📑 Sommaire
- Introduction aux infostealers
- Qu'est-ce qu'un infostealer ? Définition simple
- Pourquoi les infostealers sont-ils si dangereux pour les PME ?
- Comment un infostealer infecte-t-il un poste de travail ?
- Les infostealers les plus répandus en 2026
- Le cycle de vie d'une attaque basée sur les infostealers
- Le credential stuffing : quand vos mots de passe volés servent à tout ouvrir
- Comment savoir si votre entreprise a déjà été compromise ?
- Plan d'action en 7 étapes pour protéger votre PME contre les infostealers
- Étape 1 : Déployez un gestionnaire de mots de passe d'entreprise
- Étape 2 : Activez le MFA sur tous les accès critiques
- Étape 3 : Déployez un EDR sur tous les postes de travail
- Étape 4 : Sensibilisez vos collaborateurs aux nouvelles techniques d'infection
- Étape 5 : Cloisonnez les accès et appliquez le principe du moindre privilège
- Étape 6 : Surveillez les connexions et activez des alertes automatiques
- Étape 7 : Mettez en place une surveillance dark web
- Que faire si vous pensez être déjà infecté ?
- Ce que dit la réglementation : RGPD et obligations en cas de vol de données
- Résumé : les points clés à retenir
- Conclusion : une menace silencieuse qui exige une réponse proactive
- FAQ - Infostealers et vol de mots de passe en PME
- 1. Un infostealer peut-il infecter un Mac ou uniquement les PC Windows ?
- 2. La double authentification (MFA) protège-t-elle contre les infostealers ?
- 3. Comment savoir si mes identifiants circulent sur le dark web ?
- 4. Mon antivirus ne suffit-il pas à détecter ces malwares ?
- 5. Que risque mon entreprise si des données clients ont été volées via un infostealer ?
- 6. Est-ce que mes collaborateurs en télétravail exposent davantage mon entreprise ?
- 7. Combien de temps après une infection peut-on subir une attaque ?
Introduction aux infostealers
Un lundi matin, votre comptable se connecte à votre logiciel de facturation. Tout semble normal. Pourtant, depuis trois semaines, un logiciel invisible installé sur son poste de travail a capturé chacun de ses identifiants : accès au cloud, à la banque en ligne, à votre ERP, à votre messagerie professionnelle. Ces données sont déjà revendues sur le dark web. Les hackers n'ont pas encore frappé — mais ils en ont la clé.
Ce scénario n'est pas une fiction. C'est le quotidien des infostealers, des logiciels malveillants discrets dont la seule mission est de voler vos identifiants sans que vous ne vous en rendiez compte. En 2025, selon un rapport d’une entreprise spécialisée en cyberveille, près de 425 millions d’identifiants ont été compromis dans le monde. La France n'a pas été épargnée : avec plus de 40 millions de comptes, les PME représentent 40 % des victimes de cyberattaques selon l'ANSSI. Et cette menace-là passe encore trop souvent sous le radar des dirigeants.
Dans cet article, vous allez comprendre ce que sont exactement les infostealers, comment ils infectent un poste de travail, pourquoi ils ciblent les PME en priorité — et surtout, quelles mesures concrètes prendre dès aujourd'hui pour protéger votre entreprise.
Qu'est-ce qu'un infostealer ? Définition simple
Un infostealer est un logiciel malveillant (malware) conçu pour aspirer silencieusement les données sensibles stockées sur un appareil infecté : mots de passe enregistrés dans les navigateurs, cookies de session, identifiants d'applications, données de remplissage automatique, et parfois même les fichiers locaux.
Contrairement aux ransomwares qui bloquent vos systèmes et exigent une rançon, un infostealer ne laisse aucune trace visible. Il collecte, exfiltre les données, et disparaît — ou reste actif en arrière-plan pour continuer à aspirer de nouvelles informations au fil du temps.
Une fois les identifiants récoltés, ils sont regroupés dans ce qu'on appelle des logs — des fichiers structurés contenant vos identifiants, mots de passe et l'URL exacte de connexion associée — puis vendus sur des marchés clandestins du dark web, parfois pour quelques dizaines d'euros seulement.
