Les stealers ne font pas la une des médias généralistes. Ils ne bloquent pas les systèmes, n’affichent pas de messages de rançon et ne revendiquent rien. Leur efficacité repose précisément sur cette discrétion. Depuis plusieurs années, ils constituent pourtant l’un des piliers les plus rentables de la cybercriminalité, alimentant un écosystème entier de fraudes, de compromissions et d’attaques ultérieures.
« Le vol silencieux est souvent plus rentable que le sabotage. »
Un stealer est un malware conçu pour une mission simple : collecter des données et les exfiltrer. Identifiants de messagerie, mots de passe de navigateurs, cookies de session, portefeuilles de cryptomonnaies, historiques de navigation ou tokens d’authentification. Rien de visible pour l’utilisateur. La machine continue de fonctionner normalement, pendant que les informations circulent vers une infrastructure distante.
L’infection, elle, s’inscrit dans des scénarios banals. Un faux installateur de logiciel populaire, une archive reçue par email, un crack téléchargé sur un forum ou un document prétendument partagé via un service collaboratif.
Par exemple, un employé télécharge un outil gratuit de conversion PDF trouvé en ligne. Le programme fonctionne comme prévu, mais embarque un stealer qui récupère immédiatement les identifiants stockés dans le navigateur professionnel.
Contrairement aux malwares plus bruyants, les stealers n’ont pas besoin de persistance longue. Leur cycle de vie est court mais efficace. Dès l’exécution, ils collectent un maximum de données, les compressent, puis les envoient. Certains se suppriment ensuite automatiquement. L’objectif n’est pas de rester, mais de passer vite, souvent avant même qu’un antivirus ne réagisse.
« Une session volée vaut parfois plus qu’un mot de passe. »
L’évolution la plus marquante concerne les cookies et les tokens de session. Même lorsque l’authentification multifacteur est activée, un stealer peut récupérer une session déjà ouverte et permettre à un attaquant d’accéder directement à des services internes, des messageries ou des plateformes cloud.
Un compte Microsoft 365 compromis de cette manière peut ensuite servir à lancer des attaques de phishing interne ou de fraude au président.
Les données volées ne sont pas exploitées individuellement dans la plupart des cas. Elles sont agrégées, triées et revendues. Des journaux complets de machines infectées circulent sur des places de marché clandestines, avec une granularité impressionnante : pays, type d’entreprise, accès VPN détecté, outils internes identifiés.
Un accès anodin pour l’utilisateur devient une opportunité stratégique pour un attaquant plus structuré.
Ce modèle économique explique la prolifération des stealers-as-a-service. Pour quelques dizaines d’euros, il est possible de louer une infrastructure, un malware régulièrement mis à jour et un tableau de bord de récupération des données. La barrière technique est faible, ce qui alimente un volume massif de compromissions, y compris dans des organisations bien équipées sur le plan défensif.
La difficulté de détection tient à la nature même de ces outils. Ils n’exploitent pas forcément de vulnérabilités avancées, n’établissent pas de connexions persistantes et utilisent parfois des services légitimes pour l’exfiltration. Du point de vue du système, l’activité peut sembler anodine. Du point de vue de l’attaquant, elle est suffisante.
Les conséquences apparaissent rarement immédiatement. Un mot de passe volé aujourd’hui peut être exploité des semaines plus tard. Une session récupérée peut servir de point d’entrée à une attaque ciblée. Le stealer agit en amont, préparant le terrain sans laisser de signal clair.
Réduire l’exposition à ce risque ne repose pas uniquement sur des solutions techniques. La limitation du stockage des mots de passe dans les navigateurs, l’usage de postes dédiés pour les accès sensibles, le durcissement des postes utilisateurs et la vigilance sur les logiciels installés restent des mesures clés. Mais, comme souvent, l’enjeu principal réside dans la compréhension de la menace.
Les stealers rappellent une réalité inconfortable : toutes les attaques ne cherchent pas à être visibles. Certaines prospèrent précisément parce qu’elles s’intègrent dans le bruit de fond du quotidien numérique.
Tant que le poste utilisateur restera considéré comme un simple outil de travail, et non comme un actif critique, ces collecteurs silencieux continueront d’alimenter l’économie souterraine sans rencontrer de résistance proportionnée.
