Le côté obscur du jeu : outils Discord et Steam pour la cybercriminalité

Lucas Morel
8 juillet 2026

On estime que plus de trois milliards de personnes jouent aux jeux vidéo. Cela représente près de 43% de la population mondiale ! Les cybercriminels le savent – ​​et ils ont passé des années à transformer les plates-formes auxquelles les joueurs font le plus confiance en une infrastructure destinée aux logiciels malveillants, au blanchiment d’argent et aux marchés d’identifiants volés.

Le jeu pose un problème de cybercriminalité qui va bien au-delà des tricheurs et des fauteurs de troubles. Les mêmes plates-formes sur lesquelles les joueurs organisent des raids, partagent des mods et échangent des skins rares sont devenues de véritables écosystèmes adjacents au darknet, hébergeant des marchés criminels, des serveurs de commande et de contrôle et des pipelines sophistiqués de blanchiment d’argent. Deux plates-formes en particulier se trouvent au centre de ce projet, Discorde et Vapeur.

Les environnements de jeu reposent sur la confiance. Les joueurs téléchargent régulièrement des mods d’étrangers, cliquent sur des liens d’invitation de personnes qu’ils n’ont jamais rencontrées et transmettent leurs informations de connexion pour accéder à de nouveaux serveurs ou versions bêta. Cette culture d’ouverture est exactement ce que les attaquants exploitent.

En 2025, des chercheurs en sécurité ont documenté des millions de fichiers malveillants déguisés en mods, outils de triche et jeux piratés pour des titres comme GTA, Minecraft et Call of Duty. Derrière chaque fausse triche se trouvait la même charge utile : un logiciel malveillant infostealer conçu pour récupérer les mots de passe de navigateur enregistrés, les cookies de session Steam, les jetons Discord et les clés de portefeuille crypté, le tout en un seul coup, à partir d’une seule machine infectée.

L’économie des logiciels malveillants en tant que service (MaaS) a stimulé cette situation. De nouveaux voleurs comme Katz et Abeille (ces derniers au prix de seulement 300 $/mois sur les forums criminels) ont été construits en mettant explicitement l’accent sur Discord et les plateformes de jeux. Katz a même injecté du JavaScript malveillant directement dans les propres fichiers d’application de Discord pour établir une porte dérobée persistante. Faible barrière à l’entrée, objectifs à forte valeur ajoutée : c’est une formule qui fonctionne.

Discord a été conçu pour être un outil communautaire de jeu, construit avec des serveurs persistants, des canaux vocaux, le partage de fichiers, des robots, des liens d’invitation, des autorisations précises et la possibilité de rendre les serveurs complètement privés. Cependant, il est également devenu largement utilisé comme outil d’infrastructure criminelle pour exactement les mêmes raisons. De fausses pages de connexion Steam, PlayStation et Xbox ont été largement distribuées via Discord en 2025 et ont été promues via des messages promettant des skins gratuits, un accès bêta ou des objets exclusifs. Ingénierie sociale classique, fournie via une plateforme de confiance.

Alors que les forces de l’ordre ont détruit les principaux marchés du darknet au début des années 2020, de nombreuses communautés criminelles ont migré vers Discord, échangeant l’anonymat de Tor contre la facilité d’utilisation et la collaboration en temps réel de Discord. Illicit Trade FR surveille un grand nombre de serveurs et de chaînes hébergés sur Discord qui sont utilisés pour discuter et partager des activités malveillantes. Ce ne sont pas des opérations amateurs. Ils sont organisés par produit, avec des canaux dédiés aux listes déroulantes (paires nom d’utilisateur/mot de passe provenant de bases de données violées), des didacticiels sur la fraude, des jetons de session volés et des outils de piratage. Ils maintiennent des serveurs miroir spécifiquement pour survivre aux retraits et reconstituer les communautés interdites en quelques heures.

Figure 1 : Chaîne Discord proposant des services de piratage

Discord en tant que réseau de diffusion de logiciels malveillants

Lorsque vous téléchargez un fichier sur Discord, il est hébergé sur le propre réseau de diffusion de contenu (CDN) de Discord et génère un lien direct permanent. Les attaquants exploitent cela en permanence. Ils téléchargent des charges utiles malveillantes sur le CDN de Discord, puis distribuent les liens via des campagnes de phishing, de fausses invitations à la communauté de jeu ou des DM. L’infrastructure de Discord étant fiable et souvent explicitement inscrite sur la liste blanche des outils de sécurité de l’entreprise, le trafic malveillant peut se fondre dans l’activité normale.

Mi-2025, des chercheurs ont découvert une campagne exploitant une faille dans le système de liens d’invitation de Discord pour rediriger les victimes via des chaînes de redirection silencieuses se terminant par des logiciels malveillants à plusieurs étapes. Les charges utiles comprenaient AsyncRAT, Skuld Stealer et ChromeKatz, toutes conçues pour drainer les informations d’identification, les cookies du navigateur et les jetons de session Discord actifs. L’attaque a fonctionné parce que les utilisateurs faisaient confiance à la marque Discord.

