Vous ouvrez votre boîte mail un matin et découvrez des alertes de connexion suspectes à vos réseaux sociaux, sites d’achats et même votre banque. C’est la panique, et pourtant vous n’avez rien fait d’inhabituel ! Sans le savoir, vous avez sans doute été infecté par un logiciel espion qui a subtilisé tous vos mots de passe et les a envoyés à des cybercriminels. Discret, rapide, efficace, cet intrus à un nom : l’infostealer.
Qu’appelle-t-on infostealer ?
L’infostealer, ou logiciel voleur de données, est l’évolution de ce que nous appelions dans les années 2000 un spyware. Concrètement, l’infostealer possède des capacités d’espionnage et se dénote d’autres logiciels malveillants par sa furtivité. Un rançongiciel vous fera vite savoir que vos données ont été volées et chiffrées. Tandis que vous réaliserez une infection par infostealer uniquement lorsque vous détecterez des activités suspectes sur vos comptes Internet.
Si l’infostealer est une menace particulièrement dangereuse pour les entreprises aujourd’hui, c’est qu’il joue sur trois axes majeurs :
- La ligne de plus en plus floue entre notre vie professionnelle et notre vie privée,
- La synchronisation de nos appareils, liée à notre mode de vie hyper connecté,
- Et enfin un ciblage extrêmement large, qui permet de trouver l’aiguille dans la botte de foin.
C’est le nombre d’identifiants issus d’infostealers, au niveau mondial, échangés chaque heure sur le Dark Web
Comment fonctionne un infostealer ?
Propagation
Les vecteurs principaux d’infostealers sont les suivants :
- Téléchargement de logiciels piratés type retouche d’image (Adobe Photoshop, Adobe Illustrator), dessin industriel (Autocad, Solidworks), jeux vidéo incluant logiciels de triche (Roblox, Fortnite) ainsi que les fausses extensions de navigateur.
- E-mails de phishing avec lien ou pièce jointe malveillante.
- Publicités et sites frauduleux.
Dans les deux premiers cas, la victime joue un rôle actif dans l’infection en exécutant le logiciel malveillant sous couvert d’une application ou d’un fichier légitime.
A noter que les réseaux sociaux, Youtube et Tiktok en tête, regorgent de vidéos trompeuses pour promouvoir des logiciels piratés ou des extensions de navigateur vérolées.
Infection
La cible principale de l’infostealer est le navigateur Internet : les mots de passe sauvegardés sont subtilisés, ainsi que l’historique, les cookies et autres données de formulaires enregistrées – par exemple votre adresse, votre numéro de téléphone.
Selon la configuration de l’infostealer, celui-ci est également capable de voler des documents de petite taille, en visant évidemment des mots de passe que l’on aurait sauvegardés dans un fichier texte, ou des coordonnées bancaires.
Vous ne sauvegardez pas vos mots de passe dans votre navigateur ? Malheureusement, vous n’êtes pas beaucoup plus à l’abri, car un acteur malveillant peut utiliser le cookie de session pour se connecter à votre place, sans même avoir besoin du mot de passe.
Enfin, un état des lieux de l’ordinateur est aussi réalisé : liste des logiciels installés (ce qui aide les attaquants à repérer plus facilement les appareils professionnels.), langue du clavier, taille de l’écran et cerise sur le gâteau, une capture d’écran au moment de l’infection.
Exfiltration
Les données sont extraites de manière quasi-invisible pour la victime, notamment grâce à la petite taille du document final – une fois encore, on est loin d’une attaque par rançongiciel qui exfiltre des milliers de fichiers.
Selon le groupe derrière l’attaque, les données peuvent être directement utilisées ou revendues sur des plateformes cybercriminelles.
Enfin, une fois les informations volées, l’infostealer a la capacité de réactualiser le vol de données, pour capter les mots de passe que la victime aurait changé entre temps, ou encore de se désinstaller automatiquement, ce qui rend l’analyse forensique plus difficile.
Pourquoi les infostealers sont-ils si dangereux ?
