Les voleurs d'informations ne font pas de distinction : 10 000 journaux d'activité révèlent qui est touché.

Par Olivier Bilodeau et Andréanne Bergeron

Qu'ont en commun un directeur d'une entreprise de télécommunications américaine de plus de 1 000 employés, un ordinateur de réception d'hôtel et un acteur malveillant ? Ils ont tous été victimes de malware voleur d'informationset les données les plus critiques de leurs ordinateurs sont désormais vendues sur le dark web.

Les logiciels malveillants voleurs d'informations constituent l'une des menaces les plus répandues et les plus sous-estimées en cybersécurité aujourd'hui. Lors de la conférence RSAC 2026, nous avons présenté  "Au-delà des identifiants : le profilage des victimes dans l’économie des logiciels malveillants voleurs de données« Nos recherches portent sur l’identité réelle de ces victimes, sur la manière dont elles sont infectées et sur les raisons pour lesquelles la sensibilisation, et pas seulement la technologie, est la clé de la prévention. » 

Principaux enseignements du profilage des victimes de logiciels malveillants comme Infostealer 

• Les utilisateurs techniquement compétents sont les victimes les plus fréquentes : Dans notre base de données, 82 % des victimes possédaient des compétences techniques, les profils les plus fréquents étant celui de développeurs, d'ingénieurs et de professionnels de l'informatique. Or, ces compétences techniques conduisent souvent à des pratiques d'installation de logiciels plus risquées, et non plus sûres.
• 72 % des infections par des voleurs d'informations présentent un risque organisationnel, même lorsque la compromission semble personnelle : Un adolescent qui télécharge un logiciel de triche sur l'ordinateur familial peut compromettre les identifiants professionnels de ses parents. Un employé qui utilise des logiciels piratés à domicile peut donner aux pirates informatiques un accès VPN et SSO à l'infrastructure de son employeur.
• Un seul tronc d'arbre de voleur peut être dévastateur : Les journaux individuels que nous avons examinés contenaient jusqu'à 1 381 informations personnelles identifiables, la victime médiane possédant 83 logiciels installés. Une seule infection permet de capturer les identifiants de tous les profils de navigation de la machine, souvent simultanément pour des comptes personnels, financiers et professionnels.
• Les logiciels de triche et les logiciels piratés dans les jeux vidéo constituent les principaux vecteurs d'infection, représentant 55 % des infections observées : Les jeux et divertissements (28 %) et les logiciels piratés (27 %) représentent à eux deux plus de la moitié des infections. Ces vecteurs ne reposent pas sur des exploits sophistiqués ; ils consistent à télécharger et exécuter volontairement des fichiers malveillants par les utilisateurs.
• La prévention est avant tout un problème de sensibilisation, et pas seulement un problème technologique : Les victimes que nous avons identifiées ne sont pas des personnes négligentes. Ce sont des professionnels, des parents, des étudiants et des chefs d'entreprise qui tentent d'accomplir leurs tâches quotidiennes. Une formation de sensibilisation personnalisée, reflétant les profils réels des victimes et les scénarios d'infection, est le moyen le plus efficace de réduire l'exposition aux voleurs d'informations à grande échelle.

Qu'est-ce qu'un logiciel malveillant Infostealer ?

Si vous n'êtes pas familier avec ce sujet, nous allons d'abord vous présenter les logiciels malveillants voleurs d'informations et de fichiers cleptogiciels. 

Un voleur d'informations (ou « infostealer ») est un type de logiciel malveillant spécialisé qui agit comme un voleur d'identité silencieux. Il cible l'intégralité de votre profil numérique : identifiants enregistrés dans les navigateurs, cookies de session, portefeuilles de cryptomonnaies, fichiers importants, historique de navigation et informations système détaillées. Il ne requiert aucun privilège d'administrateur et n'a pas besoin de rester sur votre machine ; une seule exécution suffit à aspirer toutes vos données sensibles sans laisser de trace visible.

Le logiciel malveillant est vendu comme un service commercial (Malware-as-a-Service) pour aussi peu que 300 $ par moisce qui le rend accessible à un large éventail de cybercriminels. Une fois la machine d'une victime compromise, les données volées lors de cette infection sont regroupées individuellement dans ce que l'on appelle un journal de voleur (ou « journal de vol ») et distribué par Telegram chaînes ou forums de cybercriminalité.

