Veille & Réaction
Publié le
July 10, 2025
12
minutes de lecture

Qu’est-ce qu’un infostealer ?

Cet article a été mis à jour le
10/7/2025 11:30

Infostealer, de quoi s’agit-il ?

Le mot infostealer(1) est un anglicisme issu de la combinaison des mots information et stealer (voleur). De ce fait, un infostealer est un voleur d'informations ou encore un voleur de données numériques.

Il s'agit plus précisément d'un logiciel malveillant (malware),conçu pour voler de manière discrète des données des appareils qu'il infecte. Le terme infostealer englobe plusieurs types de malwares qui vont jouer des rôles divers, mais dont le point commun est le vol d’informations. Selon leurs spécificités, les stealers ciblent les navigateurs web, les portefeuilles de cryptomonnaie tels que Metamask, et des applications de messagerie telles que Discord ou Thunderbird. Certains peuvent effectuer l’enregistrement de frappes de votre clavier (keylogging) ou des captures de votre écran en temps réel.

Dans cet article, nous présenterons notamment les infostealers qui volent des identifiants de connexion et qui affectent particulièrement le monde de l’entreprise : LummaC2, Redline, Metastealer, Raccoon, RisePro, StealC, Rhadamanthys Stealer, DarkCrystal RAT (DCRat). Il est important de noter que cette liste n’est pas exhaustive.

Les infostealers vont collecter des appareils qu'ils compromettent des données telles que :

  • Les identifiants de connexion : les adresses e-mails, les noms d'utilisateurs, les mots de passe, les cookies de connexion,
  • L’historique de connexion,
  • Les données personnelles enregistrées dans les formulaires de remplissage automatique : noms, prénoms, adresses, numéros de téléphone,
  • Les données de paiement, notamment les informations de cartes bancaires,
  • Les données système : modèle de l’appareil, programmes installés, les antivirus présents…

Les malwares les plus performants, à l’instar de LummaC2, peuvent également collecter des cookies de session Google, des identifiants de session de quelques VPN, des fichiers de format PDF, DOCX et TXT sauvegardés sur le bureau.

Arborescence de données volées par le malware Metastealer

Un infostealer permet à un attaquant de collecter des données pour reconstituer ou usurper avec précision l’identité numérique de sa victime. Il représente donc une menace sérieuse pour tous les utilisateurs du numérique - soit près de 67 % de la population mondiale(2) ou 47,4 millions de français(3).

D'où viennent les infostealers ?

Les infostealers sont diffusés par des acteurs malveillants, souvent dissimulés dans des programmes en apparence anodins : applications, jeux ou pièces jointes(4). Leur finalité est presque toujours lucrative. Ces malwares collectent des données personnelles précieuses, revendues sur le marché noir du trafic de données.

Dans cette économie souterraine bien organisée, on distingue deux profils : les développeurs d'infostealer et les acheteurs qui exploitent ou distribuent les infostealers.

Les premiers dotés de solides compétences techniques conçoivent des infostealers performants capables de cibler des données sensibles avec un bon taux de réussite. Ils les commercialisent discrètement sur les forums de cybercriminels via le darkweb ou sur des canaux Telegram. Certains proposent même un support technique et des mises à jour régulières. Ces malwares sont vendus selon différents modèles : licence, abonnement avec ou sans affiliation, etc. C’est le modèle du Malware-as-a-service (MaaS, logiciel malveillant en tant que service).

Les acheteurs d’infostealers, quant à eux, déploient les infostealers au travers de stratégie de propagation des malwares sur le clearweb (en oppotion au dark web). IIs récupèrent les données volées, qu’ils exploitent ou revendent ensuite sur des forums ou places de marché illicites en ligne.

