Une victime de vol d'informations sur quatre a accès à l'infrastructure de l'entreprise.

Par Andréanne Bergeron, chercheuse en sécurité

Une victime de vol d'informations sur quatre a un accès actif à l'infrastructure de l'entreprise : identifiants VPN, sessions SaaS, plateformes cloud. Qu'elle ait été infectée en téléchargeant un mod de jeu ou un outil de productivité n'a pas d'importance. Au moment où le journal atteint un forum du dark web, le rayon de l'explosion est le même.

Cette réalité contredit une idée reçue tenace en matière de sécurité d'entreprise : celle que les logiciels malveillants voleurs d'informations constituent un problème grand public, concentré chez les joueurs à la recherche de logiciels gratuits et de jeux piratés. Les données révèlent une tout autre histoire. Si les appâts liés aux jeux vidéo représentent effectivement 43 % des infections, même au sein de ce groupe, une victime sur six possède des identifiants actifs pour des systèmes d'entreprise. Le « joueur » et l'« employé » sont souvent une seule et même personne, sur le même appareil, dans la même session.

L'opacité croissante entre l'utilisation d'appareils personnels et l'exposition des données en entreprise rend cruciale l'analyse des cibles des logiciels malveillants voleurs d'informations par les équipes de sécurité. Nous présentons ici trois raisons à cela.

Principales conclusions concernant les infections par des voleurs d'informations en entreprise

• Bien que les appâts liés aux jeux vidéo représentent 43 % des infections, la majorité des victimes sont compromises par le biais de logiciels de productivité infectés et de services de partage de fichiers malveillants. 
• Les compétences techniques ne protègent pas contre l'infection ; elles peuvent même accroître les risques. 82 % des victimes possédaient des compétences techniques de haut niveau, et la victime médiane avait 83 logiciels installés. Les pratiques de développement qui normalisent l'exécution de logiciels non vérifiés, le contournement des protections du système d'exploitation et l'utilisation de privilèges d'administrateur créent les conditions idéales pour les voleurs d'informations.
• Une infection sur six liée aux jeux vidéo concerne un utilisateur ayant accès à l'infrastructure de l'entreprise. 16 % des victimes infectées par des jeux vidéo malveillants possédaient également des identifiants actifs pour des VPN, des plateformes SaaS ou des environnements cloud, établissant ainsi un lien direct entre l'utilisation d'un appareil personnel et la compromission d'un système d'entreprise.
• Près de la moitié des victimes infectées par des logiciels professionnels ont accès à l'infrastructure de leur entreprise. Parmi les utilisateurs ayant téléchargé des outils de productivité infectés, 50 % disposaient d'identifiants leur permettant d'accéder aux systèmes de l'entreprise, faisant de l'acquisition courante de logiciels l'un des vecteurs d'infection les plus risqués pour les entreprises.

Les vecteurs d'infection ne se limitent pas aux jeux vidéo.

Pour appréhender l'ampleur réelle de la menace, nous avons analysé un échantillon aléatoire d'environ 30 journaux de vol de données par jour, collectés tout au long de l'année 2025, ce qui a permis de constituer un ensemble de données robuste comprenant 10 198 utilisateurs compromis. En examinant en détail les artefacts exfiltrés (notamment l'historique de navigation, les identifiants enregistrés et les spécifications système), nous avons déterminé le vecteur d'infection pour chaque journal.

Parmi les journaux où une source a pu être identifiée avec certitude, la ventilation est révélatrice.

Alors que les infections liées aux jeux vidéo représentaient 43 % des victimes (compatible avec les recherches antérieures), un chiffre stupéfiant : 57 % des individus ont été infectés par des canaux totalement différents. Ces victimes ont compromis leurs systèmes en téléchargeant des logiciels de productivité infectés ou par le biais de partages de fichiers malveillants. Il est statistiquement déraisonnable d’ignorer la majorité des infections. 

De plus, le risque est aggravé par le rôle des victimes au sein des organisations : près de 50 % des personnes infectées par le biais de téléchargements de logiciels d’entreprise disposaient d’un accès direct à l’infrastructure de l’entreprise.

Vos employés les plus techniques sont parmi les plus vulnérables.

On part souvent du principe, en cybersécurité, que seuls les utilisateurs non experts en informatique tombent dans le piège des logiciels malveillants. Notre étude réfute catégoriquement cette idée : 70 % des victimes de notre échantillon disposaient d’outils techniques spécialisés et 82 % ont démontré des compétences techniques, comme en témoignent leurs habitudes de navigation et d’authentification. Loin d’être une protection, une grande maîtrise technique engendre souvent un faux sentiment de sécurité qui conduit à des comportements numériques plus risqués.

