L'épidémie d'infostealers : comment le vol massif d'identifiants alimente l'économie de

Publié le mars 3, 2026 · Dernière mise à jour mars 14, 2026 · par ALGERIATECH Editorial

⚡ Points Clés

Les infostealers ont compromis 3,9 milliards d'identifiants sur 4,3 millions d'appareils en 2024, avec en moyenne 1 861 cookies recoltes par infection permettant le contournement de l'AMF par vol de jetons de session. Les trois principaux infostealers — Lumma, StealC et RedLine — representent plus de 75 % des infections, operant comme des abonnements Malware-as-a-Service a partir de 250 $/mois. Une seule base de donnees non protegee decouverte en janvier 2026 contenait 149 millions de paires identifiant-mot de passe volees, dont 48 millions de comptes Gmail.

En résumé : Se defendre contre les ransomwares exige de se defendre d'abord contre les infostealers — 54 % des victimes de ransomware avaient des identifiants d'entreprise precedemment exposes dans des logs d'infostealers, faisant de la protection des terminaux et de la surveillance des jetons de session des priorites critiques.

Lire l’analyse complète ↓

🧭 Radar de Décision (Perspective Algérie)

Pertinence pour l’AlgérieÉlevée

Les organisations algériennes s’appuient fortement sur l’authentification par mot de passe et les identifiants stockés dans les navigateurs, les rendant vulnérables aux mêmes campagnes d’infostealers ciblant les utilisateurs à l’échelle mondiale. La sensibilisation des consommateurs à l’hygiène des identifiants reste faible.

Infrastructure prête ?Partielle

La protection de base des terminaux est déployée dans les grandes entreprises et le gouvernement, mais les capacités avancées comme les services de surveillance des identifiants (SpyCloud, Flare) et le MFA résistant à l’hameçonnage (clés matérielles FIDO2) ne sont pas largement adoptés.

Compétences disponibles ?Partielles

La main-d’œuvre en cybersécurité de l’Algérie est en croissance mais encore modeste. Les équipes SOC des banques et des télécoms peuvent détecter les menaces de base, mais l’analyse spécialisée des infostealers et la surveillance des identifiants sur le dark web nécessitent des compétences rares localement.

Calendrier d’actionImmédiat

Les infostealers sont déjà actifs à l’échelle mondiale et ne discriminent pas par géographie. Les organisations algériennes devraient auditer les politiques de stockage d’identifiants dans les navigateurs et commencer la migration des comptes critiques vers un MFA résistant à l’hameçonnage dès maintenant.

Parties prenantes clésRSSI et équipes de sécurité IT des banques, télécoms et agences gouvernementales ; CERT Algeria ; programmes universitaires de cybersécurité ; entreprises algériennes utilisant des services cloud (Google Workspace, Microsoft 365)

Type de décisionTactique

Des mesures défensives concrètes (désactiver le stockage des mots de passe dans les navigateurs, déployer la surveillance des identifiants, imposer le MFA) peuvent être mises en œuvre immédiatement sans changements d’infrastructure majeurs.

La catastrophe silencieuse

Alors que les rançongiciels dominent les gros titres et les discussions en conseil d’administration, une menace moins visible mais sans doute plus dommageable croît à un rythme exponentiel. Les logiciels malveillants voleurs d’informations — les « infostealers » — sont devenus la couche fondatrice de l’économie cybercriminelle moderne, récoltant silencieusement identifiants, jetons de session, portefeuilles de cryptomonnaies et données personnelles à une échelle qui défie toute compréhension simple.

Les chiffres sont stupéfiants. Selon le rapport de renseignement sur les menaces 2025 de KELA, les infostealers ont compromis 3,9 milliards d’identifiants sur 4,3 millions d’appareils infectés rien qu’en 2024. Le rapport 2025 Identity Exposure de SpyCloud a révélé que 548 millions d’identifiants ont été exfiltrés via des infostealers, avec en moyenne 44 identifiants exposés par infection et 1 861 cookies récoltés par appareil infecté. En janvier 2026, le chercheur en sécurité Jeremiah Fowler a découvert une base de données non protégée contenant 149 millions de paires identifiant-mot de passe uniques — dont 48 millions de comptes Gmail, 17 millions de comptes Facebook et 900 000 comptes Apple iCloud — compilée entièrement à partir d’opérations d’infostealers.

