils pour organiser et vendre les données volées.
Lumma Stealer : le leader du marché
Lumma Stealer (également connu sous le nom de LummaC2) est devenu l’infostealer le plus prolifique de 2024-2025, avec ESET rapportant une hausse de 369 % des détections entre le premier et le second semestre de 2024. Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par Lumma à l’échelle mondiale sur une fenêtre de seulement deux mois entre mars et mai 2025. Le développeur du malware revendiquait environ 400 clients actifs achetant ses offres Malware-as-a-Service.
Lumma est vendu via un modèle d’abonnement échelonné : 250 $ par mois pour le package standard, montant jusqu’à 1 000 $ pour les fonctionnalités premium incluant des builds personnalisés et des techniques d’évasion avancées, avec un package top de gamme à 20 000 $ donnant accès au code source et aux droits de revente. Le malware cible les magasins d’identifiants des navigateurs, les fichiers de portefeuilles de cryptomonnaies, les extensions d’authentification à deux facteurs, les clients FTP, les clients de messagerie et les cookies de session. Les versions récentes ont incorporé des techniques anti-analyse capables de détecter les environnements sandbox, les machines virtuelles et les outils de chercheurs en sécurité.
En mai 2025, le Digital Crimes Unit de Microsoft a dirigé une opération mondiale de perturbation contre Lumma, saisissant environ 2 300 domaines malveillants en coordination avec Europol, le FBI et le ministère de la Justice des États-Unis. Cependant, la perturbation s’est avérée temporaire — Trend Micro a observé des centaines de nouvelles URL de commandement et contrôle apparaissant dans les semaines suivant le démantèlement, et fin 2025, ESET rapportait que le malware s’était partiellement rétabli, bien que les détections au second semestre 2025 aient diminué de 86 % par rapport à leur pic.
RedLine et Raccoon : les acteurs établis
RedLine Stealer, identifié pour la première fois en mars 2020, est devenu ce qu’ESET a décrit comme l’infostealer le plus prolifique de l’histoire, responsable de 51 % de toutes les infections d’infostealers de 2020 à 2023 selon les recherches de Kaspersky. En octobre 2024, l’Operation Magnus — un effort conjoint de la police nationale néerlandaise, du FBI et d’autres agences — a perturbé l’infrastructure de RedLine, saisissant des serveurs, des domaines et des chaînes Telegram. Malgré cela, RedLine reste activement utilisé.
Raccoon Stealer a subi une perturbation significative lorsque son opérateur principal, le ressortissant ukrainien Mark Sokolovsky, a été arrêté aux Pays-Bas en mars 2022. Sokolovsky, qui louait Raccoon pour 200 $ par mois via cryptomonnaie, a finalement été condamné à cinq ans de prison fédérale après que son rôle a été relié à plus de 52 millions d’identifiants d’utilisateurs compromis. Malgré l’arrestation, une version reconstruite du malware a depuis repris ses opérations.
Le modèle commercial MaaS
Le modèle de distribution Malware-as-a-Service a transformé les infostealers, passant d’outils de hackers expérimentés à des produits banalisés accessibles aux criminels peu qualifiés. Pour environ 250 $ par mois — moins que de nombreux abonnements SaaS légitimes — un abonné reçoit le binaire du malware, un panneau de gestion en ligne pour suivre les infections et organiser les données volées, des outils de distribution et un support technique. Certains services offrent même un service client réactif via des chaînes Telegram.
Cette banalisation a alimenté la croissance explosive de l’activité des infostealers. La barrière à l’entrée pour le vol d’identifiants s’est effondrée à presque zéro, et l’économie est massivement favorable aux attaquants. Un seul abonnement peut récolter des identifiants de milliers de victimes, chaque ensemble d’identifiants valant potentiellement de quelques centimes (pour des comptes grand public de faible valeur) à des milliers de dollars (pour des identifiants d’administrateur VPN ou cloud d’entreprise).
La chaîne d’attaque : de l’infection à l’exploitation
Comprendre comment les infostealers opèrent est essentiel pour s’en défendre. La chaîne d’attaque typique suit un schéma prévisible, bien que les détails varient selon la famille de malware et la méthode de distribution.
Distribution
Les infostealers atteignent les victimes par de multiples vecteurs. Les plus courants incluent les publicités malveillantes (malvertising) qui redirigent vers de fausses pages de téléchargement de logiciels, l’empoisonnement SEO (SEO poisoning) qui place des sites malveillants dans les résultats de recherche pour des requêtes de logiciels populaires, les e-mails d’hameçonnage avec des pièces jointes infectées, et les canaux de distribution de logiciels légitimes compromis. Une technique particulièrement efficace en 2024-2025 impliquait de fausses pages CAPTCHA — les attaques dites « ClickFix » — où les utilisateurs étaient trompés pour exécuter des commandes malveillantes en croyant compléter une vérification humaine.
