Un leader du Magic Quadrant™ Gartner® 2025 pour la Protection des Endpoints. Cinq ans de suite.Un leader du Magic Quadrant™ Gartner®Lire le rapport
Votre entreprise est la cible d’une compromission ?Blog
Demander une démo Contactez nous
Header Navigation - FR
  • Plateforme
    Aperçu de la plateforme
    • Singularity Platform
      Bienvenue sur le site de la sécurité intégrée de l'entreprise
    • IA pour la sécurité
      Référence en matière de sécurité alimentée par l’IA
    • Sécurisation de l’IA
      Accélérez l’adoption de l’IA avec des outils, des applications et des agents d’IA sécurisés.
    • Comment ça marche
      La Différence de Singularity XDR
    • Singularity Marketplace
      Des intégrations en un clic pour libérer la puissance de XDR
    • Tarification et Packages
      Comparaisons et conseils en un coup d'œil
    Data & AI
    • Purple AI
      Accélérer le SecOps avec l'IA générative
    • Singularity Hyperautomation
      Automatiser facilement les processus de sécurité
    • AI-SIEM
      Le SIEM IA pour le SOC autonome
    • AI Data Pipelines
      Pipeline de données de sécurité pour SIEM IA et optimisation des données
    • Singularity Data Lake
      Propulsé par l'IA, unifié par le lac de données
    • Singularity Data Lake For Log Analytics
      Acquisition transparente de données à partir d'environnements sur site, en nuage ou hybrides
    Endpoint Security
    • Singularity Endpoint
      Prévention, détection et réaction autonomes
    • Singularity XDR
      Protection, détection et réponse natives et ouvertes
    • Singularity RemoteOps Forensics
      Orchestrer la criminalistique à l'échelle
    • Singularity Threat Intelligence
      Renseignement complet sur l'adversaire
    • Singularity Vulnerability Management
      Découverte d'actifs malhonnêtes
    • Singularity Identity
      Détection des menaces et réponse à l'identité
    Cloud Security
    • Singularity Cloud Security
      Bloquer les attaques avec un CNAPP alimenté par l'IA
    • Singularity Cloud Native Security
      Sécurisation des ressources de développement et de l'informatique en nuage
    • Singularity Cloud Workload Security
      Plateforme de protection des charges de travail en nuage en temps réel
    • Singularity Cloud Data Security
      Détection des menaces par l'IA
    • Singularity Cloud Security Posture Management
      Détecter les mauvaises configurations dans le cloud et y remédier
    Sécurisation de l’IA
    • Prompt Security
      Sécuriser les outils d’IA dans l’ensemble de l’entreprise
  • Pourquoi SentinelOne ?
    Pourquoi SentinelOne ?
    • Pourquoi SentineOne ?
      La Cybersécurité au service de l’avenir
    • Nos clients
      Reconnue par des Grandes Entreprises du monde entier
    • Reconnaissance du Marché
      Testé et Éprouvé par les Experts
    • A propos de nous
      Le Leader de l’Industrie de la Cybersécurité Autonome
    Comparer SentinelOne
    • Arctic Wolf
    • Broadcom
    • Crowdstrike
    • Cybereason
    • Microsoft
    • Palo Alto Networks
    • Sophos
    • Splunk
    • Trellix
    • Trend Micro
    • Wiz
    Secteurs
    • Energie
    • Gouvernement Fédéral
    • Services Financiers
    • Santé
    • Enseignement Supérieur
    • Enseignement Primaire et Secondaire
    • Industrie
    • Vente au Détail
    • Collectivités territoriales
  • Services
    Services managés
    • Vue d’Ensemble des Services Managés
      Wayfinder Threat Detection & Response
    • Threat Hunting
      Expertise de niveau mondial et Cyber Threat Intelligence.
    • Managed Detection & Response
      Services MDR experts 24/7/365 pour l’ensemble de votre environnement.
    • Incident Readiness & Response
      DFIR, préparation aux violations & évaluations de compromission.
    Support, Déploiement et Hygiène
    • Gestion Technique des Comptes
      Service Personnalisé pour la réussite de nos clients
    • SentinelOne GO
      Conseil pour l’Intégration et le Déploiement
    • SentinelOne University
      Formation live ou à la demande
    • Vue d’ensemble des Services
      Des solutions complètes pour des opérations de sécurité fluides
    • SentinelOne Community
      Connexion à la Communauté
  • Partenaires
    Notre réseau
    • Partenaires MSSP
      Réussir plus rapidement avec SentinelOne
    • Singularity Marketplace
      Etendez le pouvoir de la technologie S1
    • Partenaires Risques Cyber
      Enrôlez les équipes pour gérer les Réponses à Incident
    • Partenaires Technologiques
      Intégrée, la Solution Enterprise à grande échelle
    • SentinelOne pour AWS
      Hébergé dans les Régions AWS du Monde Entier
    • Partenaires commerciaux
      Apportons ensemble les meilleures solutions
    • SentinelOne for Google Cloud
      Sécurité unifiée et autonome offrant aux défenseurs un avantage à l’échelle mondiale.
    Aperçu de la plateforme→
  • Ressources
    Ressources
    • Fiches techniques
    • eBooks
    • Livres Blancs
    • Events
    Voir toutes les Ressources→
    Blog
    • Feature Spotlight
    • For CISO/CIO
    • From the Front Lines
    • Identité
    • Cloud
    • macOS
    • Blog SentinelOne
    Blog→
    Ressources Tech
    • SentinelLABS
    • Glossaire du Ransomware
    • Cybersecurity 101
  • A propos de
    A propos de SentinelOne
    • A propos de SentinelOne
      Le Leader de l’Industrie en Cybersécurité
    • SentinelLabs
      La Recherche sur les Menaces pour le Chasseur de Menaces Moderne
    • Carrières
      Les Dernières Offres d’Emploi
    • Press
      Annonces de l’Entreprise
    • Blog Cybersecurité
      Les dernières menaces en matière de cybersécurité
    • FAQ
      Obtenez des réponses aux questions les plus fréquentes
    • DataSet
      La Plateforme en live
    • S Foundation
      Assurer un Avenir Plus Sûr pour Tous
    • S Ventures
      Investir dans la Nouvelle Génération d’outils de Sécurité et de Données
Demander une démo Contactez nous
Background image for Qu'est-ce qu'un infostealer ? Fonctionnement des malwares voleurs d'identifiants
Cybersecurity 101/Cybersécurité/Infostealer