Ce ne sont pas des statistiques abstraites. Chaque identifiant volé est un point d’entrée potentiel pour une attaque de rançongiciel, une opération d’espionnage industriel, un schéma de fraude financière ou un vol d’identité. Les infostealers sont la chaîne d’approvisionnement qui alimente l’ensemble de l’écosystème cybercriminel, et leur industrialisation à travers le modèle Malware-as-a-Service (MaaS) les a rendus accessibles à pratiquement quiconque est prêt à payer.

Au cœur de l’écosystème des infostealers

Le paysage moderne des infostealers est dominé par une poignée de familles de malwares qui opèrent comme des services commerciaux — Lumma, RedLine, StealC, Raccoon et Vidar. Les trois premiers — Lumma, StealC et RedLine — étaient responsables de plus de 75 % des machines infectées en 2024, selon KELA. Chacun offre un ensemble de fonctionnalités légèrement différent, mais le modèle commercial est remarquablement cohérent : un service par abonnement qui fournit les binaires du malware, un panneau de gestion pour suivre les infections et un ensemble d’outils pour organiser et vendre les données volées.

Lumma Stealer : le leader du marché

Lumma Stealer (également connu sous le nom de LummaC2) est devenu l’infostealer le plus prolifique de 2024-2025, avec ESET rapportant une hausse de 369 % des détections entre le premier et le second semestre de 2024. Microsoft a identifié plus de 394 000 ordinateurs Windows infectés par Lumma à l’échelle mondiale sur une fenêtre de seulement deux mois entre mars et mai 2025. Le développeur du malware revendiquait environ 400 clients actifs achetant ses offres Malware-as-a-Service.

Lumma est vendu via un modèle d’abonnement échelonné : 250 $ par mois pour le package standard, montant jusqu’à 1 000 $ pour les fonctionnalités premium incluant des builds personnalisés et des techniques d’évasion avancées, avec un package top de gamme à 20 000 $ donnant accès au code source et aux droits de revente. Le malware cible les magasins d’identifiants des navigateurs, les fichiers de portefeuilles de cryptomonnaies, les extensions d’authentification à deux facteurs, les clients FTP, les clients de messagerie et les cookies de session. Les versions récentes ont incorporé des techniques anti-analyse capables de détecter les environnements sandbox, les machines virtuelles et les outils de chercheurs en sécurité.

En mai 2025, le Digital Crimes Unit de Microsoft a dirigé une opération mondiale de perturbation contre Lumma, saisissant environ 2 300 domaines malveillants en coordination avec Europol, le FBI et le ministère de la Justice des États-Unis. Cependant, la perturbation s’est avérée temporaire — Trend Micro a observé des centaines de nouvelles URL de commandement et contrôle apparaissant dans les semaines suivant le démantèlement, et fin 2025, ESET rapportait que le malware s’était partiellement rétabli, bien que les détections au second semestre 2025 aient diminué de 86 % par rapport à leur pic.

RedLine et Raccoon : les acteurs établis

RedLine Stealer, identifié pour la première fois en mars 2020, est devenu ce qu’ESET a décrit comme l’infostealer le plus prolifique de l’histoire, responsable de 51 % de toutes les infections d’infostealers de 2020 à 2023 selon les recherches de Kaspersky. En octobre 2024, l’Operation Magnus — un effort conjoint de la police nationale néerlandaise, du FBI et d’autres agences — a perturbé l’infrastructure de RedLine, saisissant des serveurs, des domaines et des chaînes Telegram. Malgré cela, RedLine reste activement utilisé.

Raccoon Stealer a subi une perturbation significative lorsque son opérateur principal, le ressortissant ukrainien Mark Sokolovsky, a été arrêté aux Pays-Bas en mars 2022. Sokolovsky, qui louait Raccoon pour 200 $ par mois via cryptomonnaie, a finalement été condamné à cinq ans de prison fédérale après que son rôle a été relié à plus de 52 millions d’identifiants d’utilisateurs compromis. Malgré l’arrestation, une version reconstruite du malware a depuis repris ses opérations.

Le modèle commercial MaaS

Le modèle de distribution Malware-as-a-Service a transformé les infostealers, passant d’outils de hackers expérimentés à des produits banalisés accessibles aux criminels peu qualifiés. Pour environ 250 $ par mois — moins que de nombreux abonnements SaaS légitimes — un abonné reçoit le binaire du malware, un panneau de gestion en ligne pour suivre les infections et organiser les données volées, des outils de distribution et un support technique. Certains services offrent même un service client réactif via des chaînes Telegram.