Collecte d’identifiants
Une fois exécuté sur le système d’une victime, l’infostealer extrait rapidement les données stockées. Les navigateurs modernes stockent les identifiants dans des bases de données chiffrées, mais les clés de chiffrement sont accessibles à tout processus s’exécutant avec les privilèges de l’utilisateur. Le malware déchiffre et exfiltre les mots de passe stockés dans le navigateur, les données de remplissage automatique, les numéros de carte de crédit et l’historique de navigation en quelques secondes. Les portefeuilles de cryptomonnaies, les configurations VPN, les identifiants FTP et les données de clients de messagerie sont également ciblés.
Vol de jetons de session
La capacité peut-être la plus lourde de conséquences des infostealers modernes est le vol de jetons de session. Lorsqu’un utilisateur s’authentifie auprès d’un service web — même avec une authentification multi-facteurs — le service émet un cookie de session qui permet les requêtes ultérieures sans ré-authentification. Les infostealers capturent ces cookies de session, qui peuvent être importés dans le navigateur d’un attaquant pour usurper la session authentifiée de la victime. Cela contourne effectivement le MFA entièrement : l’attaquant n’a jamais besoin de présenter le second facteur car il utilise une session qui a déjà complété l’authentification.
Selon SpyCloud, une moyenne de 1 861 cookies ont été récoltés par infection d’infostealer en 2024. Microsoft a souligné que 80 % des récentes brèches impliquant un contournement du MFA sont survenues par abus de jetons de session. La technique est particulièrement dangereuse car elle fonctionne indépendamment de la méthode MFA utilisée — clés matérielles, applications TOTP, notifications push et codes SMS deviennent tous non pertinents une fois la session authentifiée volée.
Monétisation des données
Les identifiants volés sont généralement organisés en « logs » — des paquets de données structurés contenant toutes les informations extraites du système d’une seule victime. Ces logs sont vendus sur des places de marché spécialisées et des chaînes Telegram où les acheteurs peuvent rechercher des cibles spécifiques — le domaine d’une entreprise particulière, un fournisseur de messagerie spécifique ou des identifiants pour un service particulier. Les prix varient considérablement selon la valeur du contenu, de quelques dollars pour des lots de comptes grand public à des centaines ou milliers pour des identifiants d’accès d’entreprise.
Advertisement
La connexion avec les rançongiciels
La relation entre les infostealers et les rançongiciels n’est pas simplement corrélative — c’est une dépendance directe de chaîne d’approvisionnement. Le rapport M-Trends 2025 de Mandiant a constaté que les identifiants volés étaient le deuxième vecteur d’infection initial le plus courant en 2024, représentant 16 % de toutes les investigations — le niveau le plus élevé jamais atteint pour cette catégorie. Pour les attaques de rançongiciel spécifiquement, Mandiant a relié 21 % des incidents à des identifiants volés.
Les données de SpyCloud renforcent cette connexion : 54 % des victimes de rançongiciel avaient des identifiants d’entreprise précédemment exposés dans des logs d’infostealers, dont 40 % impliquant des adresses e-mail d’entreprise. Près d’un tiers des entreprises ayant subi une attaque de rançongiciel avaient précédemment subi une infection par infostealer.
La chaîne fonctionne comme suit : un infostealer récolte les identifiants VPN depuis l’appareil personnel d’un employé. Les identifiants sont vendus sur une place de marché. Un affilié de rançongiciel achète les identifiants, les utilise pour accéder au réseau de l’entreprise, effectue une reconnaissance et un mouvement latéral, et finalement déploie le rançongiciel. L’ensemble de la chaîne — de l’infection initiale par infostealer au déploiement du rançongiciel — peut s’étendre sur des jours ou des semaines, rendant difficile la connexion des deux événements dans l’analyse post-incident.
Cette dynamique de chaîne d’approvisionnement signifie que se défendre contre les rançongiciels nécessite de se défendre contre les infostealers — une connexion que les stratégies de sécurité de nombreuses organisations ne parviennent pas à établir.
La base de données de 149 millions d’identifiants
La découverte d’une base de données contenant 149 millions de paires identifiant-mot de passe uniques — compilée entièrement à partir d’opérations d’infostealers — illustre l’échelle à laquelle le vol d’identifiants se produit.
