Discussion :

[Stéphane le calme]

Sextorsion 2.0 : le spyware Stealerium surveille le navigateur et prend des photos quand la victime va sur du porno,
il est proposé en open source comme un programme « destiné à des fins éducatives »

La sextorsion entre dans une nouvelle ère avec Stealerium, un logiciel espion capable de détecter la navigation pornographique avant d’activer la webcam de l’utilisateur et de prendre des photos compromettantes. Ce qui choque particulièrement, c’est que Stealerium n’est pas un outil obscur réservé à quelques groupes criminels. Il est accessible en open source sur GitHub, présenté comme un projet « à visée éducative ». Arme potentielle de chantage, ce malware illustre la bascule inquiétante du cybercrime vers l’exploitation directe de l’intime.

Contexte

Des chercheurs en cybersécurité ont récemment documenté un spyware baptisé Stealerium, dont le fonctionnement illustre une évolution inquiétante. Ce programme ne se limite pas à voler des identifiants ou à siphonner des données de navigation. Il est capable de surveiller en temps réel l’activité du navigateur et de déclencher ses fonctionnalités les plus intrusives lorsqu’il détecte du contenu pornographique. À cet instant précis, il prend à la fois une capture d’écran du site affiché et une photo de l’utilisateur via sa webcam. Le résultat est un duo d’images difficilement contestables, fournissant au criminel une arme de chantage d’une efficacité redoutable.

Proofpoint a étudié les fonctionnalités de Stealerium après avoir découvert ce logiciel malveillant dans des dizaines de milliers d'e-mails envoyés par deux groupes de pirates informatiques différents qu'il suit (deux opérations cybercriminelles à relativement petite échelle), ainsi que dans plusieurs autres campagnes de piratage par e-mail. Étrangement, Stealerium est distribué sous forme d'outil open source gratuit disponible sur GitHub. Le développeur du logiciel malveillant, qui se fait appeler witchfindertr et se décrit comme un « analyste de logiciels malveillants » basé à Londres, précise sur la page que le programme est destiné « à des fins éducatives uniquement ».

« L'utilisation de ce programme relève de votre responsabilité », peut-on lire sur la page. « Je ne serai pas tenu responsable des activités illégales. Et je me fiche complètement de la manière dont vous l'utilisez. »

Un chantage sexuel revisité à l’ère du spyware

La sextorsion n’est pas une invention récente. Depuis plus d’une décennie, elle repose sur une mécanique bien huilée : convaincre une victime qu’un cybercriminel détient des images ou vidéos compromettantes pour la pousser à payer. La plupart du temps, il ne s’agit que de menaces en l’air appuyées par des e-mails intimidants. Mais une nouvelle génération de logiciels malveillants change la donne.

Mercredi, les chercheurs de la société de sécurité Proofpoint ont publié leur analyse d'une variante open source du logiciel malveillant « infostealer » connu sous le nom de Stealerium, que la société a vu utilisé dans plusieurs campagnes cybercriminelles depuis mai de cette année. Comme tous les infostealers, ce logiciel malveillant est conçu pour infecter l'ordinateur d'une cible et envoyer automatiquement à un cybercriminel une grande variété de données sensibles volées, notamment des informations bancaires, des noms d'utilisateur et des mots de passe, ainsi que les clés des portefeuilles crypto des victimes. Stealerium ajoute cependant une autre forme d'espionnage, plus humiliante : il surveille également le navigateur de la victime à la recherche d'adresses web contenant certains mots-clés NSFW, capture des images des onglets du navigateur contenant ces mots, photographie la victime via sa webcam pendant qu'elle consulte ces pages pornographiques et envoie toutes les images à un pirate informatique, qui peut alors faire chanter la victime en la menaçant de les divulguer.

