.svg?width=185&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Home"){kind=logo}
.svg?width=13&quality=80&auto=webp&format=auto&cache=true&immutable=true&cache-control=max-age%3D31536000 "Top Navigation - Sign in - Icon")
Au-delà de la stressante procédure de réinitialisation des mots de passe, les infostealers, comme l’ont montré plusieurs cyberattaques récentes, peuvent avoir des conséquences bien plus importantes.
Pour de nombreuses petites et moyennes entreprises, un seul vol d’identité peut entraîner des jours d’indisponibilité et des coûts de récupération élevés.
Ces effets sont amplifiés dans un contexte professionnel, où le vol d’identifiants et l’usurpation d’identité numérique peuvent entraîner des attaques BEC (Business Email Compromise), des ransomwares, etc., infligeant ainsi aux entreprises des temps d’arrêt et de récupération critiques.
Un voleur d’informations, ou “infostealer“, est un type de malware qui collecte silencieusement des données sensibles sur l’appareil d’une victime et les transmet à des acteurs malveillants. Ce malware peut voler des informations personnelles telles que les noms d’utilisateur et les mots de passe, les données financières, l’historique de navigation ainsi que d’autres données sur un système ciblé.
Ce type de malware est généralement compact et possède des fonctionnalités limitées par rapport à d’autres menaces qui font la Une des journaux, comme les ransomwares. Les créateurs d’infostealers les conçoivent généralement pour qu’ils s’exécutent rapidement, volent des données et s’autodétruisent avant d’être détectés.
Les infostealers sont facilement accessibles à tout acteur malveillant motivé, mettant ainsi des capacités puissantes entre les mains d’attaquants débutants. L’accès à un serveur command & control (C2) de type ‘voleur’, exploité par le développeur, peut ne coûter que 50$ par mois, selon des recherches antérieures de la CTU (Counter Threat Unit) de Sophos X-Ops.
Mais que deviennent ces identifiants une fois volés ? Une fois que les identifiants quittent votre réseau, ils restent rarement inutilisés.
Les acteurs malveillants peuvent les utiliser de diverses manières, notamment pour l’extorsion, le déploiement futur de ransomwares, des attaques BEC (Business Email Compromise) et d’autres cyberattaques coûteuses.
Extorsion
De la même manière que lors d’une attaque de ransomware, les cybercriminels peuvent extorquer des fichiers aux victimes d’infostealer en leur demandant de payer une rançon en échange de la non-divulgation sur les forums du dark web de ces identifiants volés ou de leurs informations personnelles.
Dans le cas de la tristement célèbre attaque de la supply chain Snowflake, des acteurs malveillants motivés financièrement ont volé les identifiants de connexion de centaines d’entreprises et les ont extorquées ensuite individuellement. Certains de ces identifiants avaient été volés quatre ans auparavant, les organisations avaient totalement ignoré cette menace.
Si les entreprises victimes d’extorsion ne payaient pas, les acteurs malveillants menaçaient alors de divulguer les identifiants ou de les vendre à d’autres cybercriminels. L’extorsion dont a fait l’objet les entreprises touchées a entraîné des pertes financières directes et des gains illicites s’élevant à plus de 2 millions de dollars, selon la Cloud Security Alliance.
Pour de nombreuses victimes, ces extorsions surviennent sans prévenir, souvent des années après une infection initiale.
Attaques de ransomware
Souvent, les infostealers ne sont que la première étape d’une attaque plus longue qui se termine par un ransomware.
Les identifiants volés par les infostealers sont regroupés dans des “logs” et vendus sur les marketplaces du dark web ou partagés via des plateformes de messagerie comme Telegram. Ensuite, les courtiers en accès initial (IAB) achètent ces logs, valident les identifiants et revendent cet accès aux opérateurs de ransomware.
Grâce à ces identifiants valides, des personnes mal intentionnées peuvent contourner les défenses traditionnelles telles que les filtres anti-phishing ou les analyses de vulnérabilité. Si l’authentification multifacteur (MFA) n’est pas opérationnelle, les cookies volés peuvent même fournir un accès complet. Une fois à l’intérieur, les affiliés à des ransomwares se déplacent latéralement, exfiltrent des données sensibles et déploient des charges virales de chiffrement, bloquant ainsi les systèmes et exigeant ensuite un paiement.