Qu'est-ce qu'un infostealer ? Fonctionnement des malwares voleurs d'identifiants

Les infostealers extraient silencieusement les mots de passe, cookies de session et données de navigateur des systèmes infectés. Les identifiants volés alimentent les ransomwares, la prise de contrôle de comptes et la fraude.

CS-101_Cybersecurity.svg
Sommaire
Qu'est-ce qu'un infostealer ?
Composants principaux d'un infostealer
Comment fonctionnent les infostealers
Pourquoi les infostealers sont difficiles à arrêter
Types de données volées par les infostealers
Principales familles d'infostealers
Infostealers Windows
Infostealers macOS
Le pipeline infostealer-vers-ransomware
Pourquoi les infostealers échappent aux défenses traditionnelles
Comment détecter une infection par infostealer
Erreurs courantes dans la défense contre les infostealers
Bonnes pratiques pour se défendre contre les infostealers
Points clés à retenir

Articles similaires

  • Qu'est-ce qu'une Secure Web Gateway (SWG) ? Défense réseau expliquée
  • Qu'est-ce que l'injection de commandes système ? Exploitation, impact et défense
  • Statistiques sur les malwares
  • Statistiques sur les violations de données
Auteur: SentinelOne
Mis à jour: May 7, 2026

Qu'est-ce qu'un infostealer ?

Un ordinateur portable de sous-traitant compromis, sans protection des endpoints, a exposé des identifiants à une plateforme de données cloud, et les attaquants n'ont jamais eu besoin de casser un seul mot de passe. Voilà le problème des infostealers résumé en une phrase.

Un infostealer est une catégorie de malware conçue pour extraire discrètement des données sensibles des systèmes infectés, notamment les mots de passe enregistrés, les cookies de session, les fichiers de portefeuilles de cryptomonnaies et les données de saisie automatique des navigateurs. Un infostealer fonctionne silencieusement : il s'exécute, collecte, exfiltre et se ferme rapidement. Les données volées sont compilées dans des archives structurées appelées stealer logs, puis vendues sur des places de marché clandestines où d'autres criminels les achètent pour lancer des attaques secondaires.

Le rapport de l'ENISA décrit les infostealers comme « un maillon solide et répandu dans la chaîne d'approvisionnement cybercriminelle », facilitant principalement le vol d'identifiants, le détournement de session et la revente d'accès. Les identifiants volés deviennent un accès initial pour les opérateurs de ransomware, les campagnes de compromission de messagerie professionnelle et la fraude par prise de contrôle de compte. Pour vous, cela signifie qu'un incident d'infostealer nécessite l'invalidation des sessions, la rotation des identifiants et une protection comportementale des endpoints, et pas seulement un nettoyage du malware.

Les infostealers se situent à l'intersection de la sécurité des identités et de la protection des endpoints. Ils ciblent les identifiants que vos utilisateurs stockent dans les navigateurs, les jetons de session qui prouvent que la MFA a été réalisée, et les clés API que les développeurs laissent dans des fichiers locaux. Le DBIR de Verizon relie l'abus d'identifiants à l'accès initial et note un chevauchement entre les victimes de ransomware et les dumps d'identifiants issus d'infostealers.