Les États-nations utilisent également la discorde

Il ne s’agit pas seulement d’une activité criminelle. Les acteurs des États-nations ont adopté Discord comme infrastructure de commandement et de contrôle (C2) parce qu’il est très difficile à détecter. Lorsque les logiciels malveillants communiquent via l’API de Discord, le trafic est crypté, distribué à l’échelle mondiale et impossible à distinguer du robot légitime d’un développeur.

Fin 2025, le système basé sur Rust ChaosBot un logiciel malveillant a été découvert dans le réseau d’une société de services financiers, utilisant Discord pour créer un canal de texte privé nommé d’après l’ordinateur de la victime et recevoir des commandes via celui-ci. Par ailleurs, le groupe APT aligné sur la Chine Ver Web déployé une porte dérobée appelée EchoCreep spécialement conçu pour utiliser Discord pour C2, ciblant les institutions gouvernementales et les entreprises en Europe et en Asie. Un autre groupe lié à la Chine, GopherWhispera utilisé Discord pour exfiltrer des données lors d’attaques contre des entités gouvernementales mongoles. Discord n’est plus seulement une plateforme de jeu : il fait partie de la boîte à outils de l’État-nation.

La plateforme Steam de Valve est le plus grand magasin de jeux sur PC au monde, avec plus de 130 millions de comptes enregistrés et des données de paiement stockées pour la plupart d’entre eux. Cela en fait une cible extrêmement attractive et un véhicule efficace pour la criminalité financière.

Comptes Steam à vendre

En mai 2025, un acteur malveillant a répertorié ce qu’il prétendait être une base de données de 89 millions de comptes Steam sur un forum du dark web, demandant 5 000 $ pour démarrer. Le monde du jeu vidéo a paniqué. Valve a enquêté et déterminé que l’ensemble de données était principalement constitué de codes d’authentification SMS expirés, et non de mots de passe ou de données de paiement, probablement issus d’une compromission de la chaîne d’approvisionnement de Twilio, le fournisseur de communications qui transmet les messages de vérification SMS de Steam, un rappel utile que la sécurité de votre plate-forme est aussi forte que celle de son fournisseur tiers le plus faible.

Les compromissions de comptes Steam les plus courantes sont de moindre technologie : bourrage d’informations d’identification avec des mots de passe réutilisés à partir d’autres violations, phishing via de fausses pages de connexion promues sur Discord et logiciels malveillants infostealer qui capturent les jetons de session Steam actifs des PC infectés en contournant complètement l’authentification à deux facteurs.

Les objets virtuels comme véhicule de blanchiment d’argent

L’économie des objets virtuels de Steam a été systématiquement exploitée à des fins de blanchiment d’argent. Les criminels utiliseront des cartes de crédit volées pour acheter des objets ou des devises échangeables dans le jeu, puis revendront ces objets sur les marchés secondaires contre de l’argent réel.

Le cas le plus documenté : Counter-Strike : Clés de conteneur Global Offensive. Ceux-ci étaient librement négociables sur le marché de la communauté Steam jusqu’à ce que Valve le ferme en 2019 après avoir découvert que des réseaux frauduleux mondiaux avaient pris le relais. Au moment de la fermeture, Valve a reconnu que presque tous les achats clés importants sur le marché provenaient de la fraude. Une enquête de Vice a révélé que 90 % des transactions de coffres à butin CS:GO dans le monde étaient utilisées pour blanchir des fonds illicites.

Les V-Bucks de Fortnite ont connu le même schéma : des cartes volées utilisées pour acheter des devises en gros, puis vendues à prix réduit sur les marchés du dark web et les plateformes du marché gris. L’analyse académique des données de transaction du Steam Marketplace a depuis confirmé qu’il est possible d’identifier des modèles de blanchiment d’argent avec des méthodes de détection simples, et a découvert de nombreux comptes justifiant une enquête.

Il est tentant de considérer la cybercriminalité dans les jeux vidéo comme un problème de consommation, un problème qui touche les joueurs individuels et non les entreprises. Ce cadre est dangereusement incomplet. Un employé dont l’ordinateur de jeu personnel est compromis par un voleur d’informations ne perd pas seulement sa bibliothèque Steam. Récolte des voleurs d’informations tout à partir d’une machine infectée : chaque mot de passe de navigateur enregistré, chaque jeton de session active, chaque identifiant stocké. Une machine de jeu compromise est souvent un point d’accès d’entreprise compromis.

Les mêmes serveurs Discord qui échangent des informations d’identification de joueur sont des combolistes d’entreprises commerciales. La même infrastructure C2 utilisée pour contrôler les logiciels malveillants ciblant les jeux est déployée contre les sociétés de services financiers. Le chevauchement entre la culture du jeu et la culture cybercriminelle, en particulier parmi les jeunes acteurs de la menace, signifie que ces écosystèmes sont profondément liés et non parallèles.


Illicit Trade FR surveille en permanence les forums du Dark Web, les chaînes Telegram, les serveurs Discord et les sites de collage, faisant apparaître les informations d’identification de la plate-forme de jeu, les jetons de session et l’activité des acteurs menaçants pertinents pour l’exposition de votre organisation. Entrer en contact pour en savoir plus sur nos capacités de renseignement sur le darknet.