Parce que… c’est l’épisode 0x569!

Shameless plug

• 2 au 4 avril 2025 - Humaco
• 8 et 9 avril 2025 - Cybereco
• 10 au 18 mai 2025 - NorthSec
• 03 au 05 juin 2025 - Infosecurity Europe
• 27 et 29 juin 2025 - LeHACK
• 12 au 17 octobre 2025 - Objective by the sea v8
• 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
• 17 au 20 novembre 2025 - European Cyber Week
• 25 et 26 février 2026 - SéQCure 2026

Description

Dans ce podcast, l’hôte s’entretient avec Olivier Bilodeau au sujet des “information stealers” (voleurs d’informations), un type de logiciel malveillant qui représente une menace cybernétique significative mais souvent sous-estimée.

Qu’est-ce qu’un Info Stealer?

Les “information stealers” sont des logiciels malveillants qui extraient des données sensibles d’un ordinateur infecté. Contrairement aux ransomwares ou aux malwares traditionnels qui cherchent à se déplacer latéralement dans un réseau, ces logiciels se concentrent sur l’extraction rapide et complète de toutes les données personnelles accessibles par l’utilisateur. Le résultat d’une telle infection est appelé “stealer log”.

Contenu typique d’un Stealer Log

Un stealer log contient généralement:

• Les identifiants et mots de passe stockés dans les navigateurs
• Les données d’auto-remplissage des formulaires
• Les informations personnelles et professionnelles
• Les cookies de session
• Des captures d’écran du poste de travail
• Des informations système (RAM, système d’exploitation, logiciels installés)
• Des fichiers spécifiques (documents, PDFs, bases de données de mots de passe)
• Les informations liées aux extensions de navigateur, notamment les générateurs TOTP (codes d’authentification à deux facteurs)
• Potentiellement des portefeuilles de cryptomonnaies

Méthode d’opération

Ces logiciels sont conçus pour:

1. Infecter rapidement un poste
2. Extraire toutes les données sensibles
3. Envoyer ces données (souvent via Telegram) aux cybercriminels
4. S’auto-effacer sans laisser de traces

Ce modèle “sans persistance” est radicalement différent des malwares traditionnels qui cherchent à s’installer durablement dans un système.

Écosystème criminel

Olivier explique l’écosystème derrière ces logiciels:

• Des développeurs créent des “builders” (générateurs) de malware
• Des distributeurs personnalisent et diffusent ces malwares via différents vecteurs d’infection
• Les données volées sont ensuite vendues en gros sur des plateformes comme Telegram
• Des “checkers” automatisés permettent de tester la validité des identifiants volés

Fait intéressant, la méfiance règne entre ces cybercriminels, au point où certains infectent délibérément leurs collègues.

Vecteurs d’infection

Les vecteurs d’infection typiques incluent:

• Des sites proposant des versions “gratuites” de logiciels payants
• Des “cracks” de logiciels
• Des chaînes YouTube promettant des ressources gratuites (comme des Robux pour Roblox)
• Des versions “gratuites” d’outils IA populaires comme MidJourney

Ces méthodes ciblent particulièrement les personnes cherchant à obtenir gratuitement des services normalement payants.

Impact et risques

L’impact de ces attaques est considérable:

• Un tiers des violations de données impliquent des identifiants volés
• Les données dérobées sont récentes et donc plus dangereuses que les bases d’identifiants plus anciennes
• Les sessions actives (via les cookies) permettent un accès immédiat aux comptes des victimes
• Les risques sont particulièrement élevés pour les services sans authentification à deux facteurs
• Les ordinateurs professionnels contenant des données d’entreprise représentent des cibles de choix

Travail de Flaire et recherches d’Olivier

Olivier travaille chez FLIR, qui possède une base de données de plus de 70 millions de stealer logs. Son travail consiste à:

• Analyser ces données pour comprendre les tendances et menaces
• Développer des API pour aider les entreprises à détecter rapidement si leurs informations ont été compromises
• Rechercher des vulnérabilités dans les gestionnaires de mots de passe
• Créer des outils pour tester automatiquement les identifiants potentiellement compromis

Recommandations de sécurité

Olivier recommande:

• Ne pas laisser les enfants utiliser les ordinateurs professionnels
• Utiliser l’authentification à deux facteurs quand c’est possible
• Se méfier des offres “trop belles pour être vraies”
• Comprendre que les antivirus traditionnels ont du mal à suivre ces menaces

Recherches futures

Olivier prévoit de poursuivre ses recherches sur:

• La vulnérabilité des gestionnaires de mots de passe face à ces attaques
• L’analyse automatisée des captures d’écran pour identifier rapidement les vecteurs d’infection
• L’impact sur les portefeuilles de cryptomonnaies

Cette menace persistante évolue constamment et nécessite une vigilance accrue tant de la part des individus que des entreprises.

Notes

• Olivier Bilodeau

Collaborateurs

• Nicolas-Loïc Fortin
• Olivier Bilodeau

Crédits

• Montage par Intrasecure inc
• Locaux réels par Cybereco

Tag: malware