Par Estelle Ruellan, chercheuse en renseignement sur les menaces
À l'ère de la simple connexion plutôt que du piratage, les voleurs d'informations sont rapidement devenus les vedettes de la cybercriminalité. Face à l'immense quantité de journaux de voleurs partagés sur la scène clandestine, il est difficile de suivre les tendances, les tactiques et les campagnes.
Nous avons analysé 50 000 appareils infectés afin de comprendre les tactiques utilisées par les acteurs malveillants.
Points clés à retenir
Les infections ont révélé des schémas distincts dans la manière dont les acteurs malveillants conçoivent leurs pièges afin de maximiser le nombre de victimes :
- Nous avons constaté que 41.47 % des participants à notre étude ont été infectés par un fichier lié aux jeux vidéo (comme une fausse version de Roblox, etc.). Ce chiffre alarmant illustre les risques liés au téléchargement de jeux piratés.
- De plus, parmi toutes les infections, 17.65 % impliquaient le téléchargement par la victime d'une version « crackée » du logiciel ciblé, ce qui faisait du « crack » la fonctionnalité la plus fréquemment invoquée dans l'étude*.
*Ce chiffre est sous-estimé, car de nombreux fichiers piratés ou modifiés ne mentionnent pas explicitement qu'il s'agit d'un « crack », et les comportements liés au piratage, à la modification non autorisée et aux mises à jour non officielles sont plus fréquents que ne le représentent ces chiffres.
Ces tendances révèlent que les acteurs malveillants mettent en place ces pièges de logiciels malveillants voleurs d'informations après une planification minutieuse.
Ils profitent du fossé entre le type de logiciels que les gens souhaitent et ce qu'ils sont prêts à payer.
En proposant des versions gratuites comme appât et en adaptant leurs leurres à chaque écosystème en ligne, allant des outils créatifs piratés aux mods de jeux non officiels, les acteurs malveillants exploitent une simple réalité économique : les communautés en ligne valorisent les logiciels à faible coût ou gratuits.
Les conséquences pour une victime d'une infection par un logiciel malveillant voleur d'informations varient et peuvent inclure :
- Vol d'identité
- Dommages psychologiques (stress lié au piratage et ses conséquences)
- Perte financière (en cas de vol d'identifiants d'un établissement financier)
- Atteinte à la vie privée (photos, fichiers et habitudes personnelles peuvent être divulgués)
Bien que les logiciels légitimes puissent être plus chers que les versions gratuites « piratées », se faire pirater peut coûter bien plus cher.
Poursuivez votre lecture pour plus d'informations ou consultez l'analyse vidéo ici :
Méthodologie
Lors de la conférence Black Hat USA 2025, nous avons présenté pour la première fois les LLM (Low Linked Machines) comme solution au problème du vol d'informations. En exploitant les artefacts des journaux et les captures d'écran prises au moment de l'infection, les LLM nous aident à identifier les causes et les modalités des infections. Grâce à cette méthode, nous avons analysé les infections de 50 000 appareils afin de comprendre les techniques d'appât et les tactiques employées par les acteurs malveillants pour infecter un maximum de personnes.
Centres de données
Les 53 896 appareils infectés de notre échantillon l'ont été entre le 7 juin 2025 et le 12 août 2025. Les journaux d'activité de notre échantillon ont été infectés par quatre familles de logiciels malveillants distinctes : Lumma, StealC, Nexus et RedLine. Le reste de notre échantillon n'étant associé à aucune famille, nous l'avons classé comme « inconnu ».
| Family | # Appareils infectés | % de l'échantillon |
| Lumma | 38,759 | 71.9 % |
| Voler C | 5,614 | 10.4 % |
| Nexus | 934 | |
| Redline | 403 | |
| Inconnu | 7,857 | 14.6 % |
Lors de l'analyse de ces infections, nous avons identifié deux dimensions clés qui définissent le récit de chaque infection :
- Entité ciblée
- Fonctionnalité revendiquée
Le entité ciblée représente la marque, le logiciel ou le jeu que le logiciel malveillant imite. Par exemple, si un utilisateur est infecté après avoir téléchargé un fichier étiqueté « Menu de mods GTA V », L'entité ciblée est le jeu vidéo Grand Theft Auto V (GTA V).
Le fonctionnalité revendiquéeEn revanche, il s'agit de l'appât, de la fonctionnalité ou de l'avantage promis par l'attaquant pour inciter les utilisateurs à télécharger le fichier malveillant. Dans l'exemple ci-dessus, le « menu Mod » est la fonctionnalité revendiquée, servant d'appât pour convaincre la victime d'installer le logiciel malveillant.
