Dans beaucoup de PME, on imagine encore une cyberattaque comme une scène spectaculaire : un écran bloqué, une rançon affichée, des fichiers chiffrés, un serveur à l’arrêt.
Mais certaines attaques commencent beaucoup plus discrètement.
Pas de message rouge.
Pas de bruit.
Pas de panique immédiate.
Le poste fonctionne encore. L’utilisateur continue sa journée. L’entreprise ne voit rien.
Et pourtant, un logiciel malveillant a peut-être déjà récupéré ce qu’il cherchait : les mots de passe enregistrés, les cookies de session, les jetons d’accès, les identifiants de messagerie, les accès cloud ou les comptes professionnels utilisés depuis le navigateur.
Ce type de malware s’appelle un infostealer.
Un infostealer, c’est quoi ?
Un infostealer est un logiciel malveillant conçu pour voler des informations sensibles sur un ordinateur compromis. Europol explique que ces malwares servent notamment à voler des identifiants, des jetons applicatifs et des cookies de session, qui peuvent ensuite être utilisés pour accéder à des sites et applications comme si l’attaquant était déjà connecté. (Europol)
Dit plus simplement : ce n’est pas un cambrioleur qui casse la porte.
C’est quelqu’un qui vole le trousseau de clés.
Et pour une PME, ce trousseau peut contenir beaucoup de choses : messagerie, outil comptable, CRM, hébergement, banque, Microsoft 365, Google Workspace, VPN, plateforme client, outil de facturation ou espace fournisseur.
Pourquoi c’est plus grave qu’un mot de passe volé
Quand un mot de passe est volé, on peut le changer.
C’est déjà sérieux, mais c’est compréhensible.
Le problème avec les infostealers modernes, c’est qu’ils ne se limitent pas toujours au mot de passe. Ils peuvent aussi voler des cookies de session.
Un cookie de session, c’est ce qui permet à un site de vous reconnaître après connexion. Grâce à lui, vous n’avez pas besoin de retaper votre mot de passe à chaque page.
Pour l’utilisateur, c’est pratique.
Pour un attaquant, c’est précieux.
Car si une session est réutilisable, l’attaquant peut parfois tenter d’accéder à un service sans repasser par l’étape normale du mot de passe ou du code MFA. Ce n’est pas automatique dans tous les cas, mais le risque est suffisamment sérieux pour ne plus penser la sécurité uniquement autour du mot de passe.
La vraie question devient donc :
si un poste est compromis aujourd’hui, quels accès restent ouverts derrière lui ?
Pourquoi les PME sont particulièrement exposées
Les PME travaillent souvent vite.
Un dirigeant garde ses accès dans le navigateur.
Un commercial se connecte au CRM depuis plusieurs postes.
Une assistante utilise la messagerie, les factures et les dossiers clients.
Un technicien conserve des accès d’administration.
Un salarié utilise parfois son ordinateur personnel pour consulter des outils professionnels.
Ce n’est pas toujours de la négligence. C’est souvent la réalité du terrain.
Mais pour un infostealer, cette réalité est idéale.
Un seul poste infecté peut devenir une petite mine d’or. Pas parce que le poste est “important” techniquement, mais parce qu’il contient des accès métier.
Verizon indique dans ses recherches DBIR 2025 que l’usage d’identifiants compromis représentait 22 % des vecteurs d’accès initial dans les violations étudiées, et que les données issues d’infections par infostealer montrent qu’au cas médian seulement 49 % des mots de passe d’un utilisateur étaient distincts entre services. (Verizon)
Autrement dit : quand une clé est volée, elle peut parfois ouvrir plusieurs portes.
Comment l’infection arrive
Un infostealer arrive rarement avec une étiquette “malware dangereux”.
Il peut se cacher derrière :
- une fausse mise à jour ;
- un logiciel gratuit douteux ;
- un crack ;
- une pièce jointe ;
- un faux document ;
- une extension navigateur ;
- un outil téléchargé trop vite ;
- un poste personnel infecté utilisé pour accéder à des services professionnels.
Le scénario est souvent banal.
Quelqu’un installe quelque chose “vite fait”.
Le poste est infecté.
Les accès sont aspirés.
Les données sont revendues ou réutilisées plus tard.
Et l’entreprise ne comprend l’origine du problème que plusieurs jours ou semaines après.
Les signaux faibles à prendre au sérieux
Un infostealer ne déclenche pas toujours une alarme visible. Mais certains signes doivent pousser à vérifier.
Une connexion depuis un pays inhabituel.
Une session ouverte à une heure étrange.
Un nouveau navigateur jamais vu.
Un compte qui crée une règle de transfert dans la messagerie.
Un fournisseur qui reçoit un email bizarre depuis votre domaine.
Un collaborateur qui constate des connexions inconnues.
Un compte SaaS consulté sans raison métier.
Un signe isolé n’est pas une preuve.
Mais plusieurs signaux faibles racontent parfois une histoire très claire : quelqu’un utilise déjà les accès de l’entreprise.
Ce qu’une PME doit faire concrètement
La première mesure est simple : éviter d’enregistrer les mots de passe professionnels dans le navigateur. Un gestionnaire de mots de passe professionnel, bien configuré, est préférable.
La deuxième mesure est d’activer le MFA partout où c’est possible, surtout sur la messagerie, les accès administrateurs, les outils financiers et les plateformes cloud.
La troisième mesure est de surveiller les connexions inhabituelles. Même sans grand SOC, Microsoft 365, Google Workspace, les VPN et beaucoup d’outils SaaS donnent déjà des journaux utiles.
La quatrième mesure est souvent oubliée : révoquer les sessions. Après une suspicion de compromission, changer le mot de passe ne suffit pas toujours si des sessions restent actives.
La cinquième mesure est de séparer les usages personnels et professionnels. Un ordinateur familial ou personnel ne devrait pas servir à gérer les accès critiques de l’entreprise.
Enfin, il faut prévoir une mini-procédure :
qui vérifie le poste ?
qui coupe les sessions ?
qui réinitialise les accès ?
qui regarde les journaux ?
qui prévient les personnes concernées si nécessaire ?
La bonne question à poser
Le sujet n’est pas seulement :
“Est-ce que nos mots de passe sont solides ?”
La vraie question est :
“Si un ordinateur de l’entreprise est infecté aujourd’hui, quels accès un attaquant peut-il récupérer ?”
C’est cette question qui change tout.
Parce qu’un infostealer ne cherche pas forcément à faire du bruit.
Il cherche à repartir avec les clés.
Et parfois, ces clés suffisent à ouvrir l’entreprise.