Pour votre SOC, la découverte d'un infostealer modifie immédiatement le modèle de menace. Ce n'est pas un incident endpoint contenu. C'est un précurseur à la prise de contrôle de compte, au mouvement latéral, et potentiellement au déploiement de ransomware par un acteur totalement différent. Comprendre ce qui rend cela possible commence par la façon dont les infostealers sont conçus.

Composants principaux d'un infostealer

Les infostealers modernes partagent une architecture cohérente articulée autour de cinq composants fonctionnels :

  1. Mécanisme de livraison : Phishing par email, campagnes de malvertising, logiciels trojanisés, et attaques ClickFix/faux CAPTCHA qui incitent les utilisateurs à exécuter des commandes via Windows Run ou PowerShell. Les campagnes Lumma Stealer, par exemple, utilisent de fausses pages CAPTCHA qui demandent aux victimes de copier et exécuter des commandes via la boîte de dialogue Exécuter de Windows.
  2. Modules de collecte d'identifiants : L'extraction des identifiants du navigateur cible la base de données SQLite Login Data des navigateurs Chromium, déchiffrant les mots de passe via AES-GCM ou le DPAPI de Windows. Les infostealers collectent également des identifiants depuis les gestionnaires de mots de passe, clients email, configurations VPN et portefeuilles de cryptomonnaies.
  3. Vol de jetons de session : La collecte de cookies et de jetons de session permet aux attaquants de s'authentifier à votre place sans avoir besoin de votre mot de passe ou de votre code MFA. Le cookie volé représente la preuve que la MFA a déjà été réalisée, la contournant totalement.
  4. Mise en scène et exfiltration des données : Les données volées sont emballées dans des logs structurés et transmises à des serveurs C2 contrôlés par l'attaquant, des bots Telegram ou des services de stockage cloud comme Dropbox. Le rapport SentinelLabs documente l'utilisation de l'infrastructure Telegram pour accélérer l'exfiltration et rationaliser le processus de vente.
  5. Anti-analyse et évasion : Identification de VM/sandbox, exécution sans fichier depuis la mémoire, injection de processus et padding de fichiers conçus pour faire planter les outils d'analyse. Ces techniques correspondent directement à MITRE ATT&CK T1027 (Fichiers ou informations obfusqués).

L'ensemble de l'opération repose sur un modèle économique de Malware-as-a-Service (MaaS). Les développeurs maintiennent des panneaux web, des générateurs de payloads et des canaux de support client sur Telegram. Les abonnés mènent ensuite des campagnes indépendantes.

Comment fonctionnent les infostealers

Une attaque d'infostealer suit une chaîne d'attaque prévisible, mais chaque étape est conçue pour minimiser votre fenêtre de détection.

  1. Étape 1 : Exécution initiale. Le payload arrive via phishing, malvertising ou ingénierie sociale. La recherche SentinelLabs a documenté une campagne où les utilisateurs téléchargeaient des archives contenant une copie signée du logiciel gratuit Haihaisoft PDF Reader accompagnée d'une DLL malveillante pour le sideloading.
  2. Étape 2 : Collecte d'identifiants. Le malware cible les bases de données d'identifiants des navigateurs (T1555.003), exécute des requêtes SQL sur le fichier Login Data de Chrome et déchiffre les mots de passe stockés. Katz Stealer documente une technique distinctive : le malware lance les navigateurs en mode headless et injecte une DLL spécialisée pour accéder aux données sensibles en utilisant le contexte de sécurité du navigateur.
  3. Étape 3 : Vol de jetons de session. L'infostealer copie les cookies de session authentifiés (T1539), permettant aux attaquants d'usurper l'identité de vos utilisateurs sur des applications web où ces sessions restent valides. Certains variants volent également d'autres jetons permettant de régénérer ou prolonger l'accès, ce qui signifie qu'un changement de mot de passe peut ne pas invalider immédiatement l'accès de l'attaquant.
  4. Étape 4 : Collecte complémentaire. Keylogging (T1056), surveillance du presse-papiers pour les adresses et phrases de récupération de cryptomonnaies (T1115), vol de fichiers de portefeuilles de cryptomonnaies et fingerprinting système pour le profilage des victimes. L'analyse SentinelLabs documente Vidar collectant des données de localisation pour aider les acteurs malveillants à évaluer la valeur du système avant de déployer des payloads secondaires comme le ransomware.
  5. Étape 5 : Exfiltration et sortie. Les données sont transmises à l'infrastructure C2 via des canaux chiffrés, souvent en abusant de services légitimes. Le malware se ferme ensuite proprement, laissant peu de traces forensiques. Ce modèle d'exécution non persistant est un choix délibéré : au moment où vous découvrez l'infection, le malware a disparu et les identifiants sont déjà en vente.

Pourquoi les infostealers sont difficiles à arrêter

Plusieurs caractéristiques rendent les infostealers particulièrement difficiles à contrer.

