Parce que dans « Software as a Service », y’avait pas marqué « Stealer as a Feature »… mais visiblement, c’est livré avec.
Bienvenue dans l’économie du cloud, du SaaS, où tout est accessible, rapide, agile… et compromis. Les infostealers ne se contentent plus de se cacher dans des exécutables douteux ou des torrents de films moldaves. Non, en 2025, ils voyagent en business class, intégrés dans des bundles SaaS légitimes. Vous ne les téléchargez pas : vous les installez avec confiance.
☁️ Infostealer-as-a-Service : le malware chic et intégré
Un infostealer, c’est ce malware sournois qui aspire tout : mots de passe, cookies, tokens, portefeuilles crypto, et même l’âme numérique de votre session Chrome.
Mais aujourd’hui, le jeu a changé. Ces joyeusetés :
- S’invitent dans des extensions de navigateur « productives »
- Se glissent dans des outils collaboratifs tierce-partie intégrés à Slack, Teams ou Trello
- Se présentent comme des connecteurs « officiels » pour GSuite ou M365… sauf qu’ils sont signés « officieusement »
Et hop, votre équipe installe l’outil qui « optimise les workflows », pendant que vos identifiants partent en FTP chez un groupe cybercriminel kazakh.
🎁 Exemple : Bundle tout-en-un, version fuite assurée
Prenons l’exemple fictif (mais basé sur 12 cas réels) d’un SaaS nommé « SmartFileAI » — outil de signature, de stockage, d’OCR magique, intégré à Google Docs, OneDrive, et même au cloud météo du voisin.
✔️ Beau site
✔️ Interface léchée
✔️ Authentification OAuth via Google/Microsoft
✔️ Bandeau « GDPR Compliant »
Ce que vous ne voyez pas :
🔎 L’extension Chrome inclut un keylogger
📡 Chaque connexion synchronise vos cookies vers un serveur en .ru
🎣 L’équipe de dev n’existe pas : le produit est une façade construite pour siphonner les données d’entreprise
Et comme les utilisateurs ont cliqué sur « Se connecter avec Microsoft », la compromission est instantanée et légitimée par Azure AD. Bravo, belle intégration.
💸 Pourquoi ça explose ?
- Shadow SaaS généralisé : vos utilisateurs installent ce qu’ils veulent, sans demander.
- OAuth = confiance automatique : une fois connecté avec vos identifiants pro, plus personne ne soupçonne quoi que ce soit.
- App Stores peu regardants : certaines plateformes valident encore des apps après une simple vérif de logo et une clause RGPD copiée sur Doctolib.
Et surtout : les SOC passent souvent à côté, car l’app est vue comme “approuvée”, l’activité réseau est chiffrée, et l’exfiltration est lente, discrète, sournoise. Comme un stagiaire qui prend des photos du code source.
🧪 Cas réels
- Une startup RH a intégré une app de gestion de signature électronique « offerte avec leur CRM ». Elle exfiltrait les contrats PDF vers un bucket S3 public.
- Un plugin Slack utilisé par l’équipe marketing a permis de récupérer les tokens de session de 12 comptes d’administrateurs Azure.
- Un outil de génération de contenu AI « intégré à Notion » a aspiré toutes les notes confidentielles RH, R&D, et les secrets API, pour les revendre sur un Telegram moldave.
Moralité : ce n’est pas parce que c’est connecté à M365 que c’est sécurisé. Parfois, c’est juste plus rapide à compromettre.
🧯 Comment éviter de vous faire « abonner » à une fuite ?
- 🧠 Limiter les intégrations OAuth à une liste blanche d’apps approuvées
- 🕵️ Surveiller les autorisations accordées aux apps SaaS via Google/Microsoft Admin Center
- 🚫 Bloquer l’installation d’extensions de navigateur non validées
- 📊 Auditer les flux sortants anormaux depuis les apps SaaS (oui, ça demande un SIEM qui bosse un peu)
- 👥 Former vos utilisateurs à ne pas installer tout ce qui a un logo flat design et une promesse de productivité
Et surtout : si une app SaaS vous propose 40 fonctionnalités gratuites, c’est peut-être parce que vous êtes le produit. Ou pire : la passerelle vers tous les produits de votre entreprise.
☕ Bonus sarcastique
Nouveau concept RH : pour chaque connecteur SaaS non validé installé, le fautif doit rédiger 100 lignes :
« Je ne ferai plus confiance à une app qui a un logo mignon et me promet d’optimiser mes réunions. »
Conclusion ?
Les infostealers ont évolué. Ce ne sont plus des fichiers attachés douteux, mais des apps SaaS séduisantes.
Et pendant que vos utilisateurs testent « le nouvel outil génial recommandé sur LinkedIn », vos données prennent un aller simple vers les bas-fonds du dark web.
Mais hé, c’est pas grave. C’est intégré au cloud.