Que contient un journal de vol de bétail ?

Chaque journal de vol de données est une archive ZIP contenant un instantané remarquablement détaillé de la vie numérique de la victime. Un journal type comprend un fichier All Passwords.txt avec les identifiants collectés sur tous les navigateurs et profils présents sur l'ordinateur, des éléments de profil pour chaque navigateur (cookies, données de remplissage automatique, historique de navigation), un fichier d'informations système, la liste des logiciels installés, le contenu du presse-papiers et, surtout, une capture d'écran du bureau de la victime prise au moment précis de la compromission.

Cette capture d'écran fait office de photo de la scène de crime numérique. Elle révèle l'activité du navigateur, les applications ouvertes, les fenêtres d'installation et les URL malveillantes, offrant ainsi aux chercheurs un aperçu du déroulement de l'infection et des activités de la victime au moment où elle a été touchée.

Le fichier de mots de passe à lui seul est catastrophique. Il capture les identifiants de connexion à travers différents profils de navigateur, ce qui signifie qu'un seul journal peut exposer toutes les informations, des comptes Google et portails ADFS d'entreprise à Azure Active Directory, aux services gouvernementaux et aux sites de commerce électronique, le tout collecté simultanément à partir de différents profils de navigateur (par exemple, Chrome et Edge). 

Notre approche et notre ensemble de données

Nous sommes idéalement placés pour étudier cette menace. Flare a collecté plus de 175 millions de journaux de vol de données au fil des ans, ce qui nous offre un corpus considérable. Pour cette recherche, nous avons analysé un échantillon aléatoire de 10 198 journaux, prélevés à raison d'environ 30 journaux par jour tout au long de l'année 2025. 

Nous avons mis en place un pipeline de profilage des victimes qui extrait des artefacts de chaque journal : 

• Histoire
• Cookies
• Titres de compétences
• Logiciels
• Info appareil
• Données système
• Captures d'écran
• presse-papiers
• Données de remplissage automatique

Nous avons ensuite effectué des analyses sur chaque artefact. Certaines analyses sont purement algorithmiques (catégorisation de domaine, extraction de la localisation géographique), tandis que d'autres utilisent des modèles linéaires pour la synthèse (génération d'hypothèses d'infection, évaluation du profil de la victime). Tous les résultats sont agrégés dans des rapports JSON structurés.

Un avertissement s'impose quant à l'utilisation des LLM pour ce type de travail : bien qu'ils soient faciles à utiliser, produire des informations utiles, bien structurées, pertinentes et reproductibles est beaucoup plus difficile. Nous avons constaté que Exploiter les résultats structurés avec les modèles Pydantic surélevées que pour les encodage direct de l'intuition de l'analyste dans les invites étaient des stratégies essentielles pour obtenir des résultats fiables à grande échelle.

Les chiffres qui comptent

Notre analyse a fait ressortir des résultats frappants :

59 % des victimes possèdent des données financières Leurs journaux d'activité révélaient tout : comptes bancaires, cartes de crédit et services de paiement mis à nu. Des victimes individuelles avaient été identifiées. jusqu'à 1 381 éléments d'information personnellement identifiable dans un seul journal. 26 % des victimes ont accès à l'infrastructure de l'entreprise, ce qui signifie que leur compromission menace directement la sécurité de leur employeur. 72 % présentent une forme de risque organisationnel, même lorsque l'infection semble être personnelle.

Sur le plan technique, 70 % des victimes possèdent des outils techniques sur leur ordinateur.et 82 % démontrent des compétences techniques D’après leurs habitudes de navigation et d’identification, ce constat contre-intuitif – la forte surreprésentation des utilisateurs techniquement compétents parmi les victimes – est l’un des principaux enseignements de notre étude.

L’Inde, le Brésil et les États-Unis arrivent en tête de liste des pays en nombre de victimes, mais la menace est véritablement mondiale, touchant tous les continents et pratiquement tous les pays.

