Les cybercriminels ne chôment pas. Selon un rapport publié hier par Flashpoint, 2024 a été marquée par une explosion des attaques par « infostealers », ces logiciels malveillants spécialisés dans le vol d’informations personnelles. Au total, 2,1 milliards d’identifiants de connexion ont été dérobés l’année dernière, soit près des deux tiers des 3,2 milliards d’identifiants volés toutes cyberattaques confondues.
Une menace en pleine expansion
La progression est alarmante : +33% d’identifiants volés par rapport à 2023. Et la tendance ne faiblit pas, puisque rien que sur les deux premiers mois de 2025, déjà 200 millions d’identifiants ont été subtilisés.
« Les infostealers s’avèrent incroyablement polyvalents, contribuant à la prise de contrôle de comptes, à l’augmentation du nombre de fuites de données, servant de vecteurs d’accès initial pour les ransomwares, et facilitant l’exploitation via des vulnérabilités », explique Ian Gray, vice-président du renseignement chez Flashpoint.
Ces logiciels malveillants ont infecté pas moins de 23 millions d’appareils en 2024, principalement sous Windows. Plus inquiétant encore : près de 70% des infections Windows concernaient des systèmes d’entreprise.
Windows dans le viseur des hackers
Si certaines souches d’infostealers ciblent également MacOS, la plateforme de Microsoft reste la cible privilégiée des cybercriminels. Ian Gray précise que « Windows, avec sa base d’utilisateurs plus large, ses nombreux composants hérités et ses outils de développement de malwares bien établis, constitue une cible plus rentable et attractive malgré les protections plus strictes de MacOS ».
Les chercheurs de Flashpoint ont recensé 24 souches distinctes d’infostealers proposées à la vente sur les marchés illicites en 2024. Le plus prolifique, Redline, a infecté à lui seul 9,9 millions d’appareils, représentant 43% de toutes les infections observées.
Les quatre autres infostealers les plus répandus (RisePro, SteaC, Lumma Stealer et Meta Stealer) ont contaminé ensemble environ 7 millions d’appareils. La plupart de ces logiciels malveillants sont spécifiquement conçus pour contourner les systèmes de protection et éviter la détection.
L’affaire Snowflake : quand les infostealers frappent à grande échelle
L’un des exemples les plus marquants de l’efficacité de ces outils s’est produit en avril 2024, avec l’attaque massive contre les environnements clients de Snowflake. Les pirates ont utilisé des identifiants capturés par au moins six souches différentes d’infostealers (Vidar, RisePro, Redline, Racoon, Lumma Stealer et Meta Stealer) pour s’infiltrer dans 165 environnements clients de la plateforme de données cloud.
Cette série d’attaques a exposé des centaines de millions de données sensibles et touché de grandes entreprises comme AT&T, Ticketmaster, Advance Auto Parts et bien d’autres.
Un modèle économique redoutable
Ce qui rend les infostealers particulièrement dangereux, c’est leur accessibilité. D’après le rapport de Flashpoint, ces outils coûtaient en moyenne seulement 200 dollars par mois en 2024.
« Les infostealers sont des outils efficaces en raison de leur faible coût, de leur facilité d’utilisation et de leur accessibilité », souligne Gray. « Fondamentalement, c’est un multiplicateur de force qui permet à un seul acteur malveillant de compromettre une organisation à grande échelle, sans qu’il ait besoin de connaissances techniques approfondies. »
Comment fonctionnent les infostealers ?
Ces logiciels malveillants agissent comme des aspirateurs numériques, récoltant :
- Les informations système
- Les données de cartes bancaires enregistrées
- Les portefeuilles de cryptomonnaies
- Les informations de remplissage automatique
- Les identifiants de connexion
- Les cookies de session actifs stockés dans les navigateurs
Leur mode opératoire est bien rodé. L’infection survient généralement via :
- Des campagnes de phishing
- Le téléchargement de logiciels frauduleux
- Des charges malveillantes secondaires
Une fois installés, ces logiciels cataloguent et consolident les répertoires de fichiers et les clés de registre dans un format compressé qu’ils envoient à un serveur distant. Les facilitateurs de cybercriminalité packagent ensuite ces identifiants pour de futures attaques ou les revendent à des affiliés.
Répartition des principales souches d’infostealers en 2024
| Infostealer | Nombre d’appareils infectés | Pourcentage du total |
|---|---|---|
| Redline | 9,9 millions | 43% |
| RisePro | ~1,75 millions* | ~7,6%* |
| SteaC | ~1,75 millions* | ~7,6%* |
| Lumma Stealer | ~1,75 millions* | ~7,6%* |
| Meta Stealer | ~1,75 millions* | ~7,6%* |
| Autres | ~6,1 millions* | ~26,5%* |
Perspective pour 2025
La menace n’est pas près de s’atténuer. « Il est hautement probable que les infostealers continueront à alimenter de futures fuites de données ainsi que des attaques par ransomware en 2025 », prévient Ian Gray.
Face à cette menace grandissante, les experts recommandent une vigilance accrue, notamment par l’adoption de l’authentification multifacteur, la surveillance des accès aux comptes et la formation des employés aux risques du phishing.
Le rapport complet de Flashpoint, publié mardi, fournit des détails supplémentaires sur cette menace en constante évolution et propose des stratégies pour s’en protéger. Un document essentiel pour les responsables de la sécurité informatique qui doivent désormais considérer les infostealers comme l’une des principales menaces cybernétiques actuelles.
