Au début de 2026 un nouvel infostealer appelé Tempête, et leur arrivée n'est pas seulement celle d'un autre programme malveillant : c'est une évolution dans la façon dont les agresseurs volent des lettres d'identité et kidnappent des sessions. Selon l'analyse publiée par Varonis, Storm est offert comme un service pour les abonnements mensuels et les prix qui, dans son forfait standard, sont inférieurs à $1,000, offrant aux opérateurs la possibilité de collecter des identifiants de navigateurs, cookies de session, jetons de compte Google et portefeuilles de cryptomoneda, et ensuite envoyer toutes ces données chiffrées à l'infrastructure contrôlée par l'attaquant pour leur décryptage et exploitation ultérieure ( analyse de Varonis).
Pour comprendre l'importance de ce changement, vous devez revenir au mode classique de fonctionnement des voleurs. Traditionnellement, ces outils ont essayé de déchiffrer les identifiants directement dans la machine engagée, en ouvrant les bases locales des navigateurs (par exemple en utilisant des bibliothèques SQLite) et en manipulant les magasins de mots de passe locaux. Ce comportement local - l'accès direct aux bases de données du navigateur et le chargement des librairies de déchiffrement - était l'un des indicateurs que les solutions d'extrémité ont commencé à détecter efficacement.
Avec le temps, les défenses ont évolué et l'industrie du navigateur a également introduit des protections supplémentaires. Un exemple cité par les chercheurs a été l'introduction de mécanismes qui relient les clés de chiffrement à la propre application du navigateur, ce qui a rendu plus difficile le décryptage local sans interagir avec le processus du navigateur. Les premières tentatives pour éviter une telle restriction impliquaient l'injection de code dans le processus du navigateur ou l'abus de ses protocoles de débogage, techniques qui continuaient à laisser une marque et pouvaient être détectées par des outils de sécurité. Face à cela, les développeurs de voleurs ont changé de tactique : ils ont cessé d'essayer de déchiffrer localement et ont commencé à envoyer des fichiers chiffrés à des serveurs externes pour que tous les traitements se produisent en dehors du critère d'évaluation, éliminant ainsi de nombreux télémetries utilisés par EDR/AV pour identifier un vol d'identité.
La tempête fait un pas plus loin. Selon le rapport, le projet déchiffre et le traitement côté serveur pour les navigateurs à base de chrome et à base de gecko (Firefox, Waterfox, Pale Moon), tandis que d'autres familles comme StealC V2 font toujours partie du traitement sur la machine victime. Le répertoire de données que Storm collecte est large : mots de passe enregistrés, cookies de session, formulaires et autofill, jetons Google, données de carte, historique de navigation, documents des répertoires utilisateurs et même des sessions de messagerie d'applications telles que Telegram, Signal et Discord. Il inclut également des cibles souhaitables pour les cybercriminels, tels que les extensions et les applications de bureau des pièces de cryptomoneda, des captures d'écran sur plusieurs écrans et la collecte d'informations système. Une grande partie de ce travail est fait en mémoire pour réduire les possibilités de détection.
L'une des capacités qui rend Storm particulièrement dangereux est l'automatisation de la prochaine étape de la collecte : au lieu de donner aux acheteurs une touche d'identification et de leur demander de les utiliser manuellement, l'outil transforme les données de déchiffrement en un panneau opérateur et offre des fonctions qui facilitent la restauration silencieuse des sessions. Avec un jeton Google soda et un proxy SOCKS5 dont l'origine géographique coïncide raisonnablement avec la victime, le panneau peut recréer la session authentifiée sans avoir besoin de saisir des mots de passe, rendant le cookie ou le jeton volé en accès persistant et fiable. Enquêtes antérieures de Varonis, telles que Cookie et SessionShark ils avaient déjà montré comment les cookies et les jetons volés pouvaient rendre le facteur d'authentification supplémentaire non pertinent et permettre un accès durable aux services cloud.
Quant à l'architecture et au fonctionnement, Storm propose un modèle dans lequel chaque opérateur connecte ses propres serveurs virtuels à l'infrastructure centrale du service, faisant passer les données volées d'abord par les nœuds contrôlés par les acheteurs avant d'atteindre le moteur. Cette topologie complique les actions de débogage par les forces de sécurité, car les plaintes ou les blocages sont d'abord trouvés avec les hôtes contrôlés par l'opérateur. Le comité de gestion comprend des fonctions orientées vers les opérations criminelles : contrôle de l'équipement avec permissions granulaires, règles de détection automatique de domaine qui étiquetent les références par service (Google, Facebook, Twitter / X, cPanel, échanges de cryptomonéda) et mécanismes pour prioriser les objectifs. Les images du panel analysées par Varonis ont montré des milliers d'enregistrements provenant de plusieurs pays et d'identifications associées à des échanges de cryptomonéda, de médias sociaux et de services Cloud, suggérant des campagnes actives et transactionnelles où ces données se retrouvent sur des marchés de certification.
