Infostealer
Logiciel malveillant conçu pour voler silencieusement des informations sensibles sur un appareil infecté : mots de passe, cookies, tokens API, clés SSH, portefeuilles crypto.
Un infostealer (voleur d'informations) est un type de logiciel malveillant (malware) conçu pour collecter silencieusement des données sensibles sur l'appareil infecté et les exfiltrer vers un attaquant. Les cibles principales sont les mots de passe enregistrés dans les navigateurs, les cookies de session, les tokens d'authentification (API, SSH), les portefeuilles de cryptomonnaies et les données de cartes bancaires. Les infostealers sont responsables de 24% des cyberattaques initiales en 2024 et 10 milliards de credentials volés circulent sur les marchés darknet.
Définition technique
Mécanismes de collecte
Les infostealers ciblent les données stockées localement par les applications. Les navigateurs Chromium (Chrome, Edge, Brave) chiffrent les mots de passe avec DPAPI (Windows) ou le trousseau (macOS), mais un processus s'exécutant sous la session de l'utilisateur peut les déchiffrer. Les cookies de session sont particulièrement précieux : ils permettent de se connecter à un service sans mot de passe ni MFA (session hijacking).
Les techniques de collecte incluent : lecture des bases SQLite des navigateurs (Login Data, Cookies), extraction des clés de déchiffrement du profil navigateur, scan des fichiers connus (.ssh/, .env, credentials.json, portefeuilles crypto), capture de la mémoire vive (credentials en clair), et keylogging (enregistrement des frappes clavier). Les données collectées sont compressées et envoyées vers un serveur C2 (Command and Control) en une seule requête HTTPS pour minimiser la détection.
Distribution et campagnes
Les vecteurs de distribution des infostealers évoluent avec l'écosystème tech. Les méthodes traditionnelles incluent le phishing (email avec pièce jointe), les faux logiciels (cracks, keygens), et les publicités malveillantes (malvertising). Les vecteurs émergents exploitent les marketplaces d'extensions : packages npm/PyPI malveillants (supply chain attack), et extensions d'agents IA (skills ClawHub pour OpenClaw).
La campagne ClawHavoc, qui a touché les utilisateurs macOS d'OpenClaw, illustre ce nouveau vecteur : des skills apparemment légitimes (productivité, automatisation) embarquaient un infostealer ciblant les portefeuilles crypto, les clés SSH et les mots de passe des navigateurs.
Enjeux actuels
Infostealers-as-a-Service
Le modèle MaaS (Malware-as-a-Service) démocratise l'accès aux infostealers : des opérateurs louent leur malware à des affiliés pour 100-300 USD/mois, avec panneau d'administration, support technique et mises à jour anti-détection. RedLine, Raccoon Stealer et Lumma sont distribués via Telegram et forums darknet. Ce modèle industrialisé a multiplié le volume de credentials volés.
Nouveau vecteur : les agents IA
Les agents IA personnels (OpenClaw, extensions de navigateurs IA) créent une surface d'attaque inédite pour les infostealers. Contrairement aux extensions de navigateur classiques (sandboxées), les agents IA ont souvent accès au système de fichiers, au terminal et au réseau. Une extension malveillante d'agent IA peut accéder à des données inaccessibles aux malwares web classiques : clés SSH, configurations serveur, variables d'environnement avec secrets. En due diligence technique, la sécurité de la marketplace d'extensions est un critère critique.
Standards et spécifications
MITRE ATT&CK - Credential Access
Classification des techniques de vol de credentials dans la matrice ATT&CK
NIST SP 800-63B
Directives sur l'authentification digitale et la protection des credentials
Questions fréquentes
Comment fonctionne un infostealer ?
Un infostealer s'exécute silencieusement sur l'appareil de la victime et collecte des données sensibles stockées localement. Les cibles principales sont : les mots de passe enregistrés dans les navigateurs (Chrome, Firefox, Edge), les cookies de session (permettant de contourner l'authentification à deux facteurs), les tokens API et clés SSH, les portefeuilles de cryptomonnaies, et les données de remplissage automatique (numéros de carte bancaire, adresses).
Les données volées sont exfiltrées vers un serveur de commande et contrôle (C2) puis revendues sur des marchés darknet (Genesis Market, Russian Market). Un lot de credentials complet (email, mot de passe, cookies) se vend 10-50 USD. Les infostealers les plus répandus en 2024 sont RedLine, Raccoon, Vidar et Lumma.
Comment se protéger des infostealers ?
La prévention repose sur plusieurs couches : ne jamais installer d'extensions ou de logiciels provenant de sources non vérifiées (comme les skills malveillantes du ClawHub d'OpenClaw), maintenir son système et navigateur à jour, utiliser un gestionnaire de mots de passe (les credentials sont chiffrés, contrairement au stockage navigateur), et activer l'authentification matérielle (clés FIDO2/WebAuthn, résistantes au vol de cookies).
Les entreprises déploient des solutions EDR (Endpoint Detection and Response) qui détectent les comportements typiques des infostealers : accès aux fichiers de profil navigateur, lecture des bases de données de credentials, communication avec des C2 connus. Le monitoring des fuites de credentials (SpyCloud, Hudson Rock, Have I Been Pwned) permet de détecter rapidement une compromission.
Quel est le lien entre infostealers et agents IA ?
Les agents IA comme OpenClaw créent un nouveau vecteur de distribution pour les infostealers. Les extensions (skills) de marketplace communautaire peuvent embarquer du code malveillant d'exfiltration. La campagne ClawHavoc a distribué un infostealer ciblant macOS via 824 skills malveillantes du ClawHub, volant clés SSH, tokens API et mots de passe des navigateurs.
Le risque est amplifié par le fait que les agents IA ont accès au système de fichiers et au terminal : un infostealer distribué via une extension d'agent dispose de plus de permissions qu'un malware web classique. En due diligence, l'existence d'une marketplace d'extensions non modérée est un red flag sécurité majeur.