SnakeStealer : l’IA pour bloquer le vol de données

En 2025, les infostealers sont redevenus la menace “rentable” préférée de nombreux cybercriminels : peu de bruit, beaucoup de données, un retour sur investissement rapide. D’après les tendances de détection publiées au premier semestre 2025, SnakeStealer a représenté près d’un cinquième des détections mondiales d’infostealers dans certaines télémétries. Ce chiffre n’impressionne pas seulement par son volume : il raconte surtout une réalité opérationnelle. Les attaquants ne cherchent plus l’exploit spectaculaire, ils cherchent l’accès (comptes, sessions, wallets, données bancaires) — et ils savent l’industrialiser.

SnakeStealer n’est pas “magique”. Il est fiable, modulaire, facile à louer, facile à déployer. Et c’est précisément pour ça qu’il est dangereux : il s’insère parfaitement dans un marché du cybercrime où l’on achète des campagnes “prêtes à l’emploi” comme on achèterait une prestation.

Dans cette série Intelligence artificielle dans la cybersécurité, je prends un parti clair : les défenses basées uniquement sur des règles et des signatures ne suffisent plus contre cette économie de l’intrusion. La bonne approche consiste à combiner hygiène de base, contrôles d’accès, et détection pilotée par l’IA — parce que les infostealers laissent des traces comportementales… même quand leur binaire change.

SnakeStealer : un infostealer “standard” qui fait très mal

Réponse directe : SnakeStealer vole ce qui permet d’ouvrir des portes — identifiants, cookies, sessions, données financières — puis exfiltre rapidement vers une infrastructure contrôlée par l’attaquant. Sa force n’est pas l’innovation technique, mais la qualité d’exécution.

Apparu dès 2019 (avec des racines associées à des offres clandestines type keylogger/crypter), SnakeStealer a gagné en popularité via des campagnes massives, souvent distribuées par pièces jointes malveillantes. Les formats changent selon la mode et les filtres : archives ZIP protégées par mot de passe, documents RTF piégés, images disque ISO, PDF, ou encore logiciels piratés et fausses applications.

Ce que SnakeStealer cherche vraiment

Les organisations pensent souvent “mot de passe”. Les infostealers, eux, pensent “accès complet”. Concrètement, cela inclut :

• Mots de passe enregistrés dans les navigateurs et certains clients (mail, chat, etc.)
• Cookies et jetons de session (souvent suffisants pour contourner un mot de passe)
• Données de paiement et informations financières
• Données crypto (extensions, wallets, identifiants)
• Presse-papiers, captures d’écran, frappe au clavier (keylogging)

Un point qui change la donne : le vol de session. Même avec une bonne politique de mots de passe, une session active peut offrir un accès immédiat à des outils internes, boîtes mail, ou services SaaS.

Une chaîne d’attaque “simple” mais efficace

SnakeStealer s’inscrit généralement dans un scénario qui se répète :

1. Entrée via phishing, pièce jointe, téléchargement, faux installateur
2. Exécution silencieuse et mise en place d’une forme de persistance
3. Collecte (navigateurs, applis, Wi‑Fi, presse-papiers, captures)
4. Exfiltration via canaux courants (HTTP, FTP, email, bots Telegram)
5. Monétisation : revente d’accès, prise de contrôle, fraude, rebond vers ransomware

Si vous ne voyez SnakeStealer que comme “un malware de plus”, vous ratez l’essentiel : il sert de rampe de lancement à d’autres attaques.

Pourquoi SnakeStealer progresse : le modèle “malware-as-a-service”

Réponse directe : SnakeStealer se diffuse parce qu’il est vendu/loué en service, avec support et mises à jour, ce qui abaisse drastiquement le niveau technique nécessaire pour lancer une campagne.

Le malware-as-a-service (MaaS) change la structure du risque :

• Un acteur “développeur” maintient le code et l’infrastructure.
• Des “affiliés” paient pour l’utiliser, parfois avec un partage de revenus.
• Le marketing se fait sur des canaux clandestins (messageries, forums), avec comparatifs et recommandations.

Quand une famille décline (par exemple parce que le développement ralentit), une autre prend sa place. SnakeStealer a bénéficié de cet effet de succession : un produit disponible, documenté, rentable, donc adopté.

Phrase à retenir : l’industrialisation du cybercrime rend la fraude accessible à grande échelle — et la défense doit devenir, elle aussi, industrielle.

Là où l’IA change vraiment la défense anti-infostealer

Réponse directe : l’IA est la plus utile quand elle détecte des signaux faibles dans la durée (comportements, séquences d’événements, anomalies), plutôt que de chercher une “signature” statique du malware.

Les infostealers évoluent vite : packers, variations de build, charge utile déplacée, hébergement sur des services légitimes, formats de fichiers qui contournent les filtres. Une défense “si fichier = X alors bloquer” se fait contourner.

L’IA (et plus largement le machine learning) apporte trois avantages concrets.

1) Détection comportementale sur les endpoints (EDR)

Un infostealer laisse des traces :

• accès inhabituels aux répertoires de profils navigateurs
• lecture de bases de données de mots de passe/chiffrement local
• interactions suspectes avec des processus de navigateur
• captures d’écran à intervalle régulier
• tentatives de stopper des outils de sécurité
• exfiltration rapide après une phase de collecte

Un moteur ML bien entraîné peut corréler ces événements. Pris isolément, chacun peut être bénin. Ensemble, ils forment une signature comportementale.