Le modèle commercial est tout aussi inquiétant du point de vue de l'accessibilité: Storm est offert à différents niveaux, y compris une démo à court terme et des abonnements mensuels standard pour le matériel, avec des prix qui permettent aux petits groupes criminels de fonctionner avec des capacités sophistiquées. De plus, les compilations déployées continuent de fonctionner même lorsque l'abonnement de l'opérateur expire, de sorte que l'impact ne disparaît pas automatiquement avec l'annulation du service.
Dans ce contexte, la réaction défensive doit évoluer. Les approches basées uniquement sur la détection de l'activité de déchiffrement local ou sur la protection par point laissent les zones aveugles lorsque le traitement se produit à l'extérieur du dispositif compromis. Il est donc essentiel de compléter ces défenses par des contrôles qui protègent les séances et détectent l'utilisation anormale des pouvoirs. Mettre en oeuvre des politiques d'accès conditionnel qui exigent des contrôles de l'intégrité, de l'emplacement et des risques de l'appareil avant de permettre des actions sensibles, limiter la durée et la portée des jetons de soude et forcer la réauthentification pour les opérations critiques aide à réduire la fenêtre d'exploitation. Les équipes de sécurité devraient également prioriser la corrélation log et l'analyse du comportement des comptes et des périphériques pour identifier des modèles tels que la connexion à partir d'emplacements incompatibles avec des activités antérieures ou des répétitions de sessions à partir d'un proxy inhabituel. Pour ce qui est des bonnes pratiques de gestion des séances, la collectivité dispose de ressources telles que le guide de l'OWASP sur la gestion des séances ( Gestion des séances de l'OWASP Feuille de chaleur) et les recommandations d'identité du NIST ( NIST SP 800-63B).
Au niveau opérationnel, il convient d'examiner la télémétrie et l'évacuation du réseau afin de détecter les expéditions inhabituelles de fichiers chiffrés vers des serveurs externes et les schémas de connexion qui indiquent l'utilisation de nouveaux proxy ou VPS. La télémétrie comportementale des endpoints reste utile si elle est élargie pour identifier les activités connexes (p. ex. processus qui créent de nombreux fichiers temporaires en mémoire, accès simultané à plusieurs profils de navigateur ou captures d'écran qui correspondent à l'accès récent à des comptes sensibles). L'utilisation des capacités de l'UEBA et la détection par anomalie peuvent aider à découvrir des accès « légitimes » qui ne correspondent pas à l'historique du compte et donc bloquer ou nécessiter une vérification supplémentaire. Microsoft et d'autres fournisseurs publient des lignes directrices sur la façon d'appliquer des contrôles d'accès conditionnels et de protéger les jetons dans les milieux d'affaires; ces contrôles sont complémentaires à la protection du périmètre et par point d'arrêt ( documentation de Azure AD Accès conditionnel).
La leçon pour les organisations est claire : le fait qu'un utilisateur n'ait pas changé son mot de passe ou reçu une notification de défaillance de connexion ne signifie pas que sa session n'a pas été compromise. Le vol de cookies et de jetons permet des mouvements latéraux et des accès persistants sans lancer d'alertes de mot de passe Les défenses devraient donc se concentrer à la fois sur la protection des secrets et la validation du contexte et de l'intégrité de chaque session. Dans la pratique, cela signifie des politiques à court terme et une rotation pour les jetons, l'application de contrôles d'accès plus stricts pour les ressources critiques, la segmentation des privilèges, la surveillance de l'utilisation anormale des comptes et une capacité d'intervention qui inclut l'invalidation des sessions compromises et l'enquête sur les nœuds présumés d'évacuation.
La tempête n'est pas un cas isolé mais la manifestation d'une tendance : l'externalisation du travail de déchiffrement et la priorisation du vol de session au-dessus du vol de mot de passe direct. Face à ce scénario, les entreprises qui ne se fient qu'à la résistance des mots de passe et des contrôles d'extrémité traditionnels seront désavantagées contre les attaquants qui marketingnt déjà l'automatisation pour restaurer les sessions volées. Une stratégie défensive moderne doit combiner de bonnes pratiques de gestion de l'identité, des contrôles d'accès adaptatifs et une surveillance de comportement avancée pour fermer les voies d'exploitation de ces outils.
Cet article est basé sur le rapport technique publié par Varonis sur l'infostealer Storm et les recherches antérieures sur les cookies et le vol de jetons ( rapport original dans Varonis, Cookie, SessionShark). Le guide OWASP et la publication NIST mentionnée ci-dessus sont disponibles pour plus de détails sur les normes et les recommandations relatives à la gestion et à l'authentification des séances.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...