Nous observons une mutation profonde du paysage des cybermenaces. Les infostealers ont dépassé les ransomwares en volume de déploiement dès 2025. Aujourd’hui, ces voleurs d’identifiants représentent le premier maillon de la plupart des chaînes d’attaque.
🔥 Nous recommandons McAfee
McAfee est le meilleur logiciel de protection grâce à sa défense proactive, son pare-feu intelligent, son VPN intégré et sa détection instantanée des menaces. Sécurité totale, performance préservée, tranquillité assurée.
J'en profiteLeur principe est simple, leur efficacité redoutable. Une fois installé sur un poste de travail, l’infostealer collecte les identifiants enregistrés, les cookies de session, les portefeuilles de cryptomonnaies, l’historique de navigation et les fichiers sensibles. Les attaquants compressent le tout, le chiffrent, puis l’expédient vers un serveur sous leur contrôle. La victime ne voit rien. Aucune alerte, aucun écran bloqué. Et pourtant, tout est déjà compromis.
Infostealers : une hémorragie de données qui frappe la France de plein fouet
Les chiffres donnent le vertige. Selon le rapport Flashpoint 2026, les infostealers ont infecté 11,1 millions de machines dans le monde en 2025, générant un stock de 3,3 milliards d’identifiants et de tokens cloud volés. Sur le seul premier semestre 2025, KELA recensait déjà 2,67 millions de machines infectées et 204 millions d’identifiants compromis, un volume en voie de dépasser les 4,3 millions de machines et 330 millions d’identifiants de 2024. La progression est massive, et elle s’accélère.
La France n’est pas épargnée. Elle se hisse au rang de premier pays européen touché par les fuites de données en 2025. Check Point confirme que l’Hexagone concentre 13 % des cyberattaques recensées en Europe. Le coût moyen d’une violation de données pour une organisation française s’établit à 3,59 millions d’euros en 2025 selon le rapport IBM, en baisse de près de 7 % par rapport à 2024, grâce notamment à une détection plus rapide.
Des techniques d’infiltration toujours plus furtives
Les cybercriminels ne cessent d’innover pour contourner les défenses. En mai 2026, les chercheurs de Fortinet ont mis au jour une campagne de phishing qui dissimule le puissant infostealer PureLogs dans des photos de chats. L’attaquant emploie la stéganographie : il chiffre le code malveillant, puis le dissimule à l’intérieur même des pixels d’une image PNG. Une fois téléchargée, l’image paraît totalement inoffensive. En arrière-plan, un loader baptisé PawsRunner déchiffre le payload et déploie l’infostealer. Fortinet suit cette campagne depuis mars 2026, avec des échantillons qui ont évolué pour intégrer des mécanismes de persistance améliorés et contourner les fonctionnalités de sécurité de Windows 11.
PureLogs : cibles élargies et exfiltration chiffrée qui se fond dans le trafic
Cette version récente de PureLogs cible plus de 100 extensions de portefeuilles crypto, des gestionnaires de mots de passe comme Bitwarden ou 1Password, des applications de messagerie (Discord, Telegram, Signal) et de nombreux logiciels professionnels. Les données volées sont chiffrées en AES, puis exfiltrées via des communications HTTPS qui se fondent dans le trafic légitime. Pour un outil de surveillance réseau, tout semble normal.
Barracuda alerte sur une hausse de 35 % des infostealers et le kit furtif GhostFrame
Barracuda Networks, déjà à l’origine d’alertes majeures depuis 2024, continue de documenter cette escalade. Ses analystes ont enregistré une hausse de 35 % des détections liées aux infostealers dès le premier semestre 2025. L’éditeur a également révélé l’existence de GhostFrame, un kit de phishing furtif détecté en septembre 2025. Ce kit dissimule l’intégralité du code malveillant dans un iframe intégré à une page HTML d’apparence anodine. Les chercheurs suivent GhostFrame depuis sa découverte et l’ont désormais lié à plus d’un million d’attaques cumulées.
Whisper 2FA, le PhaaS qui contourne l’authentification multifacteur en temps réel
Autre menace majeure identifiée par Barracuda : Whisper 2FA, une plateforme de phishing-as-a-service capable d’intercepter en temps réel les tokens d’authentification multifacteur (MFA) des utilisateurs Microsoft 365. Suivi depuis juillet 2025, Whisper 2FA a été observé dans près d’un million d’attaques en un seul mois (octobre 2025), ce qui en fait le troisième PhaaS le plus répandu derrière Tycoon et EvilProxy. Sa particularité inquiétante : il boucle les demandes d’authentification jusqu’à capturer un token valide, rendant la MFA classique bien moins efficace.
Lumma Stealer après la saisie et l’explosion des clones open source
L’année 2025-2026 a été marquée par un séisme dans l’écosystème cybercriminel. Lumma Stealer, l’infostealer le plus répandu entre 2023 et début 2025, a vu son infrastructure frappée de plein fouet par une opération internationale coordonnée par Microsoft, le FBI et Europol. Le 21 mai 2025, les autorités ont saisi plus de 2 300 domaines malveillants, coupant les communications entre les machines infectées et les serveurs de contrôle. Entre mars et mai 2025, Microsoft avait recensé plus de 394 000 ordinateurs Windows compromis par ce malware.
Mais l’histoire ne s’arrête pas là. Dès juin 2025, les analystes de Trend Micro confirmaient une reprise complète des opérations de Lumma, avec des niveaux de menace comparables à ceux observés avant la saisie. Le développeur principal, surnommé « Shamel », n’a pas été arrêté. Le groupe a simplement migré vers des canaux de distribution plus discrets et des tactiques d’évasion renforcées. Il ne s’agit donc pas d’un démantèlement définitif, mais d’une perturbation suivie d’une résilience rapide.