Les profils des victimes

Notre analyse a permis d'identifier plusieurs profils de victimes distincts, chacun présentant ses propres facteurs de risque, modes d'infection et implications pour les équipes de sécurité. Pour certains profils d'utilisateurs, nous proposons des affiches de sensibilisation personnalisées, conçues pour aider les organisations à mener efficacement des actions ciblées de sensibilisation à la cybersécurité.

L'employé technique

Il s'agit du profil le plus courant dans notre ensemble de données. Ce sont des développeurs, des ingénieurs et des professionnels de l'informatique dont les compétences techniques les conduisent paradoxalement à des comportements à risque : ils téléchargent et installent régulièrement des logiciels provenant de diverses sources, y compris des outils open source non signés.

Dans un exemple, nous avons découvert un développeur basé aux États-Unis travaillant pour un cabinet d'avocats. Son journal d'activité a révélé une expertise technique pointue, avec des identifiants pour GitHub, KeePass et FileZilla, ainsi qu'une importante vulnérabilité professionnelle et personnelle via des identifiants VPN, sa messagerie, Slack et son accès à Entra ID. Une simple infection de son poste a permis aux attaquants d'accéder à l'ensemble de l'infrastructure du cabinet.

La victime type d'un voleur d'informations possède 83 logiciels installés. Chacun d'eux représente une surface d'attaque potentielle, et plus vous installez de logiciels, plus vous multipliez les risques.

Points clés à retenir pour l'employé technique : « Votre maîtrise de la technologie est votre talon d’Achille. » 

Partage d'ordinateurs

21 % des victimes de notre échantillon avaient plus d'un utilisateur par appareil. Les ordinateurs partagés dans les bornes interactives, les cybercafés, les terminaux de bibliothèque, les laboratoires scolaires et les postes de travail partagés sur les lieux de travail sont des cibles privilégiées pour les logiciels malveillants voleurs de données, car une seule infection compromet tous les utilisateurs qui se sont déjà connectés via le navigateur de cette machine.

Nous avons découvert un poste de travail dans un magasin en Malaisie, donnant accès à un logiciel de gestion et de caisse, contenant plus de 70 identifiants, plus de 3 000 cookies, ainsi que les noms et adresses électroniques de plusieurs employés. Une seule infection sur une machine partagée peut avoir des répercussions bien au-delà de la personne qui l'a déclenchée.

Parmi ces 21 % d'appareils multi-utilisateurs, il existe un sous-ensemble que nous souhaitions mettre en lumière : les ordinateurs familiaux. Ils sont identifiables par de multiples comptes ou profils de navigateur, les données de remplissage automatique révélant des noms partageant un même nom de famille. Le vecteur d'infection est presque toujours lié aux jeux vidéo., par exemple lorsqu'un enfant télécharge un outil de triche ou un mod de jeu, mais les conséquences se font sentir pour les parents dont les identifiants professionnels et les comptes financiers sont enregistrés dans d'autres profils de navigateur sur le même ordinateur.

Un journal d'activité a révélé l'existence d'une famille péruvienne avec plus de 22 000 entrées d'historique, plus de 17 000 cookies et 1 068 identifiants compromis. L'infection provenait d'un modificateur de skins Valorant téléchargé par un jeune membre de la famille. Les identifiants exposés concernaient des comptes de divertissement, de jeux et professionnels.

Message à retenir pour les utilisateurs d'ordinateurs partagés : « Les codes de triche pour Roblox sont un piège. Protégez vos enfants, protégez votre maison. »

Le malheureux cadre

Ce profil décrit un utilisateur professionnel, généralement occupant un poste à responsabilité, infecté par un logiciel piraté et présentant de faibles compétences numériques. Il s'agit de compromissions accidentelles aux conséquences désastreuses.

Nous avons découvert le directeur général d'une société d'externalisation dont plus de 1 200 identifiants uniques ont été compromis, notamment des comptes bancaires, des cartes de crédit, des systèmes RH et des fournisseurs d'hébergement. Le vecteur d'infection ? Un programme d'installation de VPN proxy. 50 % des victimes infectées par le biais de logiciels d'entreprise ont accès à l'infrastructure de leur entreprise., ce qui signifie que ces Les infections accidentelles se transforment régulièrement en incidents de sécurité au niveau de l'entreprise.

