Avec KeyCat, Flare dresse le portrait d’un infostealer vendu à bas prix, piloté via Telegram et capable de récupérer identifiants, fichiers sensibles, mots de passe Wi-Fi ou captures d’écran. Cette affaire confirme le vol d’accès devient un service accessible, industrialisé et difficile à contrer avec les seules défenses classiques.
Il ne faut pas regarder KeyCat comme une curiosité technique de plus dans l’interminable catalogue des malwares. Ce que montre l’étude publiée par Flare, c’est surtout la démocratisation du vol d’identifiants. Pour quelques dizaines de dollars, avec un tutoriel et un bot Telegram, un individu peu expérimenté peut désormais disposer d’un outil capable de collecter automatiquement des informations sensibles sur une machine Windows ou Linux.
KeyCat n’est pourtant pas un malware d’une sophistication exceptionnelle. Et c’est justement pour cela qu’il est intéressant. Car il n’a pas besoin d’être révolutionnaire pour être dangereux. Il automatise des gestes très efficaces : profiler la machine infectée, capturer l’écran, récupérer des mots de passe Wi-Fi, collecter des fichiers sensibles, extraire des identifiants via des outils connus, compresser le tout, puis transmettre les données à l’opérateur via Telegram.
Autrement dit, l’attaque ne vise pas seulement un poste de travail. Elle vise ce que ce poste permet d’atteindre : comptes SaaS, accès VPN, documents internes, fichiers bureautiques, clés, bases de mots de passe, informations clients, éléments de facturation ou données métiers. Dans une entreprise, un ordinateur compromis est souvent une porte d’entrée vers autre chose.
Le cybercrime prêt à l’emploi
L’autre info aussi intéressante qu’inquiétante, c’est que KeyCat a été commercialisé autour de 40 dollars, avec une logique proche du Malware-as-a-Service, puis du Stealer-as-a-Service. Dans le premier cas, l’attaquant achète un outil. Dans le second, il achète presque un résultat : des données volées, des identifiants, des accès exploitables.
C’est une évolution majeure du cybercrime. Il n’est plus nécessaire de développer soi-même un malware, de maintenir une infrastructure complexe ou de disposer de compétences avancées. Le marché criminel fournit désormais des briques prêtes à l’emploi, faciles à configurer, bon marché et distribuées sur des canaux largement utilisés.
Telegram joue ici un rôle central. L’outil peut s’en servir à la fois comme canal de commande et comme point de réception des données exfiltrées. Pour les défenseurs, cela complique le problème. L’attaquant ne s’appuie pas toujours sur une infrastructure obscure, facilement identifiable ou rapidement bloquée. Il détourne des services légitimes, connus, parfois tolérés dans les environnements professionnels.
Cette banalisation abaisse le ticket d’entrée dans la cybercriminalité et augmente le volume potentiel d’attaques. Le risque ne vient plus seulement de groupes très structurés ou d’opérations ciblées, mais de petits acteurs opportunistes qui peuvent récupérer des accès, tester leur valeur, les revendre ou les transmettre à d’autres.
L’identifiant volé devient le vrai point de bascule
KeyCat montre que les infostealers sont devenus l’un des carburants de la compromission actuelle. Ils alimentent les marchés d’accès, les fraudes au compte, les attaques contre les services cloud, les intrusions dans les environnements SaaS et, dans certains cas, les chaînes qui mènent ensuite au ransomware.
Pour les entreprises, le danger est souvent sous-estimé. Beaucoup continuent de penser la cybersécurité comme une affaire de réseau, de pare-feu, de messagerie ou d’antivirus. Mais une part croissante du risque se joue ailleurs, notamment dans les identités numériques, les secrets locaux, les sessions, les accès enregistrés dans les navigateurs, les fichiers conservés sur les postes et les usages hybrides entre appareils professionnels et personnels.
Un infostealer cherche avant tout à voler ce qui permet d’entrer dans l’entreprise. C’est moins spectaculaire qu’un chiffrement massif de serveurs, mais parfois plus efficace. Une fois les bons identifiants récupérés, l’attaquant peut se présenter comme un utilisateur légitime. Il ne force plus la porte. Il utilise la clé.
C’est aussi pour cela que la réponse ne peut pas se limiter à changer un mot de passe après coup. Lorsqu’un poste est infecté, il faut raisonner plus largement : quels comptes ont été utilisés sur cette machine ? Quels accès cloud étaient ouverts ? Quels fichiers sensibles étaient stockés localement ? Quels mots de passe, clés, certificats, profils VPN ou bases KeePass ont pu être récupérés ? Quelles sessions doivent être révoquées ? Quels comptes doivent être surveillés ?
Détecter les comportements, pas seulement les signatures
L’autre enseignement de KeyCat concerne la défense. Flare souligne que chaque déploiement peut être facilement reconfiguré, notamment en modifiant les éléments liés au bot Telegram. Cela rend les détections fondées uniquement sur des indicateurs fixes beaucoup plus fragiles. Bloquer un token, une URL ou une empreinte ne suffit pas si l’outil peut être rapidement adapté.
Les entreprises doivent donc déplacer une partie de leur effort vers la détection comportementale : processus Python inhabituels, exécution d’outils de récupération d’identifiants, création d’archives temporaires, connexions suspectes vers des API de messagerie, collecte anormale de fichiers sensibles, mécanismes de persistance, accès inhabituels depuis un poste utilisateur…
Quant à la prévention, elle reste indispensable : MFA, durcissement des postes, limitation des droits locaux, contrôle des applications autorisées, hygiène des navigateurs, gestion des secrets, sensibilisation aux téléchargements à risque, etc. Mais elle ne suffit plus. Il faut aussi savoir si des identifiants de l’entreprise circulent déjà dans des logs d’infostealers, sur des forums, dans des canaux Telegram ou sur des places de marché criminelles.
KeyCat n’est peut-être qu’un outil parmi d’autres. Mais il confirme que le cybercrime devient moins artisanal, plus accessible, plus modulaire. Et l’entreprise qui protège encore ses données sans surveiller l’exposition de ses identités regarde probablement le problème par le mauvais bout.