Cette banalisation a alimenté la croissance explosive de l’activité des infostealers. La barrière à l’entrée pour le vol d’identifiants s’est effondrée à presque zéro, et l’économie est massivement favorable aux attaquants. Un seul abonnement peut récolter des identifiants de milliers de victimes, chaque ensemble d’identifiants valant potentiellement de quelques centimes (pour des comptes grand public de faible valeur) à des milliers de dollars (pour des identifiants d’administrateur VPN ou cloud d’entreprise).

La chaîne d’attaque : de l’infection à l’exploitation

Comprendre comment les infostealers opèrent est essentiel pour s’en défendre. La chaîne d’attaque typique suit un schéma prévisible, bien que les détails varient selon la famille de malware et la méthode de distribution.

Distribution

Les infostealers atteignent les victimes par de multiples vecteurs. Les plus courants incluent les publicités malveillantes (malvertising) qui redirigent vers de fausses pages de téléchargement de logiciels, l’empoisonnement SEO (SEO poisoning) qui place des sites malveillants dans les résultats de recherche pour des requêtes de logiciels populaires, les e-mails d’hameçonnage avec des pièces jointes infectées, et les canaux de distribution de logiciels légitimes compromis. Une technique particulièrement efficace en 2024-2025 impliquait de fausses pages CAPTCHA — les attaques dites « ClickFix » — où les utilisateurs étaient trompés pour exécuter des commandes malveillantes en croyant compléter une vérification humaine.

Collecte d’identifiants

Une fois exécuté sur le système d’une victime, l’infostealer extrait rapidement les données stockées. Les navigateurs modernes stockent les identifiants dans des bases de données chiffrées, mais les clés de chiffrement sont accessibles à tout processus s’exécutant avec les privilèges de l’utilisateur. Le malware déchiffre et exfiltre les mots de passe stockés dans le navigateur, les données de remplissage automatique, les numéros de carte de crédit et l’historique de navigation en quelques secondes. Les portefeuilles de cryptomonnaies, les configurations VPN, les identifiants FTP et les données de clients de messagerie sont également ciblés.

Vol de jetons de session

La capacité peut-être la plus lourde de conséquences des infostealers modernes est le vol de jetons de session. Lorsqu’un utilisateur s’authentifie auprès d’un service web — même avec une authentification multi-facteurs — le service émet un cookie de session qui permet les requêtes ultérieures sans ré-authentification. Les infostealers capturent ces cookies de session, qui peuvent être importés dans le navigateur d’un attaquant pour usurper la session authentifiée de la victime. Cela contourne effectivement le MFA entièrement : l’attaquant n’a jamais besoin de présenter le second facteur car il utilise une session qui a déjà complété l’authentification.

Selon SpyCloud, une moyenne de 1 861 cookies ont été récoltés par infection d’infostealer en 2024. Microsoft a souligné que 80 % des récentes brèches impliquant un contournement du MFA sont survenues par abus de jetons de session. La technique est particulièrement dangereuse car elle fonctionne indépendamment de la méthode MFA utilisée — clés matérielles, applications TOTP, notifications push et codes SMS deviennent tous non pertinents une fois la session authentifiée volée.

Monétisation des données

Les identifiants volés sont généralement organisés en « logs » — des paquets de données structurés contenant toutes les informations extraites du système d’une seule victime. Ces logs sont vendus sur des places de marché spécialisées et des chaînes Telegram où les acheteurs peuvent rechercher des cibles spécifiques — le domaine d’une entreprise particulière, un fournisseur de messagerie spécifique ou des identifiants pour un service particulier. Les prix varient considérablement selon la valeur du contenu, de quelques dollars pour des lots de comptes grand public à des centaines ou milliers pour des identifiants d’accès d’entreprise.

La connexion avec les rançongiciels

La relation entre les infostealers et les rançongiciels n’est pas simplement corrélative — c’est une dépendance directe de chaîne d’approvisionnement. Le rapport M-Trends 2025 de Mandiant a constaté que les identifiants volés étaient le deuxième vecteur d’infection initial le plus courant en 2024, représentant 16 % de toutes les investigations — le niveau le plus élevé jamais atteint pour cette catégorie. Pour les attaques de rançongiciel spécifiquement, Mandiant a relié 21 % des incidents à des identifiants volés.