« En matière d'infostealers, ils recherchent généralement tout ce qu'ils peuvent récupérer », explique Selena Larson, l'une des chercheuses de Proofpoint qui a participé à l'analyse de l'entreprise. « Cela ajoute une couche supplémentaire d'atteinte à la vie privée et d'informations sensibles que vous ne voudriez certainement pas voir entre les mains d'un pirate informatique en particulier. »

De l’expérimentation open source au risque criminel

Le plus déroutant n’est pas uniquement l’ingéniosité technique de Stealerium, mais sa disponibilité publique. Son code circule librement sur GitHub, sous couvert d’un projet éducatif. L’auteur, utilisant le pseudonyme witchfindertr, se décharge de toute responsabilité en arguant qu’il s’agit d’un outil de recherche. Pourtant, les caractéristiques intégrées au logiciel trahissent un potentiel d’abus évident.

Dans sa forme actuelle, Stealerium est déjà exploité par le biais de campagnes d’hameçonnage ciblées. Les secteurs visés incluent l’hôtellerie, l’éducation ou la finance, mais rien n’empêche que ce spyware s’attaque directement à des particuliers. Les victimes reçoivent des e-mails frauduleux contenant des pièces jointes malveillantes, souvent déguisées en factures ou documents administratifs. Si ces techniques restent classiques, ce qui change, c’est le type de données que le malware est conçu pour capturer : non plus uniquement des informations financières, mais des preuves visuelles exploitables dans une logique de chantage sexuel.

Quelques éléments sur la campagne : méthodes de livraison et leurres

Ci-dessous un extrait de ProofPoint :

Le volume des messages varie de quelques centaines à plusieurs dizaines de milliers par campagne. Les campagnes Stealerium comprenaient des e-mails contenant divers types de fichiers, notamment des fichiers exécutables compressés, JavaScript, VBScript, ISO, IMG et des fichiers d'archive ACE. Les e-mails observés usurpaient l'identité de nombreuses organisations différentes, notamment des fondations caritatives, des banques, des tribunaux et des services de documentation, qui sont des thèmes courants dans les leurres utilisés dans la cybercriminalité. Les objets des e-mails évoquaient généralement l'urgence ou l'importance financière, avec des titres tels que « Paiement dû », « Convocation au tribunal » et « Facture de don ».

Par exemple, le 5 mai 2025, Proofpoint a identifié une campagne TA2715 usurpant l'identité d'une organisation caritative canadienne avec un leurre « demande de devis ». Les messages contenaient une pièce jointe compressée exécutable qui, une fois exécutée, téléchargeait et installait Stealerium.

Campagne TA2715 usurpant l'identité d'une organisation caritative.

Les chercheurs ont également observé plusieurs campagnes utilisant des appâts liés aux voyages, à l'hôtellerie et même au mariage. Par exemple, le 23 juin 2025, Proofpoint a identifié une demande de réservation contenant des exécutables compressés qui diffusaient Stealerium. Cette campagne ciblait des organisations du secteur hôtelier, ainsi que des organismes éducatifs et financiers.

Leurre sur le thème du voyage imitant une agence de voyages.

Comme dans de nombreuses campagnes de logiciels malveillants courants, les cybercriminels qui diffusent Stealerium utilisent également régulièrement des leurres liés aux paiements ou aux factures. Dans une campagne observée le 24 juin 2025, les cybercriminels ont utilisé un thème « Xerox Scan » avec un leurre lié aux paiements. La campagne visait des centaines d'organisations à travers le monde. Ces messages contenaient des fichiers JavaScript compressés qui installaient Stealerium et effectuaient une reconnaissance du réseau afin de recueillir des profils Wi-Fi et des réseaux à proximité.

Leurre se présentant comme un document de paiement numérisé pour finalement livrer une charge utile JavaScript.

Enfin, comme beaucoup d'acteurs malveillants, les campagnes diffusant Stealerium utilisent souvent des techniques d'ingénierie sociale qui exploitent la peur, la frustration ou l'excitation pour inciter les gens à réagir à leurs messages avec un sentiment d'urgence. Nous avons observé du contenu à caractère adulte dans certains leurres Stealerium, ainsi que l'exemple suivant qui informe le destinataire qu'il fait l'objet d'une poursuite judiciaire. Cette campagne a été observée le 2 juillet 2025, avec une « date d'audience » fixée au 15 juillet 2025 afin d'accroître le sentiment d'urgence du courriel. Ces messages contenaient des fichiers IMG (image disque) avec des scripts VBScript intégrés. Le script VBScript téléchargeait la charge utile sous forme d'exécutable compressé qui installait Stealerium.