La base de données, découverte par le chercheur en sécurité Jeremiah Fowler et divulguée le 23 janvier 2026, n’était ni protégée par mot de passe ni chiffrée. Elle contenait environ 96 Go de données brutes incluant e-mails, noms d’utilisateur, mots de passe et les URL spécifiques des sites web nécessaires pour se connecter aux comptes. Les données couvraient les principaux services : 48 millions de comptes Gmail, 17 millions de comptes Facebook, 4 millions d’identifiants Yahoo, 1,5 million d’entrées Microsoft Outlook, 900 000 comptes Apple iCloud et 420 000 comptes Binance de cryptomonnaie, ainsi que des identifiants d’institutions éducatives, de systèmes gouvernementaux et de plateformes de rencontres.
La base de données n’était pas le produit d’une brèche unique. C’était une agrégation — un ensemble de données compilé à partir de fichiers de logs d’infostealers. Le nombre d’enregistrements augmentait activement pendant que Fowler menait son investigation, suggérant que le malware l’alimentant était encore opérationnel. Après que Fowler a alerté le fournisseur d’hébergement, la base de données a été mise hors ligne — mais les 149 millions d’identifiants sont presque certainement déjà entre les mains de criminels.
L’existence de telles bases de données a des implications profondes. Elles représentent une ressource persistante que les acteurs de la menace peuvent interroger de manière répétée, longtemps après le vol initial. Même si un utilisateur change un mot de passe compromis, la base de données conserve des informations sur les schémas de mots de passe de l’utilisateur, ses adresses e-mail et ses comptes associés qui peuvent être utilisés pour des attaques ciblées. Les bases de données permettent également le bourrage d’identifiants (credential stuffing) à grande échelle — des tentatives automatisées de connexion à des services en utilisant des combinaisons identifiant/mot de passe volées, exploitant la pratique répandue de réutilisation des mots de passe.
Stratégies de défense : ce qui fonctionne vraiment
Se défendre contre l’épidémie d’infostealers nécessite une approche multicouche qui adresse à la fois la prévention et l’atténuation.
MFA résistant à l’hameçonnage
Les méthodes MFA traditionnelles — codes SMS, applications TOTP, notifications push — sont inefficaces contre le vol de jetons de session. Les méthodes MFA résistantes à l’hameçonnage, en particulier les clés de sécurité matérielles FIDO2/WebAuthn, lient l’authentification au domaine et à la session de navigateur spécifiques, rendant les jetons de session volés inutilisables sur un autre appareil. La migration des comptes à haute valeur vers un MFA résistant à l’hameçonnage devrait être une priorité.
Surveillance des identifiants et détection de brèches
Les organisations devraient activement surveiller l’apparition de leurs identifiants d’entreprise sur les places de marché de logs d’infostealers. Des services comme SpyCloud, Flare et Hudson Rock fournissent un avertissement précoce lorsque des identifiants d’employés sont détectés sur les marchés souterrains, permettant des réinitialisations proactives de mots de passe et des invalidations de sessions avant que les identifiants ne soient exploités.
Durcissement de la sécurité des navigateurs
Les politiques de gestion des navigateurs d’entreprise devraient désactiver ou restreindre le stockage de mots de passe dans les navigateurs, imposer l’utilisation de gestionnaires de mots de passe d’entreprise, et mettre en œuvre des politiques qui effacent les cookies de session à la fermeture du navigateur pour les applications sensibles. Les technologies d’isolation de navigateur peuvent empêcher les infostealers d’accéder aux magasins d’identifiants en exécutant les sessions de navigateur dans des environnements distants.
Protection des terminaux
Les plateformes modernes de détection et réponse sur les terminaux (EDR) devraient être configurées pour détecter les schémas comportementaux des infostealers — accès rapide aux magasins d’identifiants, communication avec des infrastructures C2 connues, et préparation suspecte de données. Cependant, la rapidité avec laquelle les infostealers opèrent (complétant généralement l’extraction des identifiants en quelques secondes) signifie que la détection doit être complétée par des contrôles de prévention.
Politiques sur les appareils personnels
De nombreuses infections par infostealers surviennent sur des appareils personnels qui sont en dehors des contrôles de sécurité de l’organisation. SpyCloud a constaté que près de 50 % des utilisateurs d’entreprise ont été infectés par des malwares via un appareil personnel ou professionnel. Si ces appareils personnels sont utilisés pour accéder aux ressources de l’entreprise — VPN, messagerie, services cloud — les identifiants volés peuvent être utilisés contre l’environnement de l’entreprise. Les organisations ont besoin de politiques claires sur l’accès aux ressources de l’entreprise depuis des appareils personnels, combinées à des contrôles d’accès conditionnels qui limitent l’authentification depuis des appareils non gérés.
Gestion des sessions
La mise en œuvre de délais d’expiration de session plus courts, la liaison des sessions aux empreintes d’appareils et le déploiement de mécanismes de validation continue des sessions peuvent limiter la fenêtre durant laquelle les jetons de session volés sont utilisables. Bien que ces mesures créent de la friction pour les utilisateurs légitimes, le compromis est justifié pour les applications à haute valeur et les comptes administratifs.