Les données de SpyCloud renforcent cette connexion : 54 % des victimes de rançongiciel avaient des identifiants d’entreprise précédemment exposés dans des logs d’infostealers, dont 40 % impliquant des adresses e-mail d’entreprise. Près d’un tiers des entreprises ayant subi une attaque de rançongiciel avaient précédemment subi une infection par infostealer.

La chaîne fonctionne comme suit : un infostealer récolte les identifiants VPN depuis l’appareil personnel d’un employé. Les identifiants sont vendus sur une place de marché. Un affilié de rançongiciel achète les identifiants, les utilise pour accéder au réseau de l’entreprise, effectue une reconnaissance et un mouvement latéral, et finalement déploie le rançongiciel. L’ensemble de la chaîne — de l’infection initiale par infostealer au déploiement du rançongiciel — peut s’étendre sur des jours ou des semaines, rendant difficile la connexion des deux événements dans l’analyse post-incident.

Cette dynamique de chaîne d’approvisionnement signifie que se défendre contre les rançongiciels nécessite de se défendre contre les infostealers — une connexion que les stratégies de sécurité de nombreuses organisations ne parviennent pas à établir.

La base de données de 149 millions d’identifiants

La découverte d’une base de données contenant 149 millions de paires identifiant-mot de passe uniques — compilée entièrement à partir d’opérations d’infostealers — illustre l’échelle à laquelle le vol d’identifiants se produit.

La base de données, découverte par le chercheur en sécurité Jeremiah Fowler et divulguée le 23 janvier 2026, n’était ni protégée par mot de passe ni chiffrée. Elle contenait environ 96 Go de données brutes incluant e-mails, noms d’utilisateur, mots de passe et les URL spécifiques des sites web nécessaires pour se connecter aux comptes. Les données couvraient les principaux services : 48 millions de comptes Gmail, 17 millions de comptes Facebook, 4 millions d’identifiants Yahoo, 1,5 million d’entrées Microsoft Outlook, 900 000 comptes Apple iCloud et 420 000 comptes Binance de cryptomonnaie, ainsi que des identifiants d’institutions éducatives, de systèmes gouvernementaux et de plateformes de rencontres.

La base de données n’était pas le produit d’une brèche unique. C’était une agrégation — un ensemble de données compilé à partir de fichiers de logs d’infostealers. Le nombre d’enregistrements augmentait activement pendant que Fowler menait son investigation, suggérant que le malware l’alimentant était encore opérationnel. Après que Fowler a alerté le fournisseur d’hébergement, la base de données a été mise hors ligne — mais les 149 millions d’identifiants sont presque certainement déjà entre les mains de criminels.

L’existence de telles bases de données a des implications profondes. Elles représentent une ressource persistante que les acteurs de la menace peuvent interroger de manière répétée, longtemps après le vol initial. Même si un utilisateur change un mot de passe compromis, la base de données conserve des informations sur les schémas de mots de passe de l’utilisateur, ses adresses e-mail et ses comptes associés qui peuvent être utilisés pour des attaques ciblées. Les bases de données permettent également le bourrage d’identifiants (credential stuffing) à grande échelle — des tentatives automatisées de connexion à des services en utilisant des combinaisons identifiant/mot de passe volées, exploitant la pratique répandue de réutilisation des mots de passe.

Stratégies de défense : ce qui fonctionne vraiment

Se défendre contre l’épidémie d’infostealers nécessite une approche multicouche qui adresse à la fois la prévention et l’atténuation.

MFA résistant à l’hameçonnage

Les méthodes MFA traditionnelles — codes SMS, applications TOTP, notifications push — sont inefficaces contre le vol de jetons de session. Les méthodes MFA résistantes à l’hameçonnage, en particulier les clés de sécurité matérielles FIDO2/WebAuthn, lient l’authentification au domaine et à la session de navigateur spécifiques, rendant les jetons de session volés inutilisables sur un autre appareil. La migration des comptes à haute valeur vers un MFA résistant à l’hameçonnage devrait être une priorité.

Surveillance des identifiants et détection de brèches

Les organisations devraient activement surveiller l’apparition de leurs identifiants d’entreprise sur les places de marché de logs d’infostealers. Des services comme SpyCloud, Flare et Hudson Rock fournissent un avertissement précoce lorsque des identifiants d’employés sont détectés sur les marchés souterrains, permettant des réinitialisations proactives de mots de passe et des invalidations de sessions avant que les identifiants ne soient exploités.