Cet écosystème cybercriminel, des infostealers aux courtiers en accès en passant par les opérateurs de ransomware, fonctionne comme une supply chain, chaque acteur se spécialisant dans une étape différente de l’attaque. Cette organisation rend la compromission des organisations plus facile, plus rapide et plus rentable. En réalité, les identifiants compromis étaient la deuxième cause la plus fréquente des attaques de ransomware, selon le rapport Sophos sur l’état des ransomwares (State of Ransomware) 2025.
BEC (Business Email Compromise)
Au-delà des ransomwares, les acteurs malveillants exploitent souvent les identifiants volés dans des escroqueries ultérieures comme les attaques BEC (Business Email Compromise), qu’ils soient ou non les voleurs initiaux.
Les attaques BEC se produisent lorsqu’un adversaire parvient à se faire passer pour une entreprise ciblée ou un employé de cette même organisation, afin de tromper les victimes en leur faisant croire que les emails qu’elles reçoivent sont légitimes.
En 2023, la CTU (Counter Threat Unit) de Sophos X-Ops a observé que des acteurs malveillants ciblaient des hôtels avec des campagnes de phishing conçues pour diffuser des infostealers et compromettre leurs systèmes. Une fois infectés, les acteurs malveillants ont récupéré les identifiants des comptes Booking.com des hôtels concernés.
Grâce à un accès direct à ces comptes, les acteurs malveillants ont utilisé les canaux de messagerie légitimes de Booking.com pour contacter les clients ayant des réservations à venir. Ils envoyaient des messages de phishing convaincants liés à de véritables réservations, demandant souvent des paiements frauduleux. Comme les messages provenaient de sources fiables et faisaient référence à des réservations réelles, les victimes étaient plus susceptibles de s’y conformer.
Il existait également un marché secondaire florissant pour ces identifiants. Les chercheurs de la CTU ont observé une forte demande sur les forums underground pour les identifiants propriété de Booking.com, et d’autres acteurs malveillants ont, quant à eux, demandé les logs des infostealers qui incluaient les identifiants du portail de gestion des propriétés admin[.]Booking[.]com, qui, une fois utilisés pour se connecter, permettaient aux cybercriminels de voir toute réservation à venir pour un client, en utilisant ces informations ensuite dans des emails malveillants.
Comment protéger vos identifiants avec Sophos ?
L’identité est devenue le plan de contrôle des cyberattaques modernes. Les cybercriminels déploient de plus en plus d’attaques sophistiquées qui exploitent les identités compromises pour obtenir un accès non autorisé à des données et des systèmes sensibles. Selon une étude de 2024 de l’IDSA (Identity Defined Security Alliance), 90% des organisations ont subi au moins une violation de données liée à l’identité au cours de l’année écoulée.
Sophos ITDR (Identity Threat Detection and Response) est spécialement conçu pour stopper les attaques basées sur les identités en temps réel. Il surveille en permanence votre environnement pour détecter les risques d’usurpation d’identité et les erreurs de configuration, tout en exploitant les renseignements (intelligence) du dark web pour déceler les identifiants compromis, avant même qu’ils ne soient utilisés à des fins malveillantes.
Les organisations peuvent renforcer leurs défenses en adoptant une attitude proactive. Les mesures préventives, telles que le maintien de bonnes pratiques de sécurité et le renforcement de la protection des identités avant qu’une attaque ne survienne, sont tout aussi importantes que les efforts en matière de détection et de réponse, qui consistent à surveiller les attaques et à les stopper une fois qu’elles sont en cours.
De plus, pour garantir la sécurité de vos identifiants et de vos données sensibles, Sophos ITDR peut vous alerter en cas de vol ou de fuite potentielle d’identifiants avant qu’un acteur malveillant ne puisse les diffuser en ligne ou les utiliser dans des attaques ultérieures.
Face à l’essor d’une économie souterraine croissante, basée sur des accès volés, et alimentée par les infostealers, les organisations doivent agir avant que les identifiants ne soient utilisés comme de véritables cyber-armes. Sophos ITDR vous permet de prendre le contrôle, de détecter les menaces au plus tôt et de répondre en toute confiance. N’attendez pas la prochaine connexion suspecte ou le prochain email surprise que vous allez recevoir dans votre boîte de réception. Prenez une mesure proactive pour une protection d’identité renforcée : commencez votre essai gratuit de Sophos ITDR dès aujourd’hui.
Billet inspiré de Infostealers: The silent doorway to identity attacks — and why proactive defense matters, sur le Blog Sophos.