  • Le modèle MaaS supprime la barrière de compétence. Des opérateurs non techniques peuvent déployer des outils de vol d'identifiants via des services par abonnement. Même après des opérations des forces de l'ordre, les opérateurs se réorganisent rapidement et le marché bascule vers de nouvelles familles.
  • Le vol de jetons de session rend la MFA insuffisante. Les infostealers volent les cookies de session comme capacité principale. MITRE ATT&CK documente APT29, Scattered Spider, Star Blizzard et LAPSUS$ utilisant tous T1539 pour contourner la MFA. La rotation des mots de passe après un incident n'invalide pas les jetons actifs déjà entre les mains de l'attaquant.
  • L'évasion polymorphe déjoue les outils à base de signatures. L'exécution sans fichier, la mise en scène en mémoire et l'injection de processus contournent totalement les défenses statiques. Les rapports du secteur décrivent une augmentation de la livraison d'infostealers via le phishing, alimentée en partie par l'utilisation de l'IA pour générer des emails de phishing à grande échelle.
  • L'abus de plateformes légitimes crée des canaux impossibles à bloquer. Les infostealers exfiltrent via les API Telegram, Dropbox et GitHub. Vous ne pouvez pas bloquer ces services sans perturber les opérations métier, ce qui oblige votre équipe à s'appuyer sur l'analyse comportementale plutôt que sur le filtrage réseau.

Ces caractéristiques ne sont pas propres à un seul outil. Elles sont partagées par un écosystème croissant de familles d'infostealers, chacune cherchant à gagner des parts de marché sur les forums clandestins.

Types de données volées par les infostealers

Les infostealers ciblent un ensemble spécifique de types de données à forte valeur, chacun permettant une catégorie différente d'attaque secondaire.

  1. Mots de passe enregistrés et données de saisie automatique du navigateur. Les navigateurs basés sur Chromium et Firefox stockent les identifiants dans des bases de données SQLite locales. Les infostealers interrogent directement ces bases, déchiffrent les mots de passe stockés via les API du système d'exploitation et extraient les entrées de saisie automatique, y compris adresses, numéros de téléphone et détails de carte de paiement. Ces identifiants deviennent la matière première pour les campagnes de prise de contrôle de compte et les attaques par credential stuffing dans les environnements SaaS d'entreprise.
  2. Cookies de session et jetons d'authentification. Les cookies de session actifs prouvent qu'un utilisateur a déjà réalisé l'authentification, y compris la MFA. Les cookies volés permettent aux attaquants de rejouer ces sessions sans déclencher de nouveaux défis d'authentification. C'est l'une des principales raisons pour lesquelles les infostealers contournent si efficacement la MFA : l'attaquant n'a jamais besoin de réaliser le processus d'authentification.
  3. Fichiers de portefeuilles de cryptomonnaies et phrases de récupération. Les infostealers copient les fichiers wallet.dat, les données d'extensions de navigateur de portefeuilles comme MetaMask, et surveillent le presse-papiers pour les phrases de récupération et adresses de portefeuilles. Le vol de cryptomonnaies est irréversible, ce qui rend ces cibles particulièrement précieuses pour les attaquants opérant sur les marchés clandestins.
  4. Empreintes système et données d'environnement. Le nom d'hôte, l'adresse IP, les logiciels installés, les processus en cours et les identifiants matériels aident les attaquants à profiler les victimes et à déterminer quels identifiants volés appartiennent à des environnements d'entreprise à forte valeur. L'analyse SentinelLabs documente Vidar collectant des données de localisation pour aider les acteurs malveillants à évaluer la valeur de la cible avant de déployer des payloads secondaires.
  5. Données de clients email et applications de messagerie. Les emails stockés localement, les journaux de chat et les identifiants d'applications de clients comme Outlook et Thunderbird étendent l'accès de l'attaquant au-delà des données stockées dans le navigateur. Les identifiants email volés alimentent directement les opérations de compromission de messagerie professionnelle.
  6. Configurations VPN et RDP. Les profils VPN enregistrés et les identifiants de bureau à distance fournissent un accès réseau qui va bien au-delà d'un seul endpoint. Pour les opérateurs de ransomware achetant des stealer logs, les identifiants VPN sont parmi les entrées les plus précieuses car ils offrent un accès direct aux réseaux d'entreprise.

L'étendue des données ciblées par les infostealers explique pourquoi autant de familles de malware distinctes se concurrencent dans ce domaine, chacune optimisant pour différentes combinaisons de ces types de données.

Principales familles d'infostealers

L'écosystème des infostealers est saturé et évolue rapidement à mesure que les perturbations des forces de l'ordre poussent les opérateurs vers de nouveaux outils. Ces familles représentent les menaces les plus documentées sur Windows et macOS.