Pourquoi les infostealers sont-ils si dangereux pour les PME ?
Parce qu'ils ouvrent la porte à toutes les autres attaques. Un infostealer seul ne détruit pas votre entreprise. Mais les identifiants qu'il vole permettent ensuite à d'autres cybercriminels de lancer un ransomware, de vider un compte bancaire, de voler des données clients, ou de prendre le contrôle de vos outils en cloud. C'est le maillon d'une chaîne bien plus destructrice.
54 % des victimes de ransomware avaient déjà leurs identifiants d’entreprise compromis via des infostealers. Autrement dit, dans plus d’un cas sur deux, c’est un vol silencieux de mots de passe qui a rendu possible l’attaque finale.
Pour une PME, les conséquences sont souvent catastrophiques :
- Accès frauduleux à la messagerie professionnelle pour usurper l'identité du dirigeant,
- Connexion aux outils comptables ou à la banque en ligne pour initier des virements frauduleux,
- Prise de contrôle des accès cloud (Microsoft 365, Google Workspace) pour exfiltrer des données clients,
- Rebond vers des partenaires ou clients via les comptes de messagerie compromis,
- Vente des accès à des groupes de ransomware qui attaqueront votre infrastructure quelques semaines plus tard.
Comment un infostealer infecte-t-il un poste de travail ?
Les vecteurs d'infection sont multiples et souvent banals. Le plus courant reste le phishing — un email avec une pièce jointe ou un lien piégé. Mais en 2026, les méthodes se sont diversifiées et sophistiquées.
Les principaux vecteurs d'infection
Voici les principales portes d'entrée des infostealers dans les systèmes d'entreprise :
- Phishing ciblé : un email qui semble légitime (fausse facture, fausse notification RH, fausse alerte bancaire) incite un collaborateur à télécharger une pièce jointe ou à cliquer sur un lien qui installe le malware. Voir aussi notre article : Attaques par ingénierie sociale : comprendre et se protéger,
- Technique ClickFix : Une page web affiche un faux message d’erreur et incite l’utilisateur à coller une commande dans son terminal — ce qui installe directement le malware. Cette technique est en forte progression en 2025-2026, notamment via des campagnes exploitant PowerShell ou l’invite de commande.
- Logiciels piratés ou freeware : un collaborateur télécharge un outil gratuit sur un site non officiel, qui embarque discrètement un infostealer. Ce type de pratique s’inscrit souvent dans ce qu’on appelle le Shadow IT et de plus en plus, le Shadow IA. Pour approfondir le sujet, nous vous invitons à lire notre article : Shadow IT et Shadow IA : risques et solutions.
- Publicités malveillantes (malvertising) : des annonces publicitaires sur des sites légitimes redirigent vers des téléchargements piégés,
- Extensions de navigateur frauduleuses : de fausses extensions proposées sur des stores officiels capturent les identifiants saisis dans le navigateur,
- Accès à distance non sécurisé : un VPN ou un accès RDP mal protégé permet à un attaquant d'installer lui-même l'infostealer sur le poste cible.
Ce que l'infostealer collecte exactement
Une fois installé, un infostealer moderne peut récolter en quelques minutes :
- Tous les mots de passe enregistrés dans les navigateurs (Chrome, Firefox, Edge),
- Les cookies de session — ce qui permet de contourner la double authentification (MFA) sans connaître le mot de passe,
- Les données de remplissage automatique (nom, prénom, adresse, numéro de carte),
- Les identifiants stockés dans les applications de messagerie ou les outils métier,
- Parfois des captures d'écran ou des fichiers locaux sensibles.
Ce dernier point est particulièrement préoccupant : certains infostealers contournent la double authentification en volant les cookies de session. Cela signifie qu'un collaborateur peut avoir activé le MFA, et être malgré tout compromis si son appareil est infecté, on appelle cela l'Adversary-in-the-Middle ou Session Hijacking (AitM). À noter que les Passkeys (FIDO2) sont quasiment immunisés contre ce vol de session spécifique, contrairement aux codes SMS ou applications classiques.