A mesure que les défenses se perfectionnent, les malwares aussi, et l’infostealer ne fait pas exception. Ces derniers sont de véritables logiciels vendus à l’abonnement mensuel sur des plateformes spécialisées et rivalisent de fonctionnalités pour attirer de nouveaux clients.
La plupart des infostealers sont vantés comme indétectables par les antivirus. Mais dans certains cas, les infostealers demandent à la victime de désactiver leur antivirus pour lancer l’installation…
Enfin, comme nous l’avons évoqué plus haut, les infostealers exploitent la porosité entre notre vie privée et professionnelle. Ce qui se traduit par l’utilisation d’appareils professionnels à des fins personnelles, et l’utilisation de nos appareils personnels dans le cadre professionnel.
Ce dernier cas est le plus difficile à gérer pour les entreprises car l’appareil se trouve en dehors de son périmètre, et donc de sa protection. Cette pratique est connue sous le nom de shadow IT, et a parfois été encouragée sous l’acronyme BYOD, bring your own device (“apportez votre propre appareil” en français), pour inciter les utilisateurs à être à l’aise avec leurs propres machines et outils.
Nombre de mots de passe stockés en moyenne par un utilisateur dans son navigateur
Ainsi, les identifiants Internet de la vie quotidienne (e-mail, service de streaming, e-commerce) se retrouvent mélangés à votre accès VPN d’entreprise, votre e-mail professionnel et les sites tiers utilisés dans le cadre du travail, afin de partager des fichiers, répondre à un appel d’offre ou accéder au CRM.
Besoin de protéger vos collaborateurs des infostealers ?
Ne laissez pas les cybermenaces compromettre vos données et votre organisation. Nos experts vous accompagnent pour identifier vos vulnérabilités et renforcer votre protection.
Comment se protéger contre les infostealers ?
Bonnes pratiques
- Ne téléchargez des fichiers que depuis des sources officielles
- Utilisez un gestionnaire de mot de passe sécurisé
- Utilisez un antivirus couplé d’un bloqueur de publicités sur tous vos appareils
- Supprimez vos comptes inactifs
Sécurisation des comptes
- Activez la double authentification partout où cela est possible
- Modifiez régulièrement vos mots de passe
- Si vous partagez un ordinateur avec votre famille, veillez à ce que l’antivirus dispose d’un mot de passe maître pour empêcher sa désactivation facilement
- Déconnectez-vous régulièrement de vos comptes pour réinitialiser les cookies de connexion
Les infostealers font des ravages dans les entreprises du monde entier, et ont été la porte d’entrée initiale de bon nombre d’attaques qui se sont terminées par un chiffrement du réseau (rançongiciel).
La mise à disposition de ces données, en nombre toujours plus élevé chaque jour, permet à des acteurs de la menace non techniques de déjouer les plus grandes barrières, en ciblant les employés dans leur vie personnelle. En ciblant l’utilisateur dans sa vie personnelle, ils court-circuitent les systèmes de défense traditionnels et ouvrent la porte aux attaques les plus dévastatrices. Nous ne le dirons jamais assez : en protégeant l’humain, vous protégez l’organisation.
Evaluer, détecter, impliquer, remédier : les solutions ANOZR WAY s’inscrivent au cœur de cette stratégie. Elles permettent de détecter les infostealers et d’informer les utilisateurs des mesures de protection à mettre en place. Intégrez la détection d’infostealers dans votre stratégie cyber pour ainsi protéger vos collaborateurs et votre entreprise sans plus attendre !
Ecrit par David Sygula, Expert CTI
Comment réduire l’exposition cyber des VIP ?
Cibles convoitées par les hackers, les dirigeants et membres de COMEX/CODIR sont 12 fois plus ciblés que les autres collaborateurs, et ce, par tout type d’attaques : phishing, compromission de compte, usurpation d’identité, fraude financière, chantage, etc. Et 70% des dirigeants et hauts cadres ont une exposition cyber à haut risque !