Quatre packages npm malveillants en 24 heures : la démocratisation en marche
En parallèle, la menace s’est démocratisée. En mai 2026, les chercheurs d’OX Security ont découvert quatre packages npm malveillants — chalk-tempalte, @deadcode09284814/axios-util, axois-utils et color-style-utils — publiés en 24 heures par un seul acteur. Le package chalk-tempalte contient un clone quasi identique du ver Mini Shai-Hulud, que le groupe TeamPCP a publié en open source la semaine précédente. Les trois autres diffusent des infostealers distincts et un botnet DDoS en Golang baptisé Phantom Bot.
Chaîne d’approvisionnement ciblée : plus de 160 paquets npm et PyPI infectés
Cette affaire s’inscrit dans une campagne plus vaste. Le 12 mai 2026, une attaque massive de la chaîne d’approvisionnement a compromis plus de 160 packages npm et PyPI, touchant des projets comme TanStack (42 packages concernés), Mistral AI, Guardrails AI, UiPath et OpenSearch. L’attaque a exploité des tokens OIDC volés pour publier des versions malveillantes avec des signatures cryptographiques valides, rendant la détection extrêmement difficile. TeamPCP a revendiqué l’opération et tenté d’extorquer 25 000 dollars à Mistral AI pour une prétendue fuite de code source interne.
Cette convergence d’événements illustre une tendance lourde : la démocratisation extrême des outils d’attaque. Avec du code open source librement accessible, un concours lancé sur BreachForums et une récompense de 1 000 dollars en Monero, n’importe quel acteur malveillant peut désormais lancer une campagne d’infostealer en quelques heures.
Se protéger efficacement : les stratégies qui fonctionnent
Face à cette menace industrialisée, les stratégies défensives évoluent. Nous voyons émerger plusieurs piliers de protection.
D’abord, l’authentification multifacteur renforcée. Les MFA classiques par notification push montrent leurs limites face à des kits comme Whisper 2FA. Le recours à des clés de sécurité physiques (FIDO2) ou à l’authentification biométrique devient incontournable pour les accès sensibles.
Ensuite, la surveillance proactive des logs infostealers. Des plateformes comme Flashpoint permettent désormais de collecter en continu les logs d’infostealers mis en vente sur les marchés noirs et les canaux Telegram. L’objectif : détecter qu’un compte professionnel a fuité avant même que l’attaquant ne l’exploite. Cette approche transforme la défense d’une posture réactive en une veille active.
La formation des équipes demeure un levier essentiel. Apprendre à reconnaître un e-mail de phishing, à vérifier l’expéditeur réel d’un message, à ne jamais ouvrir une pièce jointe inattendue : ces réflexes simples bloquent la majorité des tentatives d’infection. Les campagnes récentes utilisent des thèmes variés : fausses factures, relances RH, notifications de réinitialisation de mot de passe. La vigilance humaine reste la première ligne de défense.
Enfin, le durcissement technique des postes de travail porte ses fruits. Restreindre l’exécution de scripts PowerShell non signés, bloquer les formats d’archives inhabituels comme TXZ au niveau de la passerelle e-mail, déployer une solution EDR capable de détecter les exécutions en mémoire, maintenir les correctifs de sécurité à jour. Ces mesures, combinées, réduisent drastiquement la surface d’attaque.
Selon le rapport WatchGuard de février 2026, 23 % des malwares détectés par ses solutions ont échappé à la détection traditionnelle basée sur les signatures, ce qui les qualifie de menaces zero-day. Ce chiffre, qui reflète les données agrégées des produits WatchGuard et non un taux global de l’industrie, souligne la nécessité de s’appuyer sur des défenses comportementales alimentées par l’IA.
FAQ
Un infostealer est un logiciel malveillant conçu pour collecter silencieusement des données sensibles sur un appareil infecté. Il aspire les identifiants de connexion, les mots de passe enregistrés dans les navigateurs, les cookies de session, les portefeuilles de cryptomonnaies, les historiques de navigation et les fichiers de configuration. Contrairement à un ransomware qui bloque l’écran pour réclamer une rançon, l’infostealer agit dans l’ombre. La victime ne remarque généralement rien.
Le vecteur le plus courant est l’e-mail de phishing contenant une pièce jointe déguisée ou un lien piégé. D’autres canaux existent : téléchargement de logiciels piratés, packages open source infectés (npm, PyPI), publicités malveillantes, fausses mises à jour de navigateur. En 2026, la stéganographie est de plus en plus utilisée pour dissimuler le code malveillant dans des images apparemment inoffensives. Les archives TXZ remplacent progressivement les anciens formats comme vecteur d’infection.
Les cookies de session arrivent en tête : ils permettent de se connecter à un service sans mot de passe, en contournant l’authentification multifacteur. Viennent ensuite les identifiants de messagerie professionnelle, les portefeuilles de cryptomonnaies, les tokens d’accès aux services cloud et les fichiers de configuration VPN. Les versions récentes comme PureLogs ciblent aussi les gestionnaires de mots de passe et les applications de messagerie.
Pas toujours. Des kits comme Whisper 2FA interceptent les tokens MFA en temps réel. Si l’attaquant vole un cookie de session valide, il se connecte sans déclencher de demande MFA. La MFA reste une protection essentielle, mais les équipes de sécurité doivent la combiner à des clés de sécurité FIDO2 et à une surveillance des connexions inhabituelles.
