On parle beaucoup de ransomware parce que ça se voit : écran noir, rançon, panique. Les infostealers, eux, jouent l’inverse. Ils ne veulent pas bloquer votre machine. Ils veulent vous laisser travailler pendant qu’ils aspirent ce qui a le plus de valeur : vos sessions, vos identifiants, vos jetons, vos portefeuilles crypto, et l’accès à vos outils pro. C’est une cybercriminalité de rendement : rapide, industrialisée, et souvent invisible jusqu’au moment où un compte tombe.
Ce qui se passe vraiment
Un infostealer est un malware conçu pour collecter et exfiltrer des données d’authentification et des informations sensibles. Sa cible prioritaire, aujourd’hui, c’est le navigateur : parce que le navigateur est devenu le coffre-fort de facto de votre vie numérique. Il contient vos mots de passe enregistrés, votre historique, vos formulaires, mais surtout des éléments beaucoup plus explosifs : cookies de session et tokens. Et quand un attaquant met la main dessus, il n’a parfois même pas besoin de connaître votre mot de passe.
Le point clé à comprendre : l’infostealer ne “pirate” pas votre compte au sens classique. Il vole de quoi se faire passer pour vous.
Cookies de session : pourquoi un simple fichier peut contourner vos protections
Quand vous vous connectez à un service, vous ne retapez pas votre mot de passe à chaque clic. C’est parce que le service vous donne un cookie ou un token de session qui prouve que vous êtes déjà authentifié. Un infostealer vole ces sessions et permet ce qu’on appelle souvent un “session hijacking” : l’attaquant réutilise la session ailleurs, parfois sans déclencher d’alerte immédiate.
Et c’est là que beaucoup se trompent : l’authentification à deux facteurs ne protège pas toujours contre ça. La 2FA protège très bien contre le vol de mot de passe. Elle protège moins bien quand l’attaquant vole une session déjà ouverte. Certains services détectent, invalident, recadrent. D’autres laissent passer.
Wallets crypto : la cible évidente, mais pas la seule
Les infostealers cherchent très souvent tout ce qui ressemble à un portefeuille : extensions de navigateur, fichiers de configuration, clés, phrases de récupération stockées n’importe où, captures d’écran, notes… Ils cherchent aussi les échanges crypto, parce qu’un compte déjà authentifié, c’est parfois un retrait en quelques minutes.
La crypto attire parce qu’elle est transférable et difficile à récupérer. Mais la cybercriminalité “moderne” ne se limite pas à ça.
Comptes SaaS : le vrai jackpot discret
Aujourd’hui, l’accès à un compte SaaS vaut parfois plus qu’une carte bancaire. Pourquoi ? Parce qu’un SaaS, c’est un levier. Un accès à un outil de facturation, un CRM, une messagerie pro, un drive, un outil RH, un gestionnaire de mots de passe, un panel cloud : ce n’est pas seulement “un compte”, c’est une porte sur des données, des flux d’argent, des identités, et des rebonds possibles.
Dans beaucoup d’attaques récentes, le vol initial ne ressemble pas à un “piratage”. C’est juste une session volée, puis une prise de contrôle latérale : création de règles de transfert mail, ajout d’un appareil “de confiance”, création de jetons API, ou ajout d’un nouvel utilisateur admin. Et quand vous vous en rendez compte, l’attaquant n’est plus dans “un compte”, il est dans votre système.
Comment on s’infecte (sans s’en rendre compte)
L’infection typique, c’est l’anti-schéma du ransomware : vous téléchargez un “truc” qui a l’air légitime (crack, faux installateur, fausse mise à jour, extension, outil gratuit), vous l’exécutez, et il fait son travail en arrière-plan. Les campagnes passent aussi par des pièces jointes, des fausses pages de connexion, des publicités piégées, et des bundles d’installation.
Le point commun, ce n’est pas la sophistication. C’est la friction minimale : il faut que la victime clique.
Signaux faibles : ce que les gens ratent
Les infostealers ne déclenchent pas toujours une alerte antivirus. Les symptômes sont souvent indirects : connexions inhabituelles, sessions révoquées, emails de “nouvel appareil”, comptes qui se déconnectent, réglages modifiés. Le piège, c’est que vous attribuez ça à un bug, une mise à jour, ou un service capricieux.
Or, dans ce domaine, l’erreur n’est pas d’être parano. L’erreur, c’est de croire que l’absence de rançon signifie l’absence d’attaque.
Réduire l’impact : ce qui marche vraiment
La défense la plus utile contre les infostealers, ce n’est pas une phrase creuse du type “installez un antivirus”. C’est une stratégie qui réduit ce qu’un voleur peut exploiter.
D’abord, limiter ce qui reste dans le navigateur : mots de passe enregistrés, sessions “pour toujours”, extensions inutiles. Ensuite, durcir l’authentification : privilégier des méthodes résistantes au phishing et au vol de session quand c’est possible. Enfin, être capable de réagir vite : révoquer les sessions, changer les mots de passe, faire une rotation des clés et jetons, vérifier les règles mail, et auditer les accès.
Exigence : la règle qui vous évite de vous raconter une histoire
Si un infostealer passe sur votre machine, partez du principe que tout ce qui était ouvert ou mémorisé peut être compromis : sessions web, cookies, mots de passe enregistrés, tokens. À partir de là, votre priorité n’est pas de “nettoyer” pour vous rassurer. Votre priorité est de couper l’accès : révoquer, changer, vérifier, et reconstruire une base saine.
