Spécial - Un brin de nostalgie durant le Northsec
15 mai 2025
Parce que... c'est l'épisode 0x606!
Spécial - Outrunning the Red Queen - Analysis of Ransomware Scripts
09 avril 2025
Parce que... c'est l'épisode 0x605!
Teknik - Al Trust - Apprentissage automatique - Détection des modèles empoisonnés après entrainement
09 avril 2025
Parce que... c'est l'épisode 0x604!
Actualités Cyber Citoyen au 17 juin 2025
17 juin 2025
Parce que... c'est l'épisode 0x603!
Teknik - Living Off the Pipeline - From Supply Chain 0-Days to Predicting the next XZ-like attacks
15 mai 2025
Parce que... c'est l'épisode 0x602!
Spécial - Panel Propolys - Innovation en cybersécurité - part 3
14 mai 2025
Parce que... c'est l'épisode 0x601!
Spécial - Panel du 600e - Notre gestion de risque personnel / OPSEC
27 mai 2025
Parce que... c'est l'épisode 0x600!
Spécial - Panel Propolys - Innovation en cybersécurité - part 2
14 mai 2025
Parce que... c'est l'épisode 0x599!
Teknik - Résultat de l'usage de l'IA dans le contexte d'un CtF (Northsec)
30 mai 2025
Parce que... c'est l'épisode 0x598!
Teknik - Vivez votre Première Key Ceremony - La Clé pour Sécuriser les Données Stratégiques de votre Entreprise
09 avril 2025
Parce que... c'est l'épisode 0x597!
Spécial - Souveraineté numérique - part 3 (SecNumCloud)
28 mai 2025
Parce que... c'est l'épisode 0x596!
Spécial - Panel Propolys - Innovation en cybersécurité - part 1
14 mai 2025
Parce que... c'est l'épisode 0x595!
Teknik - Tout ce que vous avez toujours voulu savoir sur la cryptographie post-quantique sans jamais oser le demander
09 avril 2025
Parce que... c'est l'épisode 0x594!
Spécial - NorthSec 2025 Panel
15 mai 2025
Parce que... c'est l'épisode 0x593!
H'umain - Ingénierie sociale et IA - Une menace ou un atout pour la défense ?
09 avril 2025
Parce que... c'est l'épisode 0x592!
Actualités Cyber Citoyen au 20 mai 2025
20 mai 2025
Parce que... c'est l'épisode 0x591!
Teknik - L'IA dans le contexte d'un CtF (Northsec)
16 mai 2025
Parce que... c'est l'épisode 0x590!
Spécial - Cybersécurité dans le secteur de la santé
08 avril 2025
Parce que... c'est l'épisode 0x589!
SéQCure/Spécial - Histoires d’erreurs
08 avril 2025
Parce que... c'est l'épisode 0x588!
Spécial - Souveraineté numérique - part 2
07 mai 2025
Parce que... c'est l'épisode 0x587!
Teknik - Revue de code - ChatGPT face aux vulnérabilités OWASP Top 10
08 avril 2025
Parce que... c'est l'épisode 0x586!
Spécial - Cyberchill numéro 4 - Des questions
24 avril 2025
Parce que... c'est l'épisode 0x585!
Teknik - Cyberdéfense en profondeur - Naviguer dans les défis de cybersécurité des technologies multi-environnements
08 avril 2025
Parce que... c'est l'épisode 0x584!
SéQCure/H'main - Vous avez dit IA? Et si nous parlions plutôt d'IH? - Récit d'une ex-CPO
28 mars 2025
Parce que... c'est l'épisode 0x583!
SéQCure/Teknik - Analyse et enseignements d’attaques sur le Cloud
27 mars 2025
Parce que... c'est l'épisode 0x582!
Spécial - Écosystème de cybersécurité de la Nouvelle-Zélande
26 mars 2025
Parce que... c'est l'épisode 0x581!
H'umain - Santé - Préparer l’avenir des soins
04 avril 2025
Parce que... c'est l'épisode 0x580!
Spécial - Souveraineté numérique - part 1
18 avril 2025
Parce que... c'est l'épisode 0x579!
Actualités Cyber Citoyen au 16 avril 2025
16 avril 2025
Parce que... c'est l'épisode 0x578!
Teknik - Identité dans l'univers des TO
13 mars 2025
Parce que... c'est l'épisode 0x577!
H'umain - Conception numérique et collaborations humain-machine
03 avril 2025
Parce que... c'est l'épisode 0x576!
Spécial - Les risques de l'hébergement étranger
01 avril 2025
Parce que... c'est l'épisode 0x575!
H'umain - Cyberespace - connaître et anticiper les futurs possibles
02 avril 2025
Parce que... c'est l'épisode 0x574!
SéQCure/PME - Et si... Microsoft vous offrait le nécessaire pour créer une architecture SÉCURE
26 mars 2025
Parce que... c'est l'épisode 573!
Spécial - Analyse de la menace
26 mars 2025
Parce que... c'est l'épisode 0x572!
SéQCure/Spécial - FUDBusters!
24 mars 2025
Parce que... c'est l'épisode 0x571!
Actualités CyberCitoyen au 19 mars 2025
19 mars 2025
Parce que... c'est l'épisode 0x570!