Leçon à retenir pour le cadre malchanceux : « Ça ressemble à un logiciel d’entreprise. Ça se comporte comme un logiciel espion. »

Capitaine Fais-le

Ces victimes ne sont pas expertes en informatique ; elles veulent simplement résoudre un problème et reprendre leur travail. Cela implique de télécharger et d'exécuter n'importe quel utilitaire qui promet de réparer leur imprimante, de nettoyer leur registre ou de mettre à jour leurs pilotes.

Nous avons découvert qu'un propriétaire de petite entreprise avait été victime d'une piratage informatique suite à une redirection publicitaire alors qu'il recherchait un utilitaire de configuration pour imprimante Epson. Le journal des événements a révélé des informations confidentielles concernant des services gouvernementaux, sa messagerie professionnelle et ses identifiants comptables. 54 % des personnes infectées par des outils de réparation d'ordinateurs possèdent des ordinateurs bas de gamme., ce qui laisse supposer que ces victimes sont souvent les moins bien armées pour se remettre d'une compromission.

Le joueur

Généralement jeunes et enclins à prendre des risques, mais sans intention criminelle, ces victimes sont infectées le plus souvent par le biais de logiciels de triche et de modifications de jeux vidéo. Nous avons identifié une victime née en 2006 aux États-Unis, dont le nom complet, l'adresse et la date de naissance ont été divulgués. Elle avait été infectée par JJSploit, un outil de triche pour Roblox.

Voici une autre statistique relative au jeu que nous avons extraite des données : Plus de 16 % des victimes infectées par un vecteur lié au jeu ont accès à l'infrastructure de l'entreprise. Cela se produit parce que les employés utilisent leur ordinateur professionnel pour des jeux personnels (15.5 % des cas) ou parce que l'ordinateur de l'entreprise est partagé avec des membres de la famille (5 % des cas). 

Message à retenir pour les joueurs : « L’utilisation personnelle de votre ordinateur professionnel peut mettre l’entreprise en péril. »

L'acteur de la menace sournoise

Ironie du sort, les cybercriminels sont souvent victimes de leur propre système. Nous avons constaté qu'un nombre important d'entre eux étaient infectés par des outils comportant des portes dérobées, qui sont précisément les armes qu'ils utilisent pour attaquer autrui.

Un acteur malveillant italien compromis avait été infecté par un crypteur FUD (terme argotique du cybercrime signifiant « totalement indétectable »). Son journal contenait des journaux de vol de données. dans les Le journal des vols, une sorte de poupée russe de la cybercriminalité, contenait 287 identifiants et un historique de navigation rempli d'outils de piratage comme IP Killer 2 et Phoenix Botnet. Nous avons également identifié Travailleurs informatiques nord-coréens parmi les infectés.

Risque lié à la chaîne d'approvisionnement

L'accès de tiers à vos environnements équivaut à une exposition. Si la sensibilisation à la sécurité d'un fournisseur est insuffisante, son infection peut exposer des accès privilégiés à vos systèmes. Nous avons découvert une agence numérique basée au Nigéria qui avait accès, via des services cloud et SaaS tiers, aux environnements de ses clients (cPanel, Zoho, HubSpot), ainsi qu'à des milliers d'identifiants et des centaines d'adresses e-mail et de numéros de téléphone. Verizon DBIR 2025 A indiqué que 30 % de toutes les violations de données en 2025 étaient liées à un tiers.Les infections par des logiciels espions chez les fournisseurs et les prestataires de services contribuent de manière significative à ce chiffre.

Les vecteurs d'infection

Notre analyse a classé les vecteurs d'infection en trois grandes familles : les logiciels piratés, les services et les jeux/divertissements.

Logiciels piratés (27 % des infections)

Il s'agit du mode opératoire classique. Les victimes téléchargent des versions piratées de logiciels professionnels (Adobe, Microsoft Office), de logiciels essentiels (activateurs Windows, VPN), de logiciels de création (Photoshop, Canva) et d'outils spécialisés (AutoCAD, SolidWorks, 3ds Max). Les cybercriminels exploitent la propension des utilisateurs à contourner les frais de licence légitimes au détriment de leur propre sécurité.

