Un infostealer ne vole pas (toujours que) vos mots

📢 Tweet Teaser posted

295 chars

Avec lien Substack · Soir 18h30–20h · 30% du mix

Un infostealer ne vole pas un mot de passe. Il vole le graphe complet de vos accès : sessions actives, historique, liens entre comptes. Ce que tu crois être une fuite, c'est en fait une reconstruction de ton identité. https://unmotdepassepourri.substack.com/p/un-infostealer-ne-vole-pas-toujours

📅 18/05 à 19h39 il y a 6j

✓ Publié 18/05 à 19h39

🧵 Thread posted

2128 chars

Lien en dernier tweet seulement · Midi 12h–13h30

1/8

1/ On parle d'infostealers comme on parle de fuites de mots de passe. C'est une erreur fondamentale. Ce que ces malwares capturent, ce n'est pas un accès — c'est une identité numérique complète.

2/8

2/ Un log d'infostealer = un snapshot du poste au moment T : • Tous les identifiants enregistrés • Sessions actives (cookies, pas besoin de mdp) • Historique de navigation sur des semaines • Documents locaux • Métadonnées : nom de machine, domaine AD, langue

3/8

3/ Le vrai danger : le graphe des accès. Pas "tel mot de passe a fuité". Mais : où tu travailles, ton rôle, tes outils, tes clients, ce que tu consultes. L'attaquant ne devine pas. Il sait quel compte attaquer en premier, lequel servira de pivot.

4/8

4/ La victime n'est pas toujours la personne infectée. Un salarié infecté sur son poste perso un dimanche soir. Dans ses cookies : VPN d'entreprise, webmail pro, ticketing interne. L'entreprise ne détecte rien. C'est comme ça que démarrent les BEC et les intrusions latérales.

5/8

5/ Vos accès les plus sensibles sont dans votre navigateur. On pense "Netflix". Mais il y a aussi : impôts, banque, assurance maladie, plateformes admin. Une session active contourne le MFA. Et certaines ne sont jamais révoquées.

6/8

6/ Un log d'infostealer n'est pas une fuite. C'est une reconstruction. Quelques centaines d'URLs, deux profils navigateur, un IDE, un VPN, un dossier Documents exfiltré. Rien de spectaculaire pris isolément. Mais ensemble, ça dessine un portrait complet.

7/8

7/ L'historique montre des heures de connexion stables, des plateformes admin, des outils de facturation, des forums techniques. Machine perso utilisée à des fins pro. Un CV dans les docs confirme : indépendant, secteur IT, missions longues.

8/8

8/ À ce stade, on ne connaît pas seulement ce que fait cette personne. On comprend comment elle travaille, qui sont ses clients, quels sont ses points de pivot. Tout est là 👇 https://unmotdepassepourri.substack.com/p/un-infostealer-ne-vole-pas-toujours

📅 25/05 à 12h50 demain

✓ Publié 25/05 à 12h50

1/ On parle d'infostealers comme on parle de fuites de mots de passe. C'est une erreur fondamentale.

Ce que ces malwares capturent, ce n'est pas un accès — c'est une identité numérique complète.

2/ Un log d'infostealer = un snapshot du poste au moment T :

• Tous les identifiants enregistrés

• Sessions actives (cookies, pas besoin de mdp)

• Historique de navigation sur des semaines

• Documents locaux

• Métadonnées : nom de machine, domaine AD, langue

3/ Le vrai danger : le graphe des accès.

Pas &quot;tel mot de passe a fuité&quot;. Mais : où tu travailles, ton rôle, tes outils, tes clients, ce que tu consultes.

L'attaquant ne devine pas. Il sait quel compte attaquer en premier, lequel servira de pivot.

4/ La victime n'est pas toujours la personne infectée.

Un salarié infecté sur son poste perso un dimanche soir. Dans ses cookies : VPN d'entreprise, webmail pro, ticketing interne.

L'entreprise ne détecte rien. C'est comme ça que démarrent les BEC et les intrusions latérales.

5/ Vos accès les plus sensibles sont dans votre navigateur.

On pense &quot;Netflix&quot;. Mais il y a aussi : impôts, banque, assurance maladie, plateformes admin.

Une session active contourne le MFA. Et certaines ne sont jamais révoquées.

6/ Un log d'infostealer n'est pas une fuite. C'est une reconstruction.

Quelques centaines d'URLs, deux profils navigateur, un IDE, un VPN, un dossier Documents exfiltré.

Rien de spectaculaire pris isolément. Mais ensemble, ça dessine un portrait complet.

7/ L'historique montre des heures de connexion stables, des plateformes admin, des outils de facturation, des forums techniques.

Machine perso utilisée à des fins pro. Un CV dans les docs confirme : indépendant, secteur IT, missions longues.

8/ À ce stade, on ne connaît pas seulement ce que fait cette personne.

On comprend comment elle travaille, qui sont ses clients, quels sont ses points de pivot.

Tout est là 👇

https://unmotdepassepourri.substack.com/p/un-infostealer-ne-vole-pas-toujours

💡 Standalone #1 posted

239 chars

Sans lien · Matin 7h30–9h · 70% du mix

Un log d'infostealer ne donne pas un accès. Il donne le graphe des accès d'une personne : où elle travaille, son rôle, ses outils, ses clients. L'attaquant ne devine pas — il sait quel compte attaquer en premier et lequel servira de pivot.

📅 20/05 à 08h47 il y a 4j

✓ Publié 20/05 à 08h47

💬 Standalone #2 posted

240 chars

Sans lien · Matin 7h30–9h · 70% du mix

Vos accès les plus sensibles sont dans votre navigateur. Pas "Netflix". Les impôts, la banque, l'assurance maladie. Une session active contourne le MFA. Et certaines ne sont jamais révoquées parce que personne ne pense à vérifier.

📅 27/05 à 07h47 dans 3j

✓ Publié 27/05 à 07h47

🔥 Provoc posted

246 chars

Sans lien · Valide avant de publier · Soir 18h30–20h

On change le mot de passe fuité et on croit être protégé. Pendant ce temps, l'attaquant a déjà ton historique de navigation, tes sessions actives qui contournent le MFA, et ton graphe complet d'accès. Tu soignes le symptôme, pas la compromission.

📅 29/05 à 19h32 dans 5j

✓ Publié 29/05 à 19h32

Un infostealer ne vole pas (toujours que) vos mots de passe. Il vole votre vie numérique.

Envoyer sur Buffer