Infostealers : pourquoi le marché des mots de passe volés est un sujet RGPD, pas seulement cyber
Quelques euros pour un identifiant, une adresse mail et un mot de passe. C'est le tarif moyen, sur les places de marché clandestines, d'une ligne de données volées par un infostealer — ces logiciels malveillants qui aspirent silencieusement les identifiants stockés dans les navigateurs des victimes. Le Monde y consacre ce 19 mai 2026 un article qui décrit, chiffres à l'appui, un marché en croissance et désormais industrialisé. Pour les DPO et RSSI, cette mécanique discrète n'est pas un sujet exotique : c'est l'amont invisible d'une part croissante des violations de données notifiées à la CNIL.
Ce qui s'est passé
Selon les acteurs de la cybersécurité interrogés par Le Monde, plusieurs millions d'identifiants frais sont publiés chaque jour sur des canaux Telegram ou des marketplaces spécialisées. Le mécanisme est désormais bien rodé : un infostealer (Redline, Lumma, Vidar, Stealc…) est diffusé via un email piégé, un faux installeur de logiciel, un crack de jeu ou un module compromis. Une fois exécuté, le malware exfiltre en quelques secondes les mots de passe enregistrés dans Chrome ou Edge, les cookies de session, les portefeuilles cryptos, parfois le contenu du presse-papier.
Le « stealer log » qui en résulte est ensuite découpé, indexé puis revendu — parfois pour quelques euros la ligne, parfois sous forme d'abonnement à des bases dépassant la dizaine de millions d'entrées. Le client final n'est pas un cybercriminel d'élite : c'est un opérateur de fraude au virement, un courtier en accès initial qui revendra l'accès à un groupe de ransomware, ou tout simplement quelqu'un qui veut détourner un compte bancaire ou un service B2B.
Pourquoi c'est un sujet RGPD, pas seulement un sujet cyber
Côté entreprise, l'infostealer ne ressemble pas à une attaque classique. Pas de mail de rançon, pas de chiffrement spectaculaire des serveurs : juste un salarié qui a, un jour, installé un outil douteux sur son poste personnel — puis utilisé ce poste pour se connecter à l'environnement professionnel. Quelques semaines plus tard, ses identifiants apparaissent dans un dump. Un attaquant les achète, se connecte au VPN ou à l'outil SaaS, et exfiltre des données clients sans déclencher d'alerte.
Du point de vue de l'article 4 du RGPD, l'incident relève bien d'une violation de données à caractère personnel : une destruction, perte, altération ou divulgation non autorisée. La compromission d'un compte à privilèges qui accède à un CRM, un ERP ou un outil RH déclenche donc l'obligation de notification à la CNIL prévue par l'article 33 du RGPD, dans un délai de 72 heures à compter de la prise de connaissance. Ce n'est pas l'infostealer en lui-même qui est qualifiant — c'est l'usage qui en est fait sur les comptes de l'organisation.
Et c'est précisément là que beaucoup d'entreprises se retrouvent en difficulté : entre le moment où l'identifiant fuite (sur le poste personnel) et le moment où l'attaquant l'utilise (semaines plus tard), la chaîne de responsabilité est floue. Faute de traçabilité, le DPO découvre l'incident a posteriori, parfois alerté par un tiers — un client, un partenaire, ou la CNIL elle-même.
Ce que ça change pour les organisations
La logique de l'infostealer impose de revoir plusieurs angles morts opérationnels. D'abord, l'authentification : un mot de passe seul, même complexe, ne résiste pas à un vol par malware — il faut généraliser l'authentification multi-facteurs (MFA) sur tous les services exposés et bannir l'enregistrement des mots de passe dans les navigateurs sur les postes ayant accès aux données. Nos recommandations détaillées sont disponibles dans le guide générer un mot de passe sécurisé selon la CNIL.
Ensuite, la détection : les organisations matures intègrent désormais des flux de credential leak monitoring (Have I Been Pwned Enterprise, SpyCloud, Flare, services d'ANSSI ou de la gendarmerie) pour repérer un identifiant de leur domaine qui apparaît dans un dump avant que l'attaquant ne l'utilise. Le guide Leto sur comment identifier un piratage de données personnelles décrit les signaux faibles à surveiller. Pour les particuliers concernés par une fuite identifiée sur leur compte, le guide que faire en cas de fuite de données personnelles récapitule les démarches utiles.
Enfin, l'incident response : il faut être capable, dans les 72 heures, de qualifier l'événement, de cartographier les comptes potentiellement compromis, d'invalider toutes les sessions ouvertes et de documenter la chaîne de causalité. Ce travail s'appuie sur une procédure d'incident écrite, un registre des violations à jour, et — en parallèle — sur les bonnes pratiques rappelées par notre article veille du 19 mai sur les bons réflexes d'organisation et notre guide 5 bonnes pratiques cybersécurité 2026.
Ce que Leto pense de cette décision
Le marché des infostealers révèle un point aveugle réglementaire qu'on évite trop souvent de nommer : aujourd'hui, beaucoup de violations notifiées à la CNIL trouvent leur origine non pas dans une faille du SI de l'entreprise, mais dans l'hygiène numérique d'un salarié sur un appareil personnel. Cela ne dédouane pas le responsable de traitement — l'article 32 du RGPD impose des mesures techniques et organisationnelles adaptées au risque, et le risque est désormais largement documenté. Les DPO qui considèrent encore le sujet « mots de passe / MFA / BYOD » comme un débat technique mineur prennent un risque de conformité direct. À l'inverse, généraliser le MFA, interdire l'enregistrement de credentials professionnels dans les navigateurs personnels, et brancher un monitoring de fuites n'est plus une posture maximaliste : c'est devenu la baseline attendue par la CNIL en 2026.
