L’analyse de près de 500 millions de logs d’infostealers en 2025 met en lumière trois profils particulièrement visés. Derrière ces attaques silencieuses, une même logique : exploiter des usages numériques devenus quotidiens.
Une industrialisation silencieuse du vol de données
Les infostealers se sont imposés comme un outil central dans l’économie cybercriminelle. Ces logiciels malveillants collectent discrètement les identifiants, mots de passe, données de navigation et sessions actives stockés dans les navigateurs et applications, avant de les transmettre à des serveurs contrôlés par les attaquants. Les données sont ensuite revendues, échangées ou exploitées pour des prises de contrôle de comptes.
Pour comprendre quels profils sont les plus exposés, NordVPN a analysé, via sa plateforme NordStellar, les 10 000 domaines les plus fréquemment cités dans près de 500 millions de logs d’infostealers collectés entre le 1er janvier et le 31 décembre 2025. Les campagnes ciblent massivement Windows, qui concentre près de 99 % des victimes identifiées, un environnement privilégié pour des opérations à grande échelle.
« En analysant les applications et sites web les plus liés aux infections par infostealers, on distingue trois modes d’utilisation clairs et si fréquents que tout le monde peut être touché, y compris les professionnels de l’informatique », explique Marijus Briedis, CTO de NordVPN.
Les “toujours connectés” et les gamers en première ligne
Premier profil : les utilisateurs intensifs des réseaux sociaux et des services en ligne. Près de 65 millions de logs sont liés à des plateformes comme Facebook, Instagram, Discord ou X. À cela s’ajoutent environ 28 millions de logs associés à des services de streaming tels que Netflix, Disney ou HBO, et 26 millions liés à des sites d’e-commerce comme Amazon ou eBay.
Le point commun est la persistance des sessions et la densité d’identifiants enregistrés. Une session active dérobée peut donner accès à des messageries, des marketplaces ou des services de paiement, sans nécessiter de deviner un mot de passe.
Deuxième groupe fortement exposé : les gamers, avec plus de 53 millions de logs recensés. Les plateformes comme Roblox, Steam, Epic, Fortnite, Twitch, Riot ou Minecraft apparaissent régulièrement dans les historiques associés aux infections. Les contaminations sont souvent introduites via des jeux piratés, des cheats, des mods ou des lanceurs non officiels. Ces comptes stockent fréquemment des moyens de paiement et des achats numériques de valeur, ce qui en fait des cibles attractives.
Les professionnels IT, cible à forte valeur stratégique
Troisième profil identifié : les professionnels de l’informatique, avec près de 27 millions de logs. Ici, l’enjeu dépasse le simple compte utilisateur. Les appareils concernés hébergent des outils de développement, des logiciels de bases de données, des solutions d’accès à distance et des portails d’identité d’entreprise. Les plateformes de code et de cloud, les services de collaboration comme Zoom, les pages d’administration de routeurs ou d’adresses IP privées, les portails RH ou encore LinkedIn figurent parmi les environnements associés aux infections.
Dans ces contextes, les identifiants volés peuvent ouvrir l’accès à des systèmes internes, des plateformes de développement ou des outils de gestion à distance. « Les infostealers ne ciblent pas un type de personne, ils ciblent un comportement prévisible », souligne Marijus Briedis. Une fois une session capturée, les attaquants peuvent se déplacer d’un compte à l’autre avec une rapidité qui laisse peu de marge de réaction.
La logique est constante : plus un terminal concentre d’usages, d’identifiants et de sessions ouvertes, plus il devient rentable. Les infostealers ne cherchent pas des profils spécifiques, mais des environnements numériques riches en accès exploitables.