Leurre à thème juridique avec des pièces jointes .vbs et .img qui mènent à Stealerium.

Stealerium est conçu pour voler une grande variété de données

Une fois installé, Stealerium est conçu pour voler une grande variété de données et les envoyer au pirate via des services tels que Telegram, Discord ou le protocole SMTP dans certaines variantes du logiciel espion, ce qui est relativement courant chez les voleurs d'informations. Les chercheurs ont été plus surpris de découvrir la fonctionnalité automatisée de sextorsion, qui surveille les URL du navigateur à la recherche d'une liste de termes liés à la pornographie tels que « sexe » et « porno », qui peuvent être personnalisés par le pirate informatique et déclencher des captures d'images simultanées à partir de la webcam et du navigateur de l'utilisateur. Proofpoint note qu'il n'a identifié aucune victime spécifique de cette fonction de sextorsion, mais suggère que l'existence de cette fonctionnalité signifie qu'elle a probablement été utilisée.

Les méthodes de sextorsion plus pratiques sont une tactique de chantage courante chez les cybercriminels, et les campagnes d'escroquerie dans lesquelles les pirates prétendent avoir obtenu des photos webcam de victimes regardant de la pornographie ont également envahi les boîtes de réception ces dernières années, certaines allant même jusqu'à tenter de renforcer leur crédibilité avec des photos du domicile de la victime tirées de Google Maps. Mais les photos réelles et automatisées prises par webcam d'utilisateurs consultant du contenu pornographique sont « pratiquement inconnues », selon Kyle Cucci, chercheur chez Proofpoint. Le seul exemple similaire connu, dit-il, est une campagne de logiciels malveillants qui ciblait les utilisateurs francophones en 2019, découverte par la société slovaque de cybersécurité ESET.

Selon Larson, de Proofpoint, le fait de cibler des utilisateurs individuels à l'aide de fonctionnalités automatisées de sextorsion pourrait s'inscrire dans une tendance plus large chez certains cybercriminels, en particulier les groupes de moindre envergure, qui délaissent les campagnes de ransomware et les botnets à grande échelle et très visibles, qui ont tendance à attirer l'attention des forces de l'ordre.

« Pour un pirate informatique, ce n'est pas comme si vous faisiez tomber une entreprise multimillionnaire qui va faire des vagues et avoir de nombreuses répercussions », explique Larson, en opposant les tactiques de sextorsion aux opérations de ransomware qui tentent d'extorquer des sommes à sept chiffres aux entreprises. « Ils essaient de faire de l'argent sur le dos de leurs victimes une par une. Et peut-être des victimes qui pourraient avoir honte de signaler un tel acte. »

Une stratégie psychologique efficace

La réussite d’une attaque par sextorsion repose sur un mécanisme simple : l’humiliation comme levier financier. Là où les ransomwares paralysent un système ou bloquent l’accès à des fichiers, Stealerium joue sur un ressort plus intime. La menace de voir circuler une image compromettante pousse la victime à envisager le paiement comme unique solution pour protéger sa réputation.

Ce modèle économique du crime numérique est redoutable, car il réduit considérablement les chances que les victimes signalent l’attaque. Beaucoup préfèrent céder à l’extorsion ou se murer dans le silence, ce qui alimente l’impunité des cybercriminels. Les chercheurs soulignent que le simple fait que l’outil existe et circule librement suffit à créer une menace imminente.

Une arme psychologique redoutable

Contrairement au ransomware, qui bloque des fichiers ou un système, la sextorsion repose avant tout sur la peur et la honte. Le simple fait de montrer à une victime qu’une photo de son visage a été prise au moment de la consultation d’un site pornographique suffit à instaurer une panique. Beaucoup préféreront payer ou se taire plutôt que d’exposer leur situation.