2) Détection d’anomalies sur les identités et le SaaS

Beaucoup d’entreprises découvrent un infostealer… après un incident sur un compte SaaS.

L’IA appliquée à l’Identity Threat Detection peut repérer :

• connexions impossibles (géographie / horaires) ou enchaînements anormaux
• création de règles de transfert mail suspectes
• multiplication d’échecs MFA suivis d’une réussite atypique
• utilisation d’un cookie/jeton depuis un environnement jamais vu

Et surtout : prioriser. Le vrai problème opérationnel, ce n’est pas “avoir des alertes”, c’est “savoir lesquelles traiter à 09h00 lundi matin”.

3) Tri intelligent des emails et des pièces jointes

Les campagnes SnakeStealer reposent encore beaucoup sur la distribution initiale.

Les modèles de classification peuvent aider à :

• détecter des schémas linguistiques de phishing (variantes, styles, contournements)
• repérer des fichiers suspects (structures, macros, obfuscation, archives)
• identifier des campagnes (similarité entre lots d’emails)

Je l’ai constaté sur le terrain : réduire de 30 % le phishing entrant peut réduire bien plus que 30 % du risque infostealer, parce que l’infection est souvent opportuniste.

Ce que la MFA couvre… et ce qu’elle ne couvre pas

Réponse directe : la MFA protège contre le vol de mot de passe, mais elle peut être contournée si l’attaquant vole une session active ou un jeton.

Activer la MFA reste non négociable. Mais pour les infostealers, il faut penser au-delà :

• Durée de vie des sessions : réduire les sessions longues sur des services sensibles
• Ré-authentification sur actions critiques (export, changement de coordonnées, API keys)
• Contrôles d’appareil : exiger un poste conforme (MDM, chiffrement, EDR actif)
• Rotation des secrets : mots de passe, tokens, clés API si suspicion

Autrement dit : la MFA est une ceinture. SnakeStealer essaie de vous prendre le pantalon.

Playbook concret : réduire le risque SnakeStealer en 10 actions

Réponse directe : combinez hygiène, contrôles d’accès, durcissement poste, et détection IA/EDR — c’est l’ensemble qui casse la chaîne d’attaque.

Pour les utilisateurs (et les dirigeants)

1. Traitez toute pièce jointe inattendue comme suspecte, même si “ça ressemble” à un document pro.
2. Mettez à jour OS, navigateur, PDF reader, Java/.NET si utilisés : les infostealers profitent des failles et des postes négligés.
3. Utilisez un gestionnaire de mots de passe et évitez l’enregistrement dans le navigateur pour les comptes critiques.
4. Activez la MFA partout, et privilégiez des méthodes résistantes au phishing quand possible.
5. En cas de doute : changez les mots de passe depuis un appareil sain, révoquez les sessions, surveillez vos comptes.

Pour les équipes IT/Sécu

1. Déployez un EDR avec détection comportementale et isolation rapide du poste.
2. Bloquez l’exécution depuis des emplacements à risque (Téléchargements, AppData) quand c’est compatible avec votre parc.
3. Surveillez l’exfiltration : pics de connexions sortantes, destinations rares, outils non standards.
4. Durcissez les navigateurs (politiques, extensions autorisées, contrôle des mots de passe enregistrés).
5. Préparez un runbook “infostealer” : collecte d’IOC internes, rotation des secrets, réinitialisation, communication, preuves.

Une règle utile : si un poste est suspecté d’infostealer, considérez que les identifiants saisis sur ce poste sont compromis jusqu’à preuve du contraire.

Questions que les équipes posent souvent (et les réponses)

“Est-ce que l’antivirus suffit contre SnakeStealer ?”

Non, pas seul. Il aide, mais les campagnes changent vite. La combinaison AV + EDR + contrôle d’accès + MFA + supervision SaaS est nettement plus robuste.

“Pourquoi l’IA est-elle utile si les attaquants utilisent aussi l’IA ?”

Parce que la défense dispose d’un atout : la télémétrie (endpoints, identité, réseau, email). L’IA est efficace pour corréler ce bruit et faire remonter les scénarios réellement dangereux.

“Quel est le signal d’alerte le plus sous-estimé ?”

Les sessions actives et la boîte mail. Une compromission qui commence par un infostealer finit très souvent par une prise de contrôle de messagerie, puis du SaaS.

Une dernière idée : traitez les infostealers comme un risque métier

SnakeStealer illustre une tendance lourde : la menace la plus fréquente n’est pas celle qui fait la une, c’est celle qui vole silencieusement et alimente le reste (fraude, espionnage, ransomware). Si votre entreprise vit de données, de comptes clients, de paiements ou de propriété intellectuelle, alors la lutte anti-infostealer est une priorité de gouvernance, pas un sujet “poste utilisateur”.

Dans la série Intelligence artificielle dans la cybersécurité, le fil rouge est simple : l’IA ne remplace pas la discipline, elle la rend exploitable à l’échelle. Elle aide à repérer plus tôt, à trier mieux, et à réagir plus vite.

Vous savez déjà ce qui va arriver après un vol d’identifiants : un compte va se faire réutiliser, une boîte mail va être explorée, une règle de transfert va apparaître, ou un export massif va partir. La vraie question pour 2026 : voulez-vous le découvrir via un ticket du service compta… ou via une alerte priorisée par vos modèles de détection ?