Comment le Français Breachunt protège de la menace des cleptogiciels

Breachunt est une jeune pousse française fondée il y a 5 ans par Hugo Benoist, président d’OSINT FR, et Arnaud Garrigues, un ancien du ministère des Armées tombé dans la cybersécurité il y a un peu plus de dix ans.

L’entreprise se concentre sur la veille. Et pas n’importe laquelle : celle qui touche à l’activité associée à une menace encore mal comprise et peu médiatisée, les cleptogiciels, ou infostealers, en anglais.

Il s’agit de logiciels malveillants spécialisés dans le vol d’identifiants de comptes utilisateur confiés et de jetons de sessions stockés par les navigateurs Web.

Pour mémoire, Recorded Future a compté plus de 43 638 000 identifiants compromis en France en 2023, à raison de 60 identifiants de compte par PC infecté, en moyenne. Hudson Rock avait, quant à lui, spécifiquement relevé plus de 5 400 collaborateurs d’entreprise, en France, dont des identifiants professionnels ont été compromis par infostealer, en 2023. En 2024, il fallait compter avec plus de 25 millions d’identifiants compromis en France par cleptogiciel, selon Recorded Future.

En juin dernier, à l’occasion de la présentation de son rapport d’activité pour l’année écoulée, le CERT Santé relevait que « le déploiement de ces rançongiciels est souvent lié à l’utilisation d’infostealers dans les chaînes d’infection », soulignant la menace qu’ils représentent encore actuellement. Chaque semaine, depuis plusieurs années, le CERT Renater recense des détections de compromission par infostealer de dizaines, voire de centaines, de PC connectés à son réseau.

De son côté, Mandiant avait indiqué que, pour près de 40 % des cyberattaques sur lesquelles ses équipes étaient intervenues en 2023, et pour lesquelles le vecteur d’accès initial a été identifié, des identifiants légitimes avaient été compromis, notamment par des infostealers. Pour les cas référencés par ransomware.live en 2024, plus de 45 % présentaient la marque possible d’un cleptogiciel, selon les données d’Hudson Rock. Selon Beazley, au troisième trimestre 2025, des identifiants compromis ont été impliqués dans 48 % des cyberattaques avec rançongiciel.

Breachunt fournit à ses clients des flux d’alerte sur les identifiants ainsi compromis susceptibles de les concerner, directement comme indirectement. La jeune pousse suit pour cela un cadre légal soigneusement établi par un avocat spécialiste du droit du numérique.

Arnaud Garrigues explique qu’il s’agit d’alertes qualifiées, avec login, mot de passe, date d’infection et date de distribution, assorties de données permettant d’identifier les machines infectées. Et cela pour les noms de domaine à surveiller, fournis par les clients.

Trois cas d’usage sont identifiés : repérer les comptes de collaborateurs compromis et ceux de partenaires – assurant la tierce maintenance applicative, par exemple –, réaliser une levée de doute, sans compter les entreprises souhaitant protéger leurs propres clients.

Car dans certains secteurs d’activité, une telle compromission peut avoir un coût plus significatif que dans d’autres, et offrir une telle protection peut être un « plus » appréciable et apprécié. Dans le luxe, ou les services financiers, notamment. À condition, bien sûr, que l’entreprise cliente de Breachunt dispose des processus nécessaires : adresser des signalements en volume n’est pas nécessairement à la portée de tout le monde.

Le besoin de pédagogie sur le sujet reste toutefois important, en France comme au-delà : « on doit encore expliquer la différence entre un vol de données et un cleptogiciel », relève Hugo Benoist. Ou encore faire comprendre qu’une entreprise dont un collaborateur a vu ses identifiants compromis n’est pas à proprement parler « attaquée ». Du moins pas tant que lesdits identifiants ne sont pas utilisés pour, justement, conduire une attaque contre l’organisation concernée.

Comme le concède Arnaud Garrigues, « il est impossible de tout voir », et cela pour n’importe quel acteur de ce marché. Toutefois, la « vision complémentaire » apportée par Breachunt ne manque pas d’importance. Et cela d’autant plus que les logs – le butin des infostealers, à ne pas confondre avec les journaux d’activités remontés dans les SIEM – passent par un véritable cycle de vie, entre collecte initiale, fourniture aux « clients » de l’infostealer, qualification, revente par des courtiers ou distribution gratuite via des chaînes Telegram, voire segmentation pour la création de combolists.

Pour Hugo Benoist, « la temporalité est essentielle ; c’est une course contre les cybercriminels et… les concurrents ». Et pour cela, et afin de tenir compte des différents niveaux de circulation desdits logs, Breachunt complète son approche par du renseignement humain (ou HUMINT) pour remonter aussi haut que possible la chaîne de valeur des cleptogiciels.