Infostealers Windows

FamilleCaractéristiques clésDétail notable
Lumma (LummaC2)Identifiants de navigateur, portefeuilles crypto, extensions 2FA. Distribué via ClickFix/faux CAPTCHA et malvertising.Ciblé par une opération coordonnée des forces de l'ordre et de l'industrie en mai 2025 ; infrastructure reconstruite en quelques semaines.
RedLineDonnées de navigateur, identifiants FTP/VPN, portefeuilles de cryptomonnaies, fingerprinting système. Vendu en MaaS sur des forums clandestins.L'opération Magnus a perturbé l'infrastructure RedLine fin 2024 ; des variants successeurs continuent de circuler.
VidarFork d'Arkei stealer. Cible un large éventail de navigateurs, portefeuilles crypto et applications de messagerie. Utilisé comme dropper pour le ransomware.Les opérateurs font fréquemment tourner l'infrastructure C2 via des profils de réseaux sociaux et des dead-drop resolvers.
RhadamanthysIdentifiants bancaires, portefeuilles crypto, profilage système. Distribué via SEO poisoning et malspam.Utilise des techniques d'évasion avancées, dont le process hollowing et des loaders multi-étapes.
StealCStealer MaaS léger ciblant les identifiants de navigateur, extensions et fichiers locaux. Architecture modulaire par plugins.Gagne des parts de marché en tant que remplaçant de Lumma/RedLine suite aux perturbations de 2024–2025.

Infostealers macOS

Le paysage des infostealers macOS s'est rapidement développé en 2024. La recherche SentinelLabs documente des familles telles que Amos Atomic, Banshee Stealer, Cuckoo Stealer et Poseidon, toutes ciblant les identifiants Keychain, les données de navigateur et les portefeuilles de cryptomonnaies. Ces familles utilisent AppleScript pour usurper des boîtes de dialogue de mot de passe et inciter les utilisateurs à fournir leurs identifiants, donnant ainsi au malware l'accès au trousseau et à tous les mots de passe stockés sur le système.

Quelle que soit la famille ou la plateforme, les identifiants volés suivent le même chemin : vers les marchés clandestins et, fréquemment, entre les mains d'opérateurs de ransomware.

Le pipeline infostealer-vers-ransomware

Le lien entre les infostealers et le ransomware est bien documenté par de multiples sources indépendantes. Les infostealers servent de première étape dans une chaîne d'attaque en deux phases. L' Institut SANS documente que les acteurs du ransomware « ingressent typiquement via des identifiants volés par des malwares infostealer, avec des courtiers d'accès initiaux servant d'intermédiaires entre les opérateurs d'infostealers et les groupes de ransomware. »

L'écart opérationnel entre l'infection par infostealer et le déploiement du ransomware peut s'étendre sur une période significative, avec des mouvements latéraux non observés tout au long. Considérer la découverte d'un infostealer comme un événement endpoint de faible gravité est une erreur coûteuse. Chaque détection d'infostealer doit déclencher des protocoles de précurseur de ransomware, incluant une évaluation complète du périmètre des identifiants, la chasse au mouvement latéral et des playbooks de confinement préétablis.

Exécuter ces protocoles efficacement nécessite de comprendre pourquoi les infostealers sont si difficiles à détecter pour les outils de sécurité traditionnels.

Pourquoi les infostealers échappent aux défenses traditionnelles

Les infostealers présentent des défis structurels spécifiques qui les rendent plus difficiles à arrêter que de nombreuses autres catégories de malware.

  • L'exfiltration chiffrée se confond avec le trafic normal. Les données volées transitent via HTTPS vers des services cloud légitimes. Certains variants découpent les archives en morceaux pour échapper aux outils DLP configurés pour les transferts de gros fichiers uniques. Votre pile de sécurité réseau voit ce qui ressemble à du trafic web chiffré normal.
  • Des fenêtres d'exécution courtes laissent peu de preuves forensiques. Les infostealers sans persistance écrivent peu ou rien de façon permanente sur le disque. Les artefacts en mémoire sont écrasés. Vous devez enquêter sur la télémétrie réseau et les logs d'utilisation des identifiants plutôt que sur les artefacts endpoint, car le malware s'est auto-supprimé avant que votre équipe ne le remarque.
  • L'interception d'API d'identifiants intercepte les identifiants dans des processus légitimes. MITRE ATT&CK T1056.001 documente l'interception d'API d'identifiants au sein de contextes de processus légitimes, rendant le comportement malveillant difficile à distinguer du fonctionnement normal d'une application au niveau du processus.
  • Le point aveugle BYOD est structurel. Le DBIR de Verizon note que de nombreux systèmes compromis avec des connexions d'entreprise dans les logs d'infostealers étaient des appareils non gérés. La compromission de Snowflake l'a démontré directement : La recherche SANS a confirmé que les ordinateurs portables personnels de sous-traitants tiers n'avaient ni antivirus ni EDR et étaient utilisés pour des activités personnelles, y compris l'exécution de logiciels piratés.

Ces avantages d'évasion signifient que la détection d'une infection par infostealer dépend souvent de l'identification de ses effets plutôt que du malware lui-même.