En analysant les infections sous ces deux angles, on peut commencer à discerner des schémas dans la manière dont les attaquants choisissent leurs déguisements. Un examen plus approfondi des entités ciblées révèle beaucoup de choses sur les stratégies des acteurs malveillants.
Entités ciblées : Quels logiciels infectés les utilisateurs ont-ils téléchargés ?
Les infections étaient réparties sur 9 303 entités ciblées uniques. Pour l’analyse, ces entités ont été organisées en sept catégories principales en fonction de leur fonction et de leur attrait auprès des utilisateurs :
Les infections se répartissent sur les entités ciblées des secteurs créatif, essentiel, des jeux, du mobile, de la confidentialité et de la sécurité, ainsi que des systèmes et utilitaires.
1. Jeux
Jeux vidéo et plateformes de jeux.
Exemples : Fortnite, Minecraft, FIFA, CS:GO, Steam, Roblox, Call of Duty
2. Logiciels essentiels
Les systèmes d'exploitation, les suites bureautiques et les outils de productivité utilisés pour le travail, les affaires ou la création de documents représentent des marques de grande valeur et de confiance avec lesquelles de nombreux utilisateurs interagissent régulièrement.
Exemples : Outils KMS, Microsoft Office, Windows, macOS, LibreOffice
3. Outils système et utilitaires
Optimisation du système, gestion des fichiers et utilitaires de pilotes.
Exemples : WinRAR, Driver Booster, 7-Zip, utilitaires de disque
4. Créatif
Applications pour les travaux créatifs, notamment les outils de conception, la production musicale et le montage vidéo.
Exemples : FL Studio, Blender, AutoCAD, DaVinci Resolve, GIMP
5. Sécurité et confidentialité
Logiciels conçus pour protéger les données, les appareils et l'activité en ligne des utilisateurs, notamment les VPN, les outils de confidentialité, les programmes antivirus et les utilitaires anti-malware.
Exemples : CyberGhost, CCleaner, NordVPN, Malwarebytes, Kaspersky
6. Logiciel pour appareils mobiles
Outils de gestion de téléphones et utilitaires mobiles destinés aux utilisateurs de smartphones ou assurant la gestion des appareils multiplateformes.
Exemples : Utilitaires Samsung, iTunes, outils Android, utilitaires de déverrouillage de téléphone
7. Autres
Les entités qui ne correspondaient pas clairement aux catégories ci-dessus, notamment les logiciels de niche ou les outils peu courants.
Lorsqu'on examine les catégories d'entités ciblées, Jeux prennent clairement la tête, représentant plus de la moitié de toutes les entités uniques, soit 4 569 au total. Systèmes et services publics et Conception Suivent, avec respectivement 1 428 et 1 205 entités. Des catégories comme Mobile, ainsi Les Essentiels ont une représentation modérée, tandis que Confidentialité et sécurité Les entités passent presque inaperçues, avec seulement 75 entités uniques.
Nombre d'entités ciblées uniques et d'infections par catégorie (Passez la souris sur les barres pour voir les chiffres exacts)
Lorsque nous analysons les infections par catégorie d'entités ciblées, un domaine domine clairement : Gaming et bornes de jeux. 41.47 % des infections de notre échantillon étaient liées aux jeux vidéo (avec plus de 22 000 infections), soit plus que toute autre catégorie. Systèmes et services publics Les logiciels arrivent en deuxième position, suivis de près par Les Essentiels et alors Conception logiciel.
Pour le mettre en perspective : Environ 2 personnes sur 5 participant à notre étude ont été infectées par le biais d'un fichier lié aux jeux vidéo.Voilà un rappel frappant des risques que peuvent receler les jeux piratés.
Dans notre échantillon, 2 personnes sur 5 ont été infectées par un fichier lié aux jeux vidéo.
Le diagramme en anneau ci-dessous illustre la répartition des appareils infectés par catégorie et par logiciel spécifique. Le cercle intérieur représente la part d'infections de chaque catégorie, tandis que le cercle extérieur détaille les applications, logiciels ou jeux concernés.
Un examen plus approfondi révèle des leaders clairs au sein de chaque catégorie (par ordre décroissant du nombre d'infections) :
- Jeux: GTA, Roblox, Valorant, Counter-Strike: Global Offensive (CS:GO dans le classement), et Fortnite sont les cinq principales sources d'infections
- Logiciels essentiels : KMS, Microsoft et Fenêtres Les infections dominent ici
- Système et utilitaires : Internet Download Manager représente la majorité des infections
- Logiciels créatifs : Adobe domine largement cette catégorie
Ce graphique en forme de soleil illustre comment certains logiciels et jeux sont nettement plus efficaces que d'autres pour propager des infections.