L’objectif de ces attaquants est simple : vous pousser à télécharger et exécuter le logiciel malveillant en toute confiance. Pour y parvenir, ils utilisent des appâts efficaces comme les e-mails de phishing (hameçonnage), les faux sites web ou encore les tutoriels de logiciels piratés.
Les infostealers sont ainsi diffusés au travers des e-mail contenant un lien malveillant, extensions de navigateur ChatGPT, des fausses mises à jour de Windows, des jeux vidéo à télécharger. De nombreuses campagnes de distribution ont déjà été recensées, illustrant la variété des méthodes employées.

Exemple de publicité malveillante qui fait accéder à une fausse version de ChatGPT
Exemple de publicité malveillante qui fait accéder à une fausse version de ChatGPT

Exemple de publicité du malware ToxicEye sur un forum en ligne du dark web
Exemple de publicité du malware ToxicEye sur un forum en ligne du dark web

Comment fonctionne un infostealer ?

Les infostealers sont des malwares de type trojan(cheval de troie) conçus pour passer inaperçus et de persister sur l’appareil infecté, tout en contournant les protections de sécurité. La plupart s’appuient sur une infrastructure de type Command and Control (C2) qui permet aux attaquants de piloter le malware à distance.

Une fois téléchargé et installé, l’infostealer établit une connexion avec un serveur C2. Ce canal lui permet de récupérer la charge utile ainsi que d’éventuels modules complémentaires. Il procède ensuite à l’extraction des données sensibles, recherchées qui seront envoyées au serveur C2 lors d’une prochaine connexion.

Le fonctionnement exact peut varier selon les solutions. Certains infostealers comme DCRat vont plus loin et peuvent aussi être utilisés pour mener d’autres types d’attaques, comme des attaques DDoS(déni de service distribué).

Quels sont les risques liés aux infostealers ?

Les données volées après une infection par un infostealer sont soit revendues, soit réutilisées pour lancer des attaques plus ciblées et sophistiquées. Le service Digital Footprint Intelligence de Kaspersky estime à 50,9 le nombre moyen d’identifiants de connexion collectés par appareil compromis.

Vente sur le dark web : ces identifiants sont ensuite regroupés dans des “combolistes” (liste de combinaisons d’identifiants) qui sont revendues sur les places de marchés cybercriminelles, que ce soit sur le dark web ou sur Telegram.

Vol d’identité : ces identifiants sont ensuite testés par les cybercriminels pour accéder aux comptes des victimes, dans le but d’usurper leur identité numérique et de mener des opérations frauduleuses. Le risque encouru est encore plus grand si ces identifiants donnent accès à des systèmes internes d’une organisation. Dans les cas les plus critiques, ces informations peuvent servir d’accès initial (ou point d’entrée) à un attaquant pour infiltrer le système d’information d’une entreprise et commettre des attaques plus impactantes, comme le déploiement d’un ransomware, logiciel malveillant avec demande de rançon à la clé.

Fraude bancaire : Les données bancaires sont exploitées pour réaliser, des achats frauduleux ou commettre d’autres fraudes bancaires, entraînant des pertes financières directes.

Flux des données volées par un infostealer

Comment éviter les infostealers ?

En suivant les bonnes pratiques de sécurité recommandées par l’ANSSI, vous réduisez considérablement les risques de compromission par infostealer. Voici les recommandations à appliquer :

  • Téléchargez toujours vos logiciels depuis les sites officiels des éditeurs, que ce soit pour un usage personnel ou professionnel.
  • Soyez vigilant lorsque vous recevez des e-mails contenant des pièces jointes ou des liens, même s’ils semblent provenir d’un contact de confiance.
  • Séparez les usages professionnels et personnels pour limiter les risques.
  • Mettez régulièrement à jour votre système d’exploitation et vos applications, afin de bénéficier des correctifs de sécurité récents.
  • Ne désactivez pas les protections antivirus

Comment atténuer les conséquences d’une compromission par infostealer?