Les infostealers les plus répandus en 2026
Le marché des infostealers fonctionne désormais comme un véritable secteur commercial souterrain, avec des abonnements, du support client et des mises à jour régulières. On parle de Malware-as-a-Service (MaaS).
| Nom de l'infostealer | Particularité principale | Prix approximatif |
|---|---|---|
| Lumma Stealer | Vole les cryptomonnaies et contourne certains MFA | Abonnement mensuel |
| StealC | Très modulaire, cible les navigateurs et les wallets | Abonnement mensuel |
| RedLine Stealer | L'un des plus répandus, nombreuses variantes | À partir de 150$/mois |
| Vidar | Cible notamment les sessions VPN et les accès cloud | Abonnement mensuel |
| MetaStealer | Spécialisé macOS — une cible désormais lucrative | Abonnement mensuel |
Lumma, StealC et RedLine représentent à eux seuls plus de 75 % des infections observées. Ces outils sont accessibles à n'importe qui, sans compétence technique particulière. Un adolescent peut aujourd'hui lancer une campagne d'infostealer pour quelques dizaines d'euros par mois.
Le cycle de vie d'une attaque basée sur les infostealers
Comprendre le déroulé d'une telle attaque aide à identifier les bons points de blocage.
- Infection : Un collaborateur clique sur une pièce jointe, un lien piégé ou télécharge un logiciel compromis. L'infostealer s'installe silencieusement sur le poste.
- Collecte : Le malware aspire en quelques secondes tous les identifiants disponibles sur l'appareil — navigateurs, applications, tokens de session.
- Exfiltration : Les données sont transmises vers un serveur contrôlé par l'attaquant (serveur C2). L'utilisateur ne voit rien.
- Vente : Les logs sont mis en vente sur des marchés clandestins du dark web. D'autres cybercriminels les achètent pour exploiter les accès.
- Exploitation : Semaines ou mois plus tard, un groupe ransomware ou un fraudeur utilise les identifiants pour pénétrer dans votre système, voler des données ou déclencher une attaque.
Ce délai entre l'infection et l'exploitation est particulièrement insidieux : vous pouvez avoir été compromis il y a trois mois sans le savoir, et subir les conséquences aujourd'hui.
Le credential stuffing : quand vos mots de passe volés servent à tout ouvrir
Le credential stuffing est une technique d'attaque qui consiste à tester automatiquement des milliers d'identifiants volés sur de nombreux services en ligne, en exploitant la réutilisation des mots de passe.
Si un de vos collaborateurs utilise le même mot de passe pour son compte LinkedIn et pour accéder à votre outil de CRM, un attaquant qui a récupéré les identifiants LinkedIn n'a plus qu'à les tester sur votre CRM. Des bots automatisés font ce travail en quelques heures, testant des millions de combinaisons.
Exemple, en janvier 2025, la chaîne de prêt-à-porter Kiabi a ainsi subi une attaque par credential stuffing : des attaquants ont utilisé des identifiants volés sur d'autres plateformes pour accéder aux comptes de 20 000 clients, en exfiltrant des IBAN et des données de commandes.
Pour les PME, le risque est identique mais souvent moins visible : vos outils de gestion (ERP, CRM, comptabilité, cloud) sont accessibles via des identifiants que vos collaborateurs réutilisent peut-être par ailleurs.
Comment savoir si votre entreprise a déjà été compromise ?
C'est la question que tout dirigeant devrait se poser. Car dans la majorité des cas, les infostealers opèrent dans l'ombre pendant des semaines ou des mois sans déclencher la moindre alerte visible.
Voici les signaux d'alerte à surveiller :
- Des connexions inhabituelles sur vos outils cloud (heure atypique, géolocalisation étrangère),
- Des tentatives de connexion échouées répétées sur vos comptes professionnels,
- Des emails envoyés depuis vos comptes sans que vous en soyez l'auteur,
- Un ralentissement inexpliqué du poste de travail d'un collaborateur,
- Des alertes de votre banque ou de vos fournisseurs sur des activités inhabituelles,
- Des demandes de réinitialisation de mot de passe non initiées par vos équipes.