Diagramme en rayons de soleil des leurres pour l'infection (survolez chaque section pour voir le nombre exact)
Cibler les caractéristiques uniques de la communauté des joueurs en ligne
Le jeu vidéo représente un terrain de chasse idéal pour les cybercriminels. Contrairement à d'autres catégories de logiciels, l'écosystème du jeu vidéo favorise activement les communautés où les modifications non officielles sont non seulement acceptées, mais encouragées. Les éditeurs de jeux considérant la plupart des modifications comme illégales, il n'existe aucune source légitime de cheats ou de mods « vérifiés ». Cela crée un environnement où les logiciels malveillants peuvent se faire passer pour des améliorations de jeu légitimes, sans être inquiétés. Lorsqu'un « menu de mods » téléchargé ne fonctionne pas, les utilisateurs supposent généralement qu'il est défectueux et en cherchent un autre, sans soupçonner une infection par un logiciel malveillant.
Ce schéma de ciblage global révèle une stratégie calculée : les acteurs malveillants ciblent systématiquement des noms connus comme Adobe, Microsoft Office, GTA et Roblox, car leur notoriété universelle leur assure une portée maximale. Cette notoriété mondiale garantit un vaste vivier de victimes potentielles, transcendant les pays, les langues et les profils démographiques. La stratégie est d’autant plus efficace que les logiciels grand public sont souvent assortis de licences coûteuses, incitant les utilisateurs à se tourner vers des alternatives illégales que les attaquants peuvent exploiter.
Fonctionnalités annoncées : quelles fonctionnalités les utilisateurs espéraient-ils obtenir ?
Les infections révèlent des tendances claires quant à la manière dont les acteurs malveillants adaptent leurs pièges aux différents écosystèmes logiciels afin d'attirer le plus grand nombre de victimes. Sur l'ensemble des infections, 17.65 % impliquaient explicitement une version piratée ou « crackée » de l'entité ciblée. Cela signifie qu'environ 1 personne sur 6 dans notre échantillon a été infectée par un «fissure » de l'entité ciblée. Cela fait du « crack » la fonctionnalité revendiquée la plus fréquemment observée.
Dans notre échantillon, une personne sur six a été infectée par une « faille » de l'entité ciblée.
Fonctionnalités revendiquées en pourcentage
| Fonctionnalité revendiquée | Pourcentage d'infections |
| Fissure | 17.65 % |
| « Versions » | 12.75 % |
| Contournements d'activation | 9.84 % |
| Cheats | 9.08 % |
| Menus des modules | 8.54 % |
En examinant l'ensemble des données, on constate que les « versions » revendiquées L'entité ciblée a été mentionnée dans 12.75 % des infections et occupe la deuxième place en nombre d'infections. Contournements d'activation (ex. « Activation » et Les « activateurs » suivent de près avec 9.84 % des infections, tandis que les logiciels de triche (9.08 %) et les menus de modification (8.54 %) complètent le top 5. Cela suggère que les recherches liées au piratage (« crack », « activation », « repack ») et les mots-clés relatifs aux versions (« version », « build », « patch ») restent le terrain le plus fertile pour les acteurs malveillants, quel que soit le système ciblé.
Ces chiffres révèlent une compréhension fondamentale de la nature humaine : les gens veulent des produits haut de gamme sans en payer le prix fort. Les cybercriminels ont bâti des opérations entières sur ce principe économique de base, faisant de l’instinct d’économie des consommateurs leur principal vecteur d’attaque.
Tendances par catégorie de logiciels
L'analyse des données par catégorie d'entité ciblée révèle des tendances intéressantes. Alors que la plupart des infections dans Créatif, essentiel, système et utilitaire, et Confidentialité et sécurité Les logiciels reflètent les tendances générales, Gaming et bornes de jeuxLes infections liées à ces logiciels suivent leur propre voie, ciblant les triches, les menus de modification et les hacks qui donnent aux joueurs un avantage compétitif ou des améliorations cosmétiques.
Analyse détaillée des entités ciblées (Survolez chaque catégorie pour explorer le pourcentage de fonctionnalités revendiquées par catégorie.)
Près d'un tiers de Conception Les infections associées étaient dues à une « fissure » Conception logiciels (32.72 %) et un autre cinquième (18.62 %) de Conception Les infections étaient associées à une « version » spécifique. du logiciel Creative.