C’est là que réside la gravité de ce type d’attaque : elle touche directement l’intime et réduit la marge de défense psychologique de la victime. Alors qu’un piratage bancaire ou un vol de données peut être signalé aux autorités ou aux banques, l’humiliation personnelle reste difficile à dénoncer.

L’arme des cybercriminels opportunistes

Un autre élément inquiétant tient à la démocratisation de la cybercriminalité. Là où certains malwares sophistiqués nécessitent des compétences techniques avancées pour être déployés, Stealerium est conçu pour être accessible. En rendant ses fonctionnalités disponibles en open source, il ouvre la voie à une multitude d’acteurs opportunistes, des petits escrocs isolés aux réseaux criminels structurés.

Il suffit d’une connaissance rudimentaire du phishing et de quelques ajustements dans le code pour transformer cet outil en machine d’extorsion automatisée. C’est cette simplicité d’usage qui fait craindre une vague future de sextorsion 2.0, dans laquelle la collecte de contenus compromettants ne reposerait plus sur des mensonges, mais sur des images bien réelles.

Une frontière trouble entre recherche et criminalité

Le cas de Stealerium relance le débat récurrent sur les logiciels dits “à visée éducative”. Dans la communauté de la cybersécurité, la diffusion de malwares en open source est parfois défendue comme un moyen de mieux comprendre les attaques et d’améliorer les défenses. Mais lorsqu’un outil intègre directement des fonctions conçues pour capter l’intimité des utilisateurs, la justification pédagogique devient difficile à soutenir.

La frontière entre recherche et criminalité se brouille, et pose une question cruciale : les plateformes comme GitHub devraient-elles censurer ce type de contenu ? Et si oui, qui décide de la limite entre la recherche légitime et l’arme potentielle ?

Source : Proofpoint

Et vous ?

Les plateformes comme GitHub doivent-elles interdire la diffusion de logiciels espions sous couvert d’éducation ?

Comment sensibiliser le grand public à la menace de la sextorsion sans tomber dans une rhétorique de peur ?

Les constructeurs d’ordinateurs devraient-ils intégrer par défaut des protections physiques contre l’activation non désirée des webcams ?

Jusqu’où peut-on aller dans le développement de modèles d’IA capables de reconstruire des environnements visuels avant de franchir une ligne rouge ?

Quelle coopération internationale serait nécessaire pour lutter efficacement contre une cybercriminalité qui s’appuie sur l’humiliation plutôt que sur le vol financier ?

[Matthieu Vergne]

La frontière entre recherche et criminalité se brouille, et pose une question cruciale : les plateformes comme GitHub devraient-elles censurer ce type de contenu ?

Non, ce n'est pas leur rôle. Et cela de manière générale : ce n'est pas aux plateformes privées de décider de ce qui peut ou ne peut pas être rendu public. C'est à la justice à le faire, c'est son job.

Le reste, c'est une question d'éducation : c'est par les infos publiques que le peuple se tient informé, ici des capacités techniques qu'un outil peut avoir, et que d'autres peuvent étudier pour aider à s'en protéger. Sinon, le peuple ne peut que se baser sur des arguments d'autorités. Autorités qui diront bien ce qu'il voudront sans pouvoir les démentir, puisque l'info ne sera pas publique. Si ce genre de chose se retrouve censurée, seules ces autorités seront au fait de ce qui existe, et auront le monopole de l'information et des actions possibles, nous rendant dépendant d'eux pour nous en défendre. C'est organiser la non-éducation des peuples.

L'acceptation de généralisation de la censure à la discrétion des plateformes privées est ce qui alimente les aberrations comme ce que fait Visa sur Steam et autres plateformes. C'est donner le moyen à des acteurs illégitimes de décider ce que les autres peuvent ou ne peuvent pas dire ou faire, et donc une atteinte directe aux libertés des individus.

C'est une chose que la plateforme se soumette à une décision de justice. C'en est une autre qu'elle fasse justice elle-même. Les moyens sont à mettre dans le système éducatif, pour équiper les gens correctement, et judiciaire, pour répondre promptement et légalement.