Comment un malware discret peut vider vos comptes, compromettre votre entreprise et revendre votre vie numérique en quelques secondes.
01 Qu'est-ce qu'un infostealer ?
Un infostealer (littéralement « voleur d'informations ») est un logiciel malveillant conçu avec un seul objectif : extraire silencieusement les données sensibles d'un système infecté, puis les exfiltrer vers un serveur contrôlé par l'attaquant.
Contrairement à un ransomware qui annonce bruyamment sa présence en chiffrant vos fichiers, l'infostealer opère dans l'ombre. Sa force réside précisément dans sa discrétion : la victime ne se doute généralement de rien pendant que le malware fait son travail.
Les infostealers appartiennent à la famille des trojans. Ils se déguisent en logiciels légitimes ou se cachent dans d'autres programmes. Une fois exécutés, ils parcourent le système à la recherche de données de valeur : cookies de session, mots de passe enregistrés, données de portefeuilles crypto, fichiers, captures d'écran, et bien plus.
Les données collectées sont généralement compressées et envoyées sous forme de "logs" vers un serveur C2 (Command & Control) ou directement vers un canal Telegram de l'opérateur.
Ce type de malware s'est massivement démocratisé grâce au modèle MaaS (Malware-as-a-Service) : des développeurs créent et maintiennent l'outil, le louent à des cybercriminels peu techniques pour quelques centaines de dollars par mois sur des forums underground ou via Telegram. Pas besoin d'être un expert en programmation pour opérer un infostealer aujourd'hui.
02 Comment fonctionne une infection ?
Le cycle de vie d'un infostealer suit un schéma relativement constant, même si les vecteurs d'infection varient. Voici les grandes étapes :
L'utilisateur exécute le binaire malveillant. Le malware peut établir une persistance (démarrage automatique) mais beaucoup d'infostealers modernes agissent en une seule passe rapide pour minimiser leur détection.
🔍 3. Collecte des données
Scan des navigateurs (cookies, mots de passe, historique, auto-fill), portefeuilles crypto, clients FTP/VPN/SSH, applications gaming (Steam, Discord), documents, captures d'écran, tokens d'authentification.
📤 4. Exfiltration
Les données sont packagées en un "log" et envoyées via HTTPS, Telegram Bot API ou un panel web dédié. L'opération dure souvent moins d'une minute.
💰 5. Monétisation
Les logs sont revendus sur des marketplaces comme Russian Market ou Genesis Market (désormais démantelé), ou utilisés directement pour des fraudes bancaires, prises de contrôle de comptes, et intrusions en entreprise.
03 Les conséquences pour les victimes
Les impacts d'une infection par infostealer peuvent être immédiats ou différés dans le temps — un log volé peut être revendu et utilisé des mois plus tard. Les conséquences se jouent à plusieurs niveaux :
🔑 Compromission de comptes
Prise de contrôle de comptes email, réseaux sociaux, plateformes e-commerce, services bancaires. Les cookies volés permettent de contourner le MFA dans certains cas.
💸 Pertes financières
Vide de comptes bancaires, vidage de wallets crypto, abonnements frauduleux, achats non autorisés. Les pertes peuvent atteindre plusieurs milliers d'euros en quelques heures.
🏢 Intrusion en entreprise
Les identifiants VPN ou SSO volés deviennent des portes d'entrée pour des attaques ransomware ultérieures. Un employé infecté peut compromettre toute une organisation.
🪪 Usurpation d'identité
Les données personnelles collectées (CNI, passeport, selfies) permettent l'ouverture de crédits frauduleux ou la création de faux profils.
🎮 Vol d'actifs gaming
Comptes Steam, skins CS2, NFT, jetons Discord Nitro — tout actif numérique ayant une valeur marchande est ciblé.
📁 Espionnage & fuite de données
Documents confidentiels, emails professionnels, codes source — les infostealers sont aussi utilisés dans des opérations d'espionnage industriel ou étatique.
Les cybercriminels spécialisés dans la revente d'accès (Initial Access Brokers) achètent en masse des logs d'infostealers pour identifier les credentials d'accès à des VPN d'entreprises, des interfaces d'administration ou des outils internes (Jira, Confluence, Office 365).
Ces accès sont ensuite revendus à des groupes ransomware qui les exploitent pour lancer des attaques dévastatrices. La chaîne d'attaque est devenue une véritable industrie criminelle structurée.
04 Exemples notables d'infostealers
Le paysage des infostealers est en constante évolution. Voici les familles les plus actives et les plus documentées :
L'un des infostealers les plus répandus depuis 2020. RedLine cible les navigateurs Chromium et Firefox (mots de passe, cookies, auto-fill), les portefeuilles crypto, les clients VPN, et FTP. Vendu entre 100 et 200 $ sur des forums underground, il a infecté des millions de machines dans le monde.
En octobre 2024, l'opération internationale Magnus (Europol + FBI) a conduit au démantèlement de l'infrastructure de RedLine, ainsi que de son concurrent Meta Stealer.
Apparu en 2019, Raccoon s'est imposé comme une référence du MaaS. Sa version 2 (2022) est plus furtive, repose sur un loader modulaire et communique via un C2 renouvelé régulièrement. Il vole les mêmes catégories que RedLine mais est réputé pour sa fiabilité et son interface opérateur soignée.
Son créateur présumé, un ressortissant ukrainien, a été arrêté en 2022 aux Pays-Bas. Malgré cela, le projet a été repris et Raccoon v2 reste actif.
Lumma (ou LummaC2) est actuellement l'un des infostealers les plus actifs et les plus sophistiqués du marché. Il dispose d'une fonctionnalité particulièrement redoutable : la restauration de cookies expirés, permettant de reprendre des sessions même après déconnexion. Il cible massivement les extensions de navigateur liées aux cryptomonnaies.
Il se propage notamment via de fausses pages CAPTCHA (technique "ClickFix") qui incitent l'utilisateur à exécuter une commande PowerShell malveillante. En 2025, il est régulièrement référencé dans les rapports de Mandiant, Sekoia et ESET.
Fork de l'ancien Arkei Stealer, Vidar est connu pour son large spectre de collecte : navigateurs, messageries, 2FA basée sur des apps de bureau, documents, images. Il est souvent distribué en combo avec d'autres malwares (droppers, ransomwares) et utilise parfois des profils Steam ou Mastodon comme canaux de récupération d'adresses C2 — une technique anti-blocage ingénieuse.
Apparu fin 2022, StealC est un infostealer léger et modulaire qui a rapidement gagné en popularité. Il se distingue par sa capacité à cibler plus de 75 extensions de navigateurs crypto et 25 applications desktop. Son architecture modulaire permet aux opérateurs de personnaliser précisément ce qu'ils veulent voler, réduisant ainsi la taille du binaire et sa surface de détection.
05 Comment se protéger ?
La bonne nouvelle : les infostealers s'appuient quasi systématiquement sur une action de l'utilisateur pour s'exécuter. De bonnes pratiques réduisent drastiquement le risque d'infection.