Comment détecter une infection par infostealer

Puisque les infostealers sont conçus pour s'exécuter et se fermer rapidement, la détection d'une infection repose sur la reconnaissance des effets en aval du vol d'identifiants plutôt que sur l'identification directe du malware. Voici les indicateurs que votre équipe doit surveiller :

  • Apparition d'identifiants d'entreprise sur les places de marché du dark web. Les stealer logs apparaissent sur des marchés comme Russian Market quelques heures après le vol. Une surveillance continue des emails et identifiants de domaine d'entreprise exposés fournit l'alerte la plus précoce qu'un infostealer a compromis l'un de vos utilisateurs.
  • Activité de session anormale sur les applications SaaS et cloud. Des connexions depuis des géolocalisations inattendues, de nouveaux fingerprints d'appareils ou des sessions simultanées depuis différentes régions indiquent que des jetons de session volés sont rejoués. La corrélation de l' télémétrie d'identité avec les données endpoint aide à distinguer les déplacements légitimes du replay de jetons.
  • Processus de navigateur lancés avec des flags inhabituels. Les infostealers hookent les processus de navigateur via des ports de débogage à distance ou le mode headless. Les alertes sur les navigateurs lancés avec --remote-debugging-port ou --headless flags depuis des processus parents non standards sont un indicateur fiable.
  • Connexions sortantes inattendues vers les API Telegram ou le stockage cloud. L'exfiltration vers api.telegram.org, Dropbox ou GitHub depuis des endpoints qui n'utilisent normalement pas ces services est un indicateur comportemental fort, surtout combiné à la création d'archives ou à une activité de staging de données.
  • Modèles d'accès aux identifiants dans la télémétrie EDR. MITRE ATT&CK T1555.003 (Identifiants depuis les navigateurs web) et T1539 (Vol de cookie de session web) génèrent une télémétrie identifiable lorsque des processus hors navigateur accèdent aux bases d'identifiants ou aux magasins de cookies.

L'identification précoce dépend de la corrélation de ces signaux à travers les couches endpoint, identité et réseau plutôt que de s'appuyer sur un seul indicateur.

Erreurs courantes dans la défense contre les infostealers

Même les organisations dotées de programmes de sécurité matures commettent des erreurs évitables lors de la réponse à des incidents d'infostealer.

  • Considérer les détections d'infostealer comme des incidents endpoint isolés. Au moment où vous découvrez l'infection, les identifiants volés peuvent déjà être entre les mains d'un autre broker d'accès avec une chronologie différente. Une remédiation endpoint qui omet l'invalidation des identifiants et la chasse au  mouvement latéral laisse la voie grande ouverte à l'attaque en aval.
  • Se fier uniquement à la rotation des mots de passe. Les changements de mot de passe n'invalident pas les jetons de session actifs. Si un infostealer a collecté des cookies authentifiés, l'attaquant détient toujours des sessions valides, quel que soit votre nouveau mot de passe. Il faut invalider activement les sessions sur tous les comptes concernés.
  • Ignorer la surveillance des identifiants sur le dark web. Les identifiants volés apparaissent sur des marchés comme Russian Market peu après le vol. Les organisations qui ne surveillent pas l'exposition de leurs identifiants d'entreprise perdent la fenêtre entre le vol et l'exploitation par un acteur en aval.
  • Négliger le navigateur comme surface d'attaque principale. L'avis CISA documente Raccoon Stealer et Vidar volant des identifiants de connexion, l'historique de navigation et des cookies directement depuis les navigateurs. Le navigateur est à la fois votre principal magasin d'identifiants et votre principal dépôt de jetons de session pour les applications cloud, mais la télémétrie au niveau du navigateur est un signal que la plupart des entreprises ne collectent pas.
  • Omettre la couverture EDR pour les appareils de sous-traitants et développeurs. Les postes de travail des développeurs ont accès à des secrets de production, des identifiants de déploiement et à l'infrastructure de signature de code tout en étant moins surveillés que les serveurs de production. Étendre la couverture endpoint à ces environnements comble l'une des failles les plus exploitées.

Éviter ces erreurs est nécessaire mais pas suffisant. Une stratégie de défense structurée doit couvrir toute la kill chain de l'infostealer.

Bonnes pratiques pour se défendre contre les infostealers

Une stratégie de défense en profondeur traite la kill chain de l'infostealer à plusieurs étapes, de l'accès initial à l'exfiltration.