Pour Les Essentiels et Systèmes et services publics infections connexes, les contournements d'activation étaient l'appât le plus fort (29.25 % et 26.13 %, respectivement).
Même les outils conçus pour protéger les utilisateurs, tels que les programmes antivirus et les VPN, sont retournés contre eux : plus d’un quart (25.86 %) des Confidentialité et sécurité Les infections impliquaient une version piratée du logiciel ciblé. Il s'agit là peut-être de la stratégie de ciblage la plus perverse : les utilisateurs en quête de protection téléchargent souvent des antivirus piratés, installant ainsi par inadvertance les menaces mêmes qu'ils tentent d'éviter. Les attaquants exploitent l'urgence et la confiance associées aux produits de sécurité, sachant que les utilisateurs réagissent rapidement lorsqu'ils pensent que leurs systèmes sont menacés.
Ces chiffres montrent comment les cybercriminels exploitent le coût élevé des outils essentiels, créatifs ou de sécurité et tirent profit de la propension des utilisateurs à contourner les frais de licence légitimes, parfois au détriment de leur propre sécurité. Les techniques les plus courantes sont les « cracks », les « contournements d'activation » et les « versions », mais même des termes simples comme « build » et « patch » sont détournés à des fins malveillantes.
Toutefois, le Jeux Cette catégorie présente un paysage fonctionnel différent. Les « astuces » (21.44 %) et les « menus de modification » (20.21 %) arrivent en tête, suivis des « hacks ». (11.30 %). Outre les « menus de modification », les entités liées aux jeux vidéo proposent de nombreuses fonctionnalités spécifiques au jeu, telles que « aimbot », « changement d'apparence » ou « wallhack ». Cela souligne une approche ciblée : les acteurs malveillants se concentrent sur l'avantage compétitif et l'aspect esthétique recherchés par les joueurs, comme les améliorations de performance, les exploits et les personnalisations, plutôt que sur le piratage seul.
Mais ces chiffres ne constituent qu'un minimum : de nombreux fichiers piratés ou modifiés n'indiquent pas explicitement être « craqués » ou « reconditionnés ». Les pourcentages rapportés ne reflètent que les mentions explicites des fonctionnalités revendiquées. Dans les noms de fichiers ou les fichiers infectés, ces mots-clés fonctionnels constituent des signaux explicites, mais les comportements sous-jacents (par exemple, le piratage, la modification non autorisée et les mises à jour non officielles) sont bien plus répandus que ne le laissent paraître les pourcentages bruts.
Ensemble, ces schémas révèlent la précision calculée qui sous-tend ce qui pourrait apparaître comme des attaques opportunistes.
Évaluation des risques liés au téléchargement de versions non officielles de logiciels
Les cybercriminels ne lancent pas d'attaques au hasard ; ils adaptent délibérément leurs stratégies aux valeurs de chaque communauté en ligne. Et ça marche. Rien qu'en 2024, chez Flare, nous avons observé plus de 34 millions de journaux de vol d'informations partagés sur la scène clandestine. Ce succès fulgurant repose sur l'exploitation d'une simple réalité économique : l'écart entre les besoins des utilisateurs et leur budget. Qu'il s'agisse d'une suite Microsoft Office à 100 $ par an ou d'un jeu PC à 28.99 $, les cybercriminels se positionnent précisément dans cet intervalle.
La solution ne réside pas seulement dans la sensibilisation, mais aussi dans la compréhension que, dans les écosystèmes où les améliorations non officielles sont culturellement acceptées (comme dans le jeu vidéo) ou motivées par des raisons économiques (comme les licences logicielles onéreuses), le paysage des risques change fondamentalement. Téléchargez toujours depuis des sources officielles lorsque c'est possible. Certes, les logiciels légitimes sont chers, mais comme le prouvent ces 50 000 infections, se faire pirater coûte bien plus cher.
Surveillance des grappins avec une fusée éclairante
Le La gestion des expositions aux cybermenaces de Flare Notre solution permet aux organisations de détecter, de hiérarchiser et d'atténuer de manière proactive les vulnérabilités fréquemment exploitées par les acteurs malveillants. Notre plateforme analyse automatiquement le web classique et le dark web, ainsi que les communautés des principaux acteurs malveillants, 24 h/24 et 7 j/7 afin de détecter les événements inconnus, de hiérarchiser les risques et de fournir des renseignements exploitables immédiatement pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Découvrez les menaces externes auxquelles votre organisation est exposée en vous inscrivant à notre programme. essai gratuit.