Points clés à retenir : « Les logiciels piratés peuvent vous coûter votre identité. »

Services (11 % des infections)

Cette catégorie comprend des services de partage de fichiers génériques, de faux outils d'IA et des utilitaires de réparation d'ordinateurs. Ces arnaques ciblent les personnes qui tentent d'accomplir une tâche comme réparer une imprimante, télécharger un fichier ou tester un nouvel assistant IA, et qui finissent par télécharger un logiciel malveillant.

Jeux et divertissement (28 % des infections)

Les logiciels de triche et les mods constituent un vecteur d'infection majeur dans les jeux vidéo, touchant aussi bien les grands classiques (Solitaire) que les titres contemporains (Roblox, GTA V, Fortnite, Minecraft, Valorant) et les programmes de triche dédiés. La propagation se fait généralement via des tutoriels YouTube qui renvoient vers des chaînes Telegram ou des plateformes de téléchargement douteuses.

Une carte des principaux vecteurs d'infection par pays révèle que le jeu vidéo est le principal vecteur dans une grande partie du monde, notamment aux États-Unis, au Brésil, en Russie et dans la majeure partie de l'Europe, tandis que le piratage de logiciels essentiels domine dans certaines régions d'Asie du Sud et du Moyen-Orient.

Prochaines étapes pour les équipes de sécurité

Vous avez lu des informations sur les différents types de victimes de logiciels malveillants voleurs d'informations. Que faire ensuite ?

Immédiatement

• Diffusez des supports de sensibilisation aux vols de données en ligne et sur site. Adaptez-les aux profils de vos employés.
• Identifiez l'emplacement de stockage des identifiants critiques sur les terminaux. Quels éléments ne sont pas couverts par votre SSO ? Les gestionnaires de mots de passe intégrés au navigateur sont-ils désactivés ?

Au cours des trois prochains mois

• Intégrez du matériel pédagogique sur les journaux de voleurs dans la formation de sensibilisation à la cybersécurité de votre entreprise.
• Encouragez l'adoption de gestionnaires de mots de passe dédiés, car leur efficacité pour réduire l'exposition des identifiants est prouvée.

Dans un délai de six mois

• Répétez et adaptez votre formation en cybersécurité. Abordez les nouvelles menaces, comme les attaques de type ClickFix. Adaptez votre message à votre public : si vos employés sont parents, insistez sur les risques liés aux jeux vidéo.
• Concevez des affiches de sensibilisation internes basées sur des cas réels de gestion d'incidents internes. Rien n'est plus percutant qu'une histoire issue de votre propre organisation.
• Surveillez de manière proactive les identifiants exposés, les cookies de session et les identités non humaines (INH). Automatisez la correction lorsque cela est possible.
• Déplacez tous les actifs critiques derrière une authentification unique (SSO).

Pourquoi il s'agit d'un problème de sensibilisation

Notre prochain article de blog portera sur les raisons pour lesquelles nous pensons que la sensibilisation à la cybersécurité peut contribuer à résoudre le problème du vol d'informations, et sur les raisons et les contextes dans lesquels ce type de formation a déjà fait ses preuves. Nous y aborderons les mécanismes mis en lumière par notre analyse et approfondirons l'aspect victimologique. 

La prévention des attaques de logiciels malveillants voleurs d'informations est liée à une sensibilisation personnalisée.

Les logiciels malveillants voleurs d'informations constituent une menace importante et opportuniste qui affecte les organisations principalement par dommages collatéraux : téléchargement personnel par un employé, triche dans un jeu vidéo par un adolescent, poste de travail partagé dans un magasin. La prévention ne peut se limiter à la technologie ; il s'agit avant tout d'un enjeu de sensibilisation.

Les victimes que nous avons identifiées ne sont ni négligentes ni ignorantes. Ce sont des développeurs, des cadres, des parents, des adolescents et des propriétaires de petites entreprises ; des personnes qui cherchent simplement à travailler, à jouer ou à faire des économies sur leurs logiciels. Comprendre qui ils sont et comment ils sont infectés est la première étape pour les protéger et, par extension, protéger les organisations auxquelles ils appartiennent.

---

Cet article de blog accompagne notre présentation à RSAC 2026, intitulée « Au-delà des identifiants : le profilage des victimes dans l'économie des logiciels malveillants voleurs de données », par Andréanne Bergeron surélevées que pour les Olivier Bilodeau de Flare.