Les attaquants innovent sans cesse, et il reste possible d’être victime d’un infostealer, même avec toutes ces précautions. Voici comment en limiter les conséquences :

  • Activez l’authentification multifacteur (MFA) dès que possible : Cette couche de sécurité supplémentaire constitue une barrière efficace si vos identifiants venaient à être volés, sauf si ce sont les cookies de session qui ont été dérobés.
  • Souscrire une Cyberveille couplée à une réaction rapide : surveiller les fuites de données, en particulier professionnelles, est essentiel. Cependant cette veille n’est réellement efficace que si elle déclenche des mesures concrètes : réinitialisation des accès, isolement de l’appareil compromis, etc. Sans cette réactivité opérationnelle, la cyberveille reste une mesure préventive.
  • Signalez toute suspicion de fuites de données ou de présence d’un logiciel malveillant au service dédié.
  • Installez un antivirus ou un EDR (EndpointDetection and Response) et ne le désactivez pas, surtout lors de l’installation de logiciels.

Face aux infostealers, adopter la bonne posture à adopter revient à combiner vigilance, outils de sécurité et la surveillance des fuites de données. En cas de doute, n’hésitez pas à faire appel à un professionnel de la cybersécurité qui saura vous aider à évaluer les risques, pour mieux comprendre les menaces et à mettre en place une cyberveille adaptée et régulière.

Chez Akyl, vous bénéficierez d’un accompagnement personnalisé par une équipe à taille humaine engagée à vous proposer des solutions sur mesure, adaptées à vos enjeux et à votre environnement.

(1) Kaperksky. 2024. Data-stealing malware infectionsincreased sevenfold since 2020, Kaspersky experts say

(2) We are social. 2023. Digital2023 April global statshot report

(3) José Billon,Blog du modérateur. 2024. Commentles Français utilisent Internet 

(4) Pei HanLiao, Fortinet. 2024. Python Info-stealer Distributed by Malicious Excel Document https://www.fortinet.com/blog/threat-research/python-info-stealer-malicious-excel-document

Poursuivez la lecture

Ne vous arrêtez pas là ! L'article complet est disponible gratuitement et sans inscription sur la plateforme Medium.

Lire l'article complet
Consulter l'article
Cette page est un résumé de l'article complet disponible gratuitement et sans inscription sur la plateforme Medium.
Lire l'article complet
A propos de l'auteur
Ornella Aveko
Par
Ornella Aveko
Analyste CTI
Ornella intervient sur les sujets de Cyber Threat Intelligence. Elle réalise pour nos clients des opérations de veille sur les menaces, des investigations en source ouverte et des analyses des fuites de données.
A propos d'Akyl
Akyl est un cabinet de conseil et d’audit en cybersécurité. Nous proposons une offre à 360° sur les métiers de la cybersécurité et de la cyberdéfense. Nous sommes un acteur 100% français et 100% indépendant, qui assure la continuité indispensable entre la cyberdéfense et la crise.
En savoir plus sur Akyl
Découvrir nos services

Nos autres articles

Veille & Réaction
Qu’est-ce qu’un infostealer ?
12
minutes de lecture
Publié le
10/7/2025 11:32
Veille & Réaction
Comprendre LummaC2, l'infostealer qui menace la sécurité de votre entreprise
12
minutes de lecture
Publié le
31/7/2024 11:17
Veille & Réaction
Qu’est-ce que le dark web ? Au-delà des clichés, le dark web expliqué simplement
6
minutes de lecture
Publié le
31/7/2024 11:17
Newsletter
Recevez nos conseils et nos alertes

Maximum 1 email par mois, révocable à tout moment.

Merci d'avoir souscrit à notre newsletter !
Vous recevrez bientôt un email de confirmation
avec les détails de votre inscription.
Oups ! Un problème est survenu lors de la soumission du formulaire.
Akyl
SÉCURITÉ OFFENSIVE
Audit & tests d'intrusionPhishing & fraude
VEILLE & RÉACTION
Veille cybersécuritéRéponse à incident
Akyl © 2024. Tous droits réservés.