Au-delà de ces signaux, il existe des outils permettant de vérifier si des identifiants associés à votre domaine d'entreprise ont été compromis et circulent sur le dark web. C'est ce qu'on appelle la surveillance dark web ou threat intelligence.
Plan d'action en 7 étapes pour protéger votre PME contre les infostealers
Étape 1 : Déployez un gestionnaire de mots de passe d'entreprise
La réutilisation des mots de passe est le carburant du credential stuffing. Un gestionnaire de mots de passe professionnel génère et stocke des mots de passe uniques et complexes pour chaque service. Vos collaborateurs n'ont à retenir qu'un seul mot de passe maître — fort et unique.
Cette mesure seule éliminerait la majorité des attaques par credential stuffing.
Étape 2 : Activez le MFA sur tous les accès critiques
La double authentification (MFA) reste une barrière essentielle, même si certains infostealers avancés peuvent contourner les SMS via le vol de cookies de session. Privilégiez les applications d'authentification (Microsoft Authenticator, Google Authenticator) plutôt que les codes par SMS, et si possible des solutions de type passkeys ou clés physiques (YubiKey) pour les accès les plus sensibles.
En priorité, activez le MFA sur : la messagerie professionnelle, les outils cloud (Microsoft 365, Google Workspace), l'accès VPN, les outils de comptabilité et la banque en ligne.
Étape 3 : Déployez un EDR sur tous les postes de travail
Un antivirus classique ne détecte pas les infostealers modernes. Un EDR (Endpoint Detection and Response) est une solution de protection avancée des postes de travail qui analyse les comportements suspects en temps réel — y compris les tentatives d'aspiration de données ou de communication avec des serveurs externes malveillants.
Pour une PME sans équipe IT interne, un EDR managé (géré par un prestataire comme CORE SECURITY) offre une protection professionnelle sans nécessiter de compétences internes.
Étape 4 : Sensibilisez vos collaborateurs aux nouvelles techniques d'infection
En 2026, les techniques d'infection par infostealer sont de plus en plus trompeuses. Formez et sensibilisez spécifiquement vos équipes à :
- Ne jamais télécharger de logiciels depuis des sources non officielles,
- Se méfier des faux messages d'erreur demandant de copier-coller une commande,
- Ne jamais enregistrer des mots de passe professionnels dans leur navigateur personnel,
- Signaler immédiatement tout comportement inhabituel de leur poste de travail,
- Ne pas utiliser leur messagerie personnelle sur les appareils professionnels.
Étape 5 : Cloisonnez les accès et appliquez le principe du moindre privilège
Si un infostealer compromet le poste d'un collaborateur, les dégâts seront limités si ce collaborateur n'a accès qu'aux outils strictement nécessaires à son travail. Auditez régulièrement les droits d'accès : qui a accès à quoi, pourquoi, et depuis quand ? Nous vous recommandons de lire ces 3 articles : Principe du besoin d’en connaître en cybersécurité, Principe de séparation des tâches en cybersécurité et Principe du moindre privilège en cybersécurité.
Supprimez les comptes inutilisés (anciens salariés, prestataires dont la mission est terminée) et limitez les droits d'administration aux seules personnes qui en ont besoin.
Étape 6 : Surveillez les connexions et activez des alertes automatiques
Configurez des alertes automatiques sur vos outils cloud pour être notifié en cas de connexion depuis une localisation inhabituelle, de téléchargement massif de données ou de modification des règles d'accès. Microsoft 365 et Google Workspace proposent ces fonctionnalités nativement. Elles vous permettent de réagir vite, avant que l'attaquant n'ait eu le temps d'exploiter les accès obtenus.
Étape 7 : Mettez en place une surveillance dark web
La surveillance dark web consiste à monitorer en permanence si des identifiants associés à votre domaine d'entreprise (adresses email professionnelles) apparaissent dans des bases de données volées en circulation sur les marchés clandestins. Si un de vos comptes est compromis, vous êtes alerté avant que l'attaquant n'ait pu l'exploiter — et vous pouvez agir : changer le mot de passe, bloquer l'accès, contrôler les connexions récentes.
CORE SECURITY intègre cette surveillance dans ses prestations de cybersécurité managée pour PME.