  1. Déployer une authentification résistante au phishing. Les implémentations FIDO2/passkey génèrent des identifiants cryptographiques uniques par service, et les clés privées ne quittent jamais les appareils des utilisateurs. Comme l'explique l' authentification sans mot de passe, compromettre un service ne fournit aucun identifiant réutilisable ailleurs car il n'y a pas de secrets de mot de passe partagés à compromettre. Priorisez d'abord les comptes à privilèges ayant accès aux systèmes de production.
  2. Désactiver le stockage des identifiants dans les navigateurs. Utilisez les politiques de gestion des navigateurs d'entreprise via Group Policy ou MDM pour empêcher les navigateurs d'enregistrer les mots de passe. Imposer l'utilisation de gestionnaires de mots de passe d'entreprise avec chiffrement matériel. Configurez des alertes pour les navigateurs lancés avec des flags de débogage à distance (--remote-debugging-port), une technique connue d'infostealer pour hooker les processus de navigateur.
  3. Déployer une protection endpoint comportementale basée sur l'IA. La recherche sur les malwares macOS l'affirme clairement : « Les solutions de sécurité employant l'analyse dynamique obtiennent de meilleurs résultats » car les infostealers doivent décoder et s'exécuter en clair, quelle que soit l'obfuscation à la livraison. Les signatures statiques échouent face aux payloads chiffrés et polymorphes.
  4. Construire et tester des playbooks de rotation des identifiants avant les incidents. Prédéfinissez la séquence de rotation sans interrompre les systèmes critiques. Une rotation ad hoc sous pression d'incident est systématiquement trop lente. Votre playbook doit inclure l'isolation réseau, la détermination de la chronologie d'infection, la rotation complète de tous les identifiants accessibles, l'invalidation active des sessions et la revue des logs d'accès sur toute la période de présence.
  5. Restreindre l'exécution de processus depuis les chemins à risque. Configurez des politiques de contrôle d'applications (WDAC, AppLocker ou profils MDM macOS) pour bloquer les exécutables non signés depuis les répertoires Downloads, Temp et User Profile. Étendez ces contrôles aux postes de développeurs et aux runners CI.

Ces pratiques réduisent la surface d'attaque, mais stopper les infostealers qui contournent la prévention nécessite une plateforme connectant en temps réel la télémétrie endpoint, identité et réseau.

Une cybersécurité alimentée par l'IA

Améliorez votre posture de sécurité grâce à la détection en temps réel, à une réponse à la vitesse de la machine et à une visibilité totale de l'ensemble de votre environnement numérique.

Obtenir une démonstration

Points clés à retenir

Les infostealers sont des malwares voleurs d'identifiants qui opèrent silencieusement, exfiltrent rapidement mots de passe et jetons de session, et alimentent une économie criminelle en aval favorisant ransomware, prise de contrôle de compte et fraude financière. La MFA seule ne stoppe pas le vol de jetons de session. Les magasins d'identifiants des navigateurs sont la cible principale. 

Chaque détection d'infostealer exige l'invalidation des identifiants, la chasse au mouvement latéral et l'activation des protocoles précurseurs de ransomware. La  protection comportementale IA, la  protection des identités et des playbooks de réponse préétablis constituent la base défensive.

FAQ

Un infostealer est un logiciel malveillant conçu pour extraire discrètement des données sensibles des systèmes infectés, notamment les mots de passe enregistrés, les cookies de session, les données de saisie automatique du navigateur et les fichiers de portefeuilles de cryptomonnaies. 

Les infostealers regroupent les données volées dans des journaux structurés et les vendent sur des places de marché clandestines, où d'autres criminels utilisent les identifiants récoltés pour lancer des attaques secondaires telles que les ransomwares, la prise de contrôle de compte et la compromission de la messagerie professionnelle.

Les infostealers atteignent les endpoints via des e-mails de phishing contenant des pièces jointes malveillantes, des campagnes de malvertising qui redirigent vers des sites hébergeant des charges utiles, des téléchargements de logiciels trojanisés et des attaques ClickFix qui incitent les utilisateurs à coller des commandes dans Windows Run ou PowerShell. Certaines campagnes utilisent l’empoisonnement SEO pour positionner des pages de téléchargement factices de logiciels populaires. 

Le modèle Malware-as-a-Service permet à des opérateurs ayant peu de compétences techniques de lancer des campagnes de distribution via des plateformes par abonnement proposant des générateurs de charges utiles prêts à l’emploi.

Les indicateurs courants incluent l’apparition d’identifiants d’entreprise sur des places de marché du dark web, des connexions depuis des géolocalisations inattendues ou de nouvelles empreintes d’appareils, des processus de navigateur se lançant avec des indicateurs inhabituels comme --remote-debugging-port, des connexions sortantes inattendues vers des API Telegram ou des services de stockage cloud, et des schémas d’accès aux identifiants dans la télémétrie EDR ciblant les bases de données de navigateurs ou les magasins de cookies. 

Étant donné que les infostealers s’exécutent et se ferment rapidement, la détection d’une infection dépend généralement de la reconnaissance de ces effets en aval plutôt que de l’identification du malware pendant son exécution.

Les infostealers ne contournent pas la MFA. Ils volent les cookies de session qui ont été émis après la réussite de la MFA. Lorsqu’un attaquant réutilise ce cookie, l’application cible considère la session comme déjà authentifiée et accorde l’accès sans redemander la MFA. 