Le problème d’échelle
L’épidémie d’infostealers présente un défi qui dépasse le programme de sécurité de toute organisation individuelle. Avec 3,9 milliards d’identifiants compromis en une seule année et des bases de données de 149 millions d’identifiants trouvées sans protection sur Internet, le risque systémique pour l’économie numérique est clair. Chaque identifiant volé est un point d’entrée potentiel, et le volume garantit que même les organisations ayant de solides pratiques de sécurité auront des employés dont les comptes personnels — et parfois les identifiants d’entreprise — sont compromis.
Relever ce défi à grande échelle nécessite une coordination entre les fournisseurs de sécurité, les opérateurs de plateformes, les forces de l’ordre et les organisations qui sont à la fois cibles et premiers intervenants. La perturbation de Lumma Stealer en mai 2025 — impliquant Microsoft, Europol, le FBI et plusieurs entreprises de sécurité — a démontré à la fois le potentiel et les limites de l’action coordonnée. Cela nécessite également une reconnaissance franche que le modèle actuel d’authentification basée sur les identifiants — où un mot de passe ou un jeton de session volé accorde un accès complet — est fondamentalement inadéquat face à l’environnement de menace. L’épidémie d’infostealers n’est pas un problème de malware ; c’est un problème d’architecture d’authentification, et le résoudre nécessitera de repenser le fonctionnement de l’identité numérique à sa base.
Advertisement
🧭 Radar de Décision
| Dimension | Évaluation |
|---|---|
| Pertinence pour l’Algérie | Élevée — Les organisations algériennes s’appuient fortement sur l’authentification par mot de passe et les identifiants stockés dans les navigateurs, les rendant vulnérables aux mêmes campagnes d’infostealers ciblant les utilisateurs à l’échelle mondiale. La sensibilisation des consommateurs à l’hygiène des identifiants reste faible. |
| Infrastructure prête ? | Partielle — La protection de base des terminaux est déployée dans les grandes entreprises et le gouvernement, mais les capacités avancées comme les services de surveillance des identifiants (SpyCloud, Flare) et le MFA résistant à l’hameçonnage (clés matérielles FIDO2) ne sont pas largement adoptés. |
| Compétences disponibles ? | Partielles — La main-d’œuvre en cybersécurité de l’Algérie est en croissance mais encore modeste. Les équipes SOC des banques et des télécoms peuvent détecter les menaces de base, mais l’analyse spécialisée des infostealers et la surveillance des identifiants sur le dark web nécessitent des compétences rares localement. |
| Calendrier d’action | Immédiat — Les infostealers sont déjà actifs à l’échelle mondiale et ne discriminent pas par géographie. Les organisations algériennes devraient auditer les politiques de stockage d’identifiants dans les navigateurs et commencer la migration des comptes critiques vers un MFA résistant à l’hameçonnage dès maintenant. |
| Parties prenantes clés | RSSI et équipes de sécurité IT des banques, télécoms et agences gouvernementales ; CERT Algeria ; programmes universitaires de cybersécurité ; entreprises algériennes utilisant des services cloud (Google Workspace, Microsoft 365) |
| Type de décision | Tactique — Des mesures défensives concrètes (désactiver le stockage des mots de passe dans les navigateurs, déployer la surveillance des identifiants, imposer le MFA) peuvent être mises en œuvre immédiatement sans changements d’infrastructure majeurs. |
Sources et lectures complémentaires
- Lumma Stealer: Breaking Down the Delivery Techniques and Capabilities — Microsoft Security Blog
- Disrupting Lumma Stealer: Microsoft Leads Global Action — Microsoft On the Issues
- Understanding the Infostealer Epidemic in 2025 — KELA Cyber Threat Intelligence
- SpyCloud 2025 Identity Exposure Report — SpyCloud
- 149 Million Logins and Passwords Exposed in Infostealer Database — TechRepublic
- M-Trends 2025: Data, Insights, and Recommendations From the Frontlines — Mandiant / Google Cloud
- Lumma Stealer: A Fast-Growing Infostealer Threat — ESET
🔗 Intelligence Connexe
La mega-fuite Odido : quand un géant des télécoms refuse de payer et que des millions de données se retrouvent sur le dark web
L’économie du phishing-as-a-service : comment 50 $ suffisent pour lancer une cyberattaque en 2026
Cyberattaques alimentées par l’IA : deepfakes, ingénierie sociale et le nouveau paysage des menaces
La crise des menaces internes : pourquoi votre plus grand risque est déjà à l’intérieur
Advertisement