SéQCure/Teknik - Au-delà du maliciel de type infostealer - vecteurs d’infection, les actifs dérobés inusités et les contre-mesures
18 mars 2025
Parce que... c'est l'épisode 0x569!
Parce que… c’est l’épisode 0x569!
Shameless plug
- 2 au 4 avril 2025 - Humaco
- 8 et 9 avril 2025 - Cybereco
- 10 au 18 mai 2025 - NorthSec
- 03 au 05 juin 2025 - Infosecurity Europe
- 27 et 29 juin 2025 - LeHACK
- 12 au 17 octobre 2025 - Objective by the sea v8
- 10 au 12 novembre 2025 - IAQ - Le Rendez-vous IA Québec
- 17 au 20 novembre 2025 - European Cyber Week
- 25 et 26 février 2026 - SéQCure 2065
Description
Dans ce podcast, l’hôte s’entretient avec Olivier Bilodeau au sujet des “information stealers” (voleurs d’informations), un type de logiciel malveillant qui représente une menace cybernétique significative mais souvent sous-estimée.
Qu’est-ce qu’un Info Stealer?
Les “information stealers” sont des logiciels malveillants qui extraient des données sensibles d’un ordinateur infecté. Contrairement aux ransomwares ou aux malwares traditionnels qui cherchent à se déplacer latéralement dans un réseau, ces logiciels se concentrent sur l’extraction rapide et complète de toutes les données personnelles accessibles par l’utilisateur. Le résultat d’une telle infection est appelé “stealer log”.
Contenu typique d’un Stealer Log
Un stealer log contient généralement:
- Les identifiants et mots de passe stockés dans les navigateurs
- Les données d’auto-remplissage des formulaires
- Les informations personnelles et professionnelles
- Les cookies de session
- Des captures d’écran du poste de travail
- Des informations système (RAM, système d’exploitation, logiciels installés)
- Des fichiers spécifiques (documents, PDFs, bases de données de mots de passe)
- Les informations liées aux extensions de navigateur, notamment les générateurs TOTP (codes d’authentification à deux facteurs)
- Potentiellement des portefeuilles de cryptomonnaies
Méthode d’opération
Ces logiciels sont conçus pour:
- Infecter rapidement un poste
- Extraire toutes les données sensibles
- Envoyer ces données (souvent via Telegram) aux cybercriminels
- S’auto-effacer sans laisser de traces
Ce modèle “sans persistance” est radicalement différent des malwares traditionnels qui cherchent à s’installer durablement dans un système.
Écosystème criminel
Olivier explique l’écosystème derrière ces logiciels:
- Des développeurs créent des “builders” (générateurs) de malware
- Des distributeurs personnalisent et diffusent ces malwares via différents vecteurs d’infection
- Les données volées sont ensuite vendues en gros sur des plateformes comme Telegram
- Des “checkers” automatisés permettent de tester la validité des identifiants volés
Fait intéressant, la méfiance règne entre ces cybercriminels, au point où certains infectent délibérément leurs collègues.
Vecteurs d’infection
Les vecteurs d’infection typiques incluent:
- Des sites proposant des versions “gratuites” de logiciels payants
- Des “cracks” de logiciels
- Des chaînes YouTube promettant des ressources gratuites (comme des Robux pour Roblox)
- Des versions “gratuites” d’outils IA populaires comme MidJourney
Ces méthodes ciblent particulièrement les personnes cherchant à obtenir gratuitement des services normalement payants.
Impact et risques
L’impact de ces attaques est considérable:
- Un tiers des violations de données impliquent des identifiants volés
- Les données dérobées sont récentes et donc plus dangereuses que les bases d’identifiants plus anciennes
- Les sessions actives (via les cookies) permettent un accès immédiat aux comptes des victimes
- Les risques sont particulièrement élevés pour les services sans authentification à deux facteurs
- Les ordinateurs professionnels contenant des données d’entreprise représentent des cibles de choix
Travail de Flaire et recherches d’Olivier
Olivier travaille chez FLIR, qui possède une base de données de plus de 70 millions de stealer logs. Son travail consiste à:
- Analyser ces données pour comprendre les tendances et menaces
- Développer des API pour aider les entreprises à détecter rapidement si leurs informations ont été compromises
- Rechercher des vulnérabilités dans les gestionnaires de mots de passe
- Créer des outils pour tester automatiquement les identifiants potentiellement compromis
Recommandations de sécurité
Olivier recommande:
- Ne pas laisser les enfants utiliser les ordinateurs professionnels
- Utiliser l’authentification à deux facteurs quand c’est possible
- Se méfier des offres “trop belles pour être vraies”
- Comprendre que les antivirus traditionnels ont du mal à suivre ces menaces
Recherches futures
Olivier prévoit de poursuivre ses recherches sur:
- La vulnérabilité des gestionnaires de mots de passe face à ces attaques
- L’analyse automatisée des captures d’écran pour identifier rapidement les vecteurs d’infection
- L’impact sur les portefeuilles de cryptomonnaies
Cette menace persistante évolue constamment et nécessite une vigilance accrue tant de la part des individus que des entreprises.
Notes
Collaborateurs
Crédits
- Montage par Intrasecure inc
- Locaux réels par Cybereco
Tag: malware
Tweet