Que faire si vous pensez être déjà infecté ?
Réagir vite est essentiel. En cas de suspicion d'infection par un infostealer, voici la marche à suivre immédiatement.
- Isolez le poste suspect : déconnectez-le du réseau de l'entreprise (débranchez le câble réseau ou désactivez le Wi-Fi) sans l'éteindre pour préserver les traces.
- Ne changez pas les mots de passe depuis la machine infectée : si l'infostealer est encore actif, il capturera les nouveaux identifiants au moment de leur saisie. Changez les mots de passe depuis un autre appareil sain.
- Contactez immédiatement votre prestataire informatique ou un expert en cybersécurité pour analyser le poste, identifier ce qui a été volé et évaluer les dégâts potentiels.
- Révoquez toutes les sessions actives sur vos outils cloud (Microsoft 365, Google Workspace proposent cette fonctionnalité) pour forcer une reconnexion sur tous les appareils.
- Auditez les connexions récentes sur vos outils critiques pour détecter des accès suspects dans les semaines précédentes.
- Changez les mots de passe de tous les comptes professionnels depuis un appareil sain, en commençant par la messagerie, la banque et les outils cloud.
- Notifiez la CNIL si des données personnelles ont été compromises : le RGPD impose un délai de 72 heures pour déclarer une violation de données dès lors que vous en avez connaissance.
Ce que dit la réglementation : RGPD et obligations en cas de vol de données
En tant que dirigeant de PME, vous avez des obligations légales en matière de protection des données personnelles. Le Règlement Général sur la Protection des Données (RGPD) impose notamment :
- De mettre en place des mesures de sécurité adaptées pour protéger les données que vous traitez,
- De notifier la CNIL dans les 72 heures en cas de violation de données présentant un risque pour les personnes concernées,
- D'informer les personnes concernées si la violation est susceptible d'engendrer un risque élevé pour leurs droits et libertés.
Un infostealer qui dérobe des données clients ou des informations RH constitue une violation de données au sens du RGPD. L'absence de notification peut entraîner des sanctions financières significatives de la part de la CNIL, en plus des préjudices commerciaux liés à la fuite elle-même.
Résumé : les points clés à retenir
- Un infostealer est un malware silencieux qui vole vos mots de passe, cookies de session et identifiants professionnels sans laisser de trace visible,
- Ces outils sont vendus en abonnement sur le dark web, accessibles à n'importe qui, même sans compétences techniques,
- Ils sont souvent le point de départ d'attaques bien plus graves : ransomware, fraude bancaire, vol de données clients,
- La réutilisation des mots de passe est leur principal vecteur d'exploitation : un seul mot de passe volé peut ouvrir des dizaines de portes,
- Certains infostealers modernes contournent la double authentification via le vol de cookies de session,
- La surveillance dark web permet d'être alerté si vos identifiants circulent sur les marchés clandestins,
- En cas d'infection, ne changez pas les mots de passe depuis la machine compromise — réagissez depuis un appareil sain et faites appel à un expert.
Conclusion : une menace silencieuse qui exige une réponse proactive
Les infostealers incarnent une nouvelle réalité de la cybercriminalité : des attaques invisibles, industrialisées, accessibles au plus grand nombre, et qui frappent sans signal d'alarme. Pour un dirigeant de PME, l'enjeu n'est plus de savoir si cette menace le concerne — elle concerne toutes les entreprises qui utilisent des outils numériques — mais de savoir comment s'en protéger avec des mesures proportionnées à ses moyens.
La bonne nouvelle, c'est que les défenses efficaces existent et restent accessibles : gestionnaire de mots de passe, MFA robuste, EDR managé, surveillance dark web. Ce sont des investissements modestes comparés au coût d'une cyberattaque réussie — qui peut atteindre plusieurs dizaines de milliers d'euros pour une PME, voire provoquer un arrêt d'activité.
CORE SECURITY accompagne les TPE/PME françaises dans la mise en place de ces protections essentielles. Nos experts réalisent un diagnostic gratuit de votre exposition aux risques et vous proposent des solutions adaptées à votre taille et à votre budget. Contactez-nous pour en savoir plus.