L’authentification FIDO2/passkey résiste à la réutilisation de mots de passe car elle génère des identifiants cryptographiques uniques par site plutôt que des secrets partagés réutilisables.

Les infostealers collectent des identifiants que les access brokers vendent aux opérateurs de ransomwares. Le SANS Institute documente que les groupes de ransomwares obtiennent généralement un accès initial via des identifiants issus d'infostealers. 

L'infection par infostealer et le déploiement du ransomware sont souvent séparés dans le temps, exécutés par des acteurs malveillants différents.

Suite aux perturbations des forces de l'ordre concernant Lumma et RedLine, l'écosystème a rapidement évolué. Vidar, StealC, Acreed et Rhadamanthys sont mentionnés dans les rapports actuels comme familles actives ou émergentes. 

Le modèle MaaS garantit que la perturbation d'une famille accélère le développement et l'adoption de successeurs.

Oui. Les recherches de SentinelLabs documentent des infostealers macOS tels que Amos Atomic, Banshee Stealer, Cuckoo Stealer et Poseidon. Ces familles ciblent les identifiants Keychain, les données de navigateur et les portefeuilles de cryptomonnaies. 

Les appareils macOS en entreprise nécessitent la même protection comportementale des endpoints que les systèmes Windows.

Isolez l'endpoint concerné, déterminez la chronologie de l'infection, changez tous les identifiants accessibles depuis cet appareil, invalidez toutes les sessions actives et examinez les journaux d'accès sur toute la période de présence. Ne traitez pas cela comme un simple incident isolé sur un endpoint. 

Recherchez des mouvements latéraux utilisant les identifiants volés.

En savoir plus sur Cybersécurité

Statistiques des attaques DDoSCybersécurité

Statistiques des attaques DDoS

Les attaques DDoS deviennent plus fréquentes, plus courtes et plus difficiles à ignorer. Notre article sur les statistiques des attaques DDoS vous explique qui est ciblé actuellement, comment les campagnes se déroulent, et plus encore.

En savoir plus
Statistiques sur les menaces internesCybersécurité

Statistiques sur les menaces internes

Obtenez des informations sur les tendances, les mises à jour et plus encore concernant les dernières statistiques sur les menaces internes pour 2026. Découvrez les dangers auxquels les organisations sont actuellement confrontées, qui a été touché et comment rester protégé.

En savoir plus
Statistiques sur la cyberassuranceCybersécurité

Statistiques sur la cyberassurance

Les statistiques sur la cyberassurance pour 2026 révèlent un marché en forte croissance. Nous observons des évolutions dans les schémas de sinistres, un durcissement de la souscription et un élargissement des écarts de protection entre les grandes entreprises et les petites structures.

En savoir plus
Qu'est-ce que la sécurité des applications ? Guide completCybersécurité

Qu'est-ce que la sécurité des applications ? Guide complet

La sécurité des applications protège les logiciels tout au long du SDLC à l'aide d'outils tels que SAST, DAST, SCA et des protections à l'exécution. Découvrez comment construire un programme AppSec.

En savoir plus
Découvrez la plateforme de cybersécurité la plus avancée

Découvrez la plateforme de cybersécurité la plus avancée

Découvrez comment la plateforme de cybersécurité la plus intelligente et la plus autonome au monde peut protéger votre organisation aujourd'hui et à l'avenir.

Obtenir une démonstration
  • Commencer
  • Demander une démo
  • Visite guidée produit
  • Pourquoi SentinelOne
  • Tarification et Packages
  • FAQ
  • Contact
  • Contactez-nous
  • Support
  • SentinelOne Status
  • Langue
  • Plateforme
  • Singularity Platform
  • Singularity Endpoint
  • Singularity Cloud
  • Singularity AI-SIEM
  • Singularity Identity
  • Singularity Marketplace
  • Purple AI
  • Services
  • Wayfinder TDR
  • SentinelOne GO
  • Gestion Technique des Comptes
  • Services de Support
  • Secteurs
  • Energie
  • Gouvernement Fédéral
  • Services Financiers
  • Santé
  • Enseignement Supérieur
  • Enseignement Primaire et Secondaire
  • Industrie
  • Vente au Détail
  • Collectivités territoriales
  • Cybersecurity for SMB
  • Ressources
  • Blog
  • Labs
  • Visite guidée produit
  • Events
  • Cybersecurity 101
  • eBooks
  • Livres Blancs
  • Presse
  • News
  • Glossaire du Ransomware
  • Société
  • A propos de
  • Nos clients
  • Carrières
  • Partenaires
  • Réglementation & Conformité
  • Sécurité & Conformité
  • S Foundation
  • S Ventures

©2026 SentinelOne, tous droits réservés.

Avis de confidentialité Conditions d'utilisation

Français