ink drop - stock.adobe.com

Actualites

Infostealers : le risque systémique des identifiants volés

Les cleptogiciels industrialisent l'accès aux actifs numériques, exigeant une posture résiliente des entreprises. Et cela d'autant plus qu'aucune plateforme n'est à l'abri.

Valéry Rieß-Marchive
par
Publié le: 29 avr. 2026

Les cleptogiciels constituent une menace omniprésente. Ces logiciels malveillants sont conçus pour exfiltrer des données sensibles, incluant identifiants de connexion et jetons d’authentification. Une fois récoltés, ces éléments confèrent aux acteurs malveillants un accès direct aux systèmes d’entreprise et aux environnements cloud, ouvrant la voie à des prises de contrôle de comptes, des déplacements latéraux et autres exfiltrations de données.

L’ampleur de cette exposition est considérable. En 2025, KELA a observé environ 3,9 millions de machines uniques infectées par des cleptogiciels à l’échelle mondiale. Ces infections ont généré 347,5 millions d’identifiants compromis. Il est à noter que le nombre croissant de jetons volés par machine indique une menace plus impactante, même si le nombre d’hôtes infectés a légèrement diminué par rapport à 2024.

L’impact sur les actifs numériques est direct : ces identifiants sont la clé d’accès aux services critiques. L’analyse des données révèle que les solutions métiers en cloud (19,6 %), les plateformes CMS (18,7 %) et les services de messagerie électronique (15,3 %) représentent ensemble plus de 75 % des identifiants compromis. La compromission de ces services permet aux attaquants d’accéder à des documents opérationnels, des contenus privés ou aux canaux de récupération de compte.

Un modèle économique en mode service

La barrière à l’entrée pour les cybercriminels a été drastiquement abaissée par le modèle Malware-as-a-Service (MaaS). Ces plateformes proposent des kits d’infection et des panneaux de gestion prêts à l’emploi par abonnement, permettant même aux acteurs peu qualifiés de mener des campagnes massives.

Les identifiants volés sont hautement monétisés et « commoditisés » dans l’écosystème criminel. Ils sont vendus individuellement par des courtiers en accès initial (IABs) ou distribués en gros à divers acheteurs, allant des opérateurs indépendants aux groupes de rançongiciel organisés. Ces données sont utilisées pour obtenir un accès initial aux réseaux d’entreprise ou lancer des attaques sur la chaîne logistique.

Le paysage des menaces a évolué vers une approche plus industrialisée. Les tactiques et procédures (TTPs) courantes incluent le phishing omnicanal assisté par IA et les attaques de type « Scam-Yourself » (où l’utilisateur exécute manuellement des scripts), à l’instar de la technique tristement célèbre ClickFix.

Un vecteur d’infection notable est l’expansion des menaces sur macOS. Autrefois perçue comme immunisée, cette plateforme est désormais une cible lucrative. L’adoption du MaaS a professionnalisé ces outils, rendant les cleptogiciels pour macOS accessibles à grande échelle. KELA note que l’intérêt des acheteurs pour les cleptogiciels ciblant macOS a connu une augmentation spectaculaire, atteignant un sommet en 2025.

Au-delà des outils, une posture résiliente

Face à cette menace persistante, les mesures défensives doivent dépasser la simple installation d’outils avec une approche multicouche.

Selon KELA, l’intelligence et la surveillance de l’exposition sont primordiales. Mais la sécurité de l’identité et des sessions doit être renforcée par l’application d’une authentification multifacteur résistante au phishing et une gestion stricte des sessions pour prévenir la relecture de jetons. Troisièmement, le durcissement de l’infrastructure passe par le déploiement d’EDR basés sur le comportement, pour bloquer l’exécution furtive des cleptogiciels, ainsi que par une segmentation réseau pour contenir tout mouvement latéral après un accès initial.

Pour approfondir sur Menaces, Ransomwares, DDoS