Durcissement de la sécurité des navigateurs

Les politiques de gestion des navigateurs d’entreprise devraient désactiver ou restreindre le stockage de mots de passe dans les navigateurs, imposer l’utilisation de gestionnaires de mots de passe d’entreprise, et mettre en œuvre des politiques qui effacent les cookies de session à la fermeture du navigateur pour les applications sensibles. Les technologies d’isolation de navigateur peuvent empêcher les infostealers d’accéder aux magasins d’identifiants en exécutant les sessions de navigateur dans des environnements distants.

Protection des terminaux

Les plateformes modernes de détection et réponse sur les terminaux (EDR) devraient être configurées pour détecter les schémas comportementaux des infostealers — accès rapide aux magasins d’identifiants, communication avec des infrastructures C2 connues, et préparation suspecte de données. Cependant, la rapidité avec laquelle les infostealers opèrent (complétant généralement l’extraction des identifiants en quelques secondes) signifie que la détection doit être complétée par des contrôles de prévention.

Politiques sur les appareils personnels

De nombreuses infections par infostealers surviennent sur des appareils personnels qui sont en dehors des contrôles de sécurité de l’organisation. SpyCloud a constaté que près de 50 % des utilisateurs d’entreprise ont été infectés par des malwares via un appareil personnel ou professionnel. Si ces appareils personnels sont utilisés pour accéder aux ressources de l’entreprise — VPN, messagerie, services cloud — les identifiants volés peuvent être utilisés contre l’environnement de l’entreprise. Les organisations ont besoin de politiques claires sur l’accès aux ressources de l’entreprise depuis des appareils personnels, combinées à des contrôles d’accès conditionnels qui limitent l’authentification depuis des appareils non gérés.

Gestion des sessions

La mise en œuvre de délais d’expiration de session plus courts, la liaison des sessions aux empreintes d’appareils et le déploiement de mécanismes de validation continue des sessions peuvent limiter la fenêtre durant laquelle les jetons de session volés sont utilisables. Bien que ces mesures créent de la friction pour les utilisateurs légitimes, le compromis est justifié pour les applications à haute valeur et les comptes administratifs.

Le problème d’échelle

L’épidémie d’infostealers présente un défi qui dépasse le programme de sécurité de toute organisation individuelle. Avec 3,9 milliards d’identifiants compromis en une seule année et des bases de données de 149 millions d’identifiants trouvées sans protection sur Internet, le risque systémique pour l’économie numérique est clair. Chaque identifiant volé est un point d’entrée potentiel, et le volume garantit que même les organisations ayant de solides pratiques de sécurité auront des employés dont les comptes personnels — et parfois les identifiants d’entreprise — sont compromis.

Relever ce défi à grande échelle nécessite une coordination entre les fournisseurs de sécurité, les opérateurs de plateformes, les forces de l’ordre et les organisations qui sont à la fois cibles et premiers intervenants. La perturbation de Lumma Stealer en mai 2025 — impliquant Microsoft, Europol, le FBI et plusieurs entreprises de sécurité — a démontré à la fois le potentiel et les limites de l’action coordonnée. Cela nécessite également une reconnaissance franche que le modèle actuel d’authentification basée sur les identifiants — où un mot de passe ou un jeton de session volé accorde un accès complet — est fondamentalement inadéquat face à l’environnement de menace. L’épidémie d’infostealers n’est pas un problème de malware ; c’est un problème d’architecture d’authentification, et le résoudre nécessitera de repenser le fonctionnement de l’identité numérique à sa base.

Suivez AlgeriaTech sur LinkedIn pour des analyses tech professionnelles Suivre sur LinkedIn

Suivez @AlgeriaTechNews sur X pour des analyses tech quotidiennes Suivre sur X

Questions Fréquemment Posées

Qu’est-ce que the infostealer epidemic ?

Cet article couvre les aspects essentiels de ce sujet, en examinant les tendances actuelles, les acteurs clés et les implications pratiques pour les professionnels et les organisations en 2026.

Pourquoi the infostealer epidemic est-il important ?

Ce sujet est important car il a un impact direct sur la façon dont les organisations planifient leur stratégie technologique, allouent leurs ressources et se positionnent dans un paysage en évolution rapide.

Quels sont les points clés à retenir de cet article ?

L’article analyse les mécanismes clés, les cadres de référence et les exemples concrets qui permettent de comprendre le fonctionnement de ce domaine, en s’appuyant sur des données actuelles et des études de cas.