Cette confiance excessive est exacerbée par les exigences pratiques du développement logiciel moderne. Dans un contexte DevOps dynamique, la pression d'adopter de nouveaux outils pour rester compétitif crée une surface d'attaque considérable. Dans notre étude, le nombre médian d'installations logicielles par victime était de 83. Ce volume élevé de logiciels résulte directement du besoin des développeurs en utilitaires spécialisés pour travailler ; or, chaque installation représente une porte d'entrée potentielle non verrouillée dans le réseau de l'entreprise.

Le danger ne réside pas seulement dans le nombre d'outils, mais aussi dans la manière dont ils sont acquis et utilisés :

• Les privilèges d'administrateur sont courants : Selon le SANS InstituteLes développeurs utilisent fréquemment des droits d'administrateur local. Cela leur permet de contourner manuellement les protections du système d'exploitation (comme Windows SmartScreen) qui empêcheraient normalement un utilisateur non technique d'exécuter un script non vérifié.
• L'installation de paquets en ligne de commande normalise le risque : Les employés techniques sont à l'aise avec les interfaces en ligne de commande et utilisent fréquemment npm install ou pip install pour installer directement des paquets dans leur environnement. Ce niveau de confort les rend beaucoup plus susceptibles d'ignorer les avertissements concernant les « logiciels non signés » au profit de la rapidité (ReversingLabs, 2023C’est précisément sur ce comportement que comptent les acteurs malveillants : Sonatype Une étude récente a fait état d'une augmentation stupéfiante de 156 % en un an du nombre de logiciels malveillants découverts dans les dépôts open source. En ciblant précisément les « sources non vérifiées » sur lesquelles s'appuient les ingénieurs, les cybercriminels ont transformé les outils de développement en un vecteur de diffusion privilégié pour le vol de données.

Le lien dangereux entre les jeux et l'accès aux entreprises

Pour revenir au chiffre de 43 % de notre échantillon infecté par des leurres de jeux vidéo, les données révèlent un croisement surprenant et inquiétant : 16 % de ces victimes « joueuses » disposaient également d’un accès actif à l’infrastructure de l’entreprise. Nous avons identifié deux hypothèses principales pour expliquer ce phénomène :

L'utilisation occulte des actifs de l'entreprise

Il arrive fréquemment que les employés utilisent leur ordinateur portable professionnel comme un appareil personnel en dehors des heures de travail. Un acte en apparence anodin, tel que le téléchargement d'un jeu de cartes classique ou d'un mod pour un jeu plus récent, peut permettre l'exfiltration de certificats VPN ou de cookies de session SaaS, compromettant ainsi la sécurité de toute l'organisation par un simple choix personnel. Les services informatiques doivent non seulement désapprouver cet usage personnel, mais aussi le restreindre activement.

L'appareil domestique partagé

Le télétravail a entraîné des changements dans l'environnement informatique, notamment le partage d'ordinateurs portables professionnels avec les membres de la famille. Lorsqu'un parent termine sa journée de travail et laisse son enfant jouer à un jeu, ce dernier peut télécharger un jeu infecté ou rechercher des skins gratuits ou des cracks. Les ordinateurs portables professionnels étant souvent plus puissants, ils constituent la machine idéale pour les jeux vidéo, ce qui les rend particulièrement vulnérables aux fichiers malveillants utilisés comme appâts par les cybercriminels.

Lorsqu'une infection sur six liée aux jeux vidéo implique un utilisateur disposant d'un accès professionnel, les organisations ne peuvent plus se permettre de négliger le risque catastrophique que représentent les habitudes d'utilisation de logiciels personnels sur des appareils professionnels.

Le coût d'une infection « personnelle »

Les données de notre étude menée auprès de 10 198 utilisateurs prouvent que les logiciels malveillants voleurs d'informations ne constituent pas seulement une nuisance pour les consommateurs, mais représentent une voie d'accès directe au cœur des réseaux d'entreprise. Le désir d'un employé d'utiliser un jeu piraté ou le besoin d'un développeur d'un outil utilitaire rapide peuvent devenir le point d'entrée initial d'un déploiement massif de rançongiciel ou d'une fuite de données.

L'époque où les appareils professionnels étaient considérés comme des ordinateurs à usage général doit prendre fin. Les entreprises ne peuvent plus se permettre d'ignorer la dimension personnelle de la vie numérique de leurs employés. Pour protéger l'infrastructure, les équipes informatiques et de sécurité peuvent mettre en place une liste blanche stricte d'applications, définir des limites claires entre le matériel professionnel et l'usage personnel, et surveiller activement les fuites d'identifiants dans les journaux de vol. Le coût d'une licence logicielle légitime ou d'un second ordinateur portable personnel est négligeable comparé aux millions de dollars perdus lorsqu'un seul identifiant exfiltré tombe entre de mauvaises mains.