Illustration éditoriale sur PamStealer, l'infostealer macOS qui valide les mots de passe volés avant de les exfiltrer Illustration éditoriale sur PamStealer, l'infostealer macOS qui valide les mots de passe volés avant de les exfiltrer

Mac : ce nouvel infostealer vérifie vos mots de passe avant de les voler

photo d'une app

Votre Mac vous protège-t-il vraiment mieux qu’un PC contre le vol d’identifiants ? Pas depuis le 2 juillet 2026, date à laquelle Jamf Threat Labs a documenté PamStealer, un infostealer macOS qui teste chaque mot de passe capturé via le framework d’authentification natif d’Apple avant de l’exfiltrer. L’attaquant ne récupère plus une liste brute d’identifiants à trier : il reçoit un lot déjà vérifié, prêt à revendre. Le même utilisateur qui attend encore Apple Intelligence en français, ça fait 14 mois qu’on attend, tenait pour acquis qu’un Mac équipé d’une puce M-série restait à l’abri de ce genre de mésaventure.

Comment fonctionne cet infostealer macOS ? Le programme se fait passer pour Maccy, un gestionnaire de presse-papiers open source légitime et valide le mot de passe saisi par la victime via PAM avant de collecter cookies, identifiants et données de portefeuilles crypto. La chaîne d’infection tient en deux étages, l’un servant d’appât, l’autre de moissonneuse.

Comment PamStealer valide un mot de passe avant de l’exfiltrer

Le premier étage est un fichier AppleScript compilé, distribué dans une image disque, un vecteur bien plus ancien que les Raccourcis qu’Apple documente et met en avant depuis des années. Sous cette enveloppe se cache un payload JavaScript for Automation obfusqué qui télécharge et lance le second étage, un binaire Mach-O écrit en Rust. Ce qui distingue ce dropper des autres : il passe directement par NSURLSession et le pont Objective-C plutôt que par curl, osascript ou zsh, les commandes que la plupart des outils de détection surveillent en priorité.

Une fois lancé, le second étage affiche une fenêtre d’autorisation qui imite à s’y méprendre celles de macOS, demandant le mot de passe pour que Maccy puisse « apporter des modifications ». Le mot de passe saisi est alors testé via PAM, la couche d’authentification que macOS utilise nativement pour vérifier une session ; en cas d’échec, la fenêtre réapparaît jusqu’à obtenir le bon identifiant. Cookies, historique de navigation, identifiants enregistrés dans le trousseau et parfois les portefeuilles crypto sont ensuite siphonnés en silence.

Une fois installé, PamStealer se fait passer pour Finder

Le vol de mot de passe n’est qu’une étape. Pour rester actif sur la machine sans éveiller les soupçons, PamStealer se déguise en processus Finder, se fondant dans les tâches système que personne ne pense à vérifier. Les données collectées sont chiffrées via ChaCha20-Poly1305 avant exfiltration, une couche qui complique l’analyse pour les outils de détection réseau. Autre détail qui trahit un travail pensé pour durer : certaines demandes d’autorisation sont volontairement retardées jusqu’à 40 minutes après le lancement de l’application piégée, un délai calculé pour empêcher toute corrélation évidente entre l’installation et la demande de mot de passe qui suit.

Le faux Maccy qui sert de porte d’entrée

Un utilisateur cherche un gestionnaire de presse-papiers, tape « Maccy » dans un moteur de recherche, clique sur un lien qui ressemble au bon. La même confiance qu’il accorde à son chargeur MagSafe ou à l’affichage Always-On de sa montre, sans jamais vérifier leur provenance, s’applique au clic sur ce lien. Le domaine légitime du projet est maccy.app ; les opérateurs de PamStealer hébergent leur copie sur maccyapp[.]com, un nom presque identique qui ne trompe personne au clavier mais suffit largement au copier-coller d’une barre d’adresse. Jamf Threat Labs note que les échantillons observés varient d’un build à l’autre, mêmes noms de bundle, mêmes identifiants trafiqués, un signe d’un générateur automatisé plutôt que d’un travail artisanal.

Pourquoi un mot de passe vérifié vaut plus cher qu’un mot de passe volé

Avant de dire qu’il s’agit d’un détail technique sans grande conséquence, regardons ce qui change au moment de la revente. La plupart des infostealers macOS capturent tout ce que la victime tape, sans jamais confirmer que l’identifiant fonctionne réellement. Le lot brut qui en résulte contient un mélange d’identifiants valides, de fautes de frappe et de mots de passe déjà changés. Sur les marchés de credentials qui alimentent les campagnes de malware-as-a-service, vendues via des canaux Telegram, cette incertitude fait baisser le prix.

PamStealer inverse la logique. Les données publiées par Unit 42 (Palo Alto Networks) sur l’année 2024 mesurent une hausse de 101% de l’activité des infostealers macOS entre le troisième et le quatrième trimestre, un rythme qui pousse les développeurs de ces outils à se différencier ailleurs que sur le seul volume de vol de mot de passe. Vérifier un mot de passe avant de l’exfiltrer, c’est livrer un produit fini plutôt qu’une matière première à trier. Chaque identifiant garanti fonctionnel se revend plus cher, plus vite, à un acheteur qui n’a plus besoin de tester lui-même le lot.

PamStealer face aux autres infostealers macOS

La famille des stealers Mac s’est étoffée depuis 2023. Chacun garde sa spécificité mais tous partagent la même porte d’entrée : un faux dialogue d’authentification.

Comparatif des principaux infostealers macOS documentés entre 2023 et 2026
Nom Méthode de vol Vecteur d’infection Cible privilégiée Année de documentation
PamStealer Validation du mot de passe via PAM avant exfiltration, second étage Rust Faux site Maccy (maccyapp[.]com) Identifiants, cookies, portefeuilles crypto, Apple Silicon uniquement 2026 (Jamf Threat Labs)
Atomic Stealer (AMOS) Faux prompt AppleScript imitant une mise à jour système Malvertising, faux installeurs, logiciels crackés Mots de passe navigateur, Telegram, Discord, portefeuilles crypto 2023-2024 (SentinelOne, Red Canary)
Poseidon Stealer Dialogue d’authentification via osascript Malvertising, installeurs envoyés par email Bitwarden, KeePassXC, notes SQLite 2024 (Red Canary)
Cthulhu Stealer Faux dialogue de mise à jour, puis prompt MetaMask dédié Installeurs d’applications piégés Portefeuille MetaMask, identifiants système 2024 (écrit en Go)
Infiniti Stealer Faux captcha ClickFix, payload Python compilé via Nuitka Campagnes ClickFix sur pages web compromises Identifiants système, données de navigateur 2026 (Malwarebytes, mars)

Pourquoi seuls les Mac Apple Silicon sont concernés

« Sur un Mac Intel, la configuration chiffrée ne se déverrouille pas et le programme s’arrête », rapporte IT-Connect à partir des données publiées par Jamf.

PamStealer ne fonctionne que sur les Mac équipés d’une puce Apple Silicon, toutes générations confondues. Sur un Mac Intel, encore présent dans un certain nombre de parcs professionnels, la routine de déchiffrement échoue et l’exécution s’interrompt d’elle-même. Ça marche dans la majorité des cas récents puisque le parc Apple Silicon domine désormais les ventes mais cette limite technique montre aussi que le malware a été taillé pour un segment précis plutôt que pour l’ensemble du parc Mac.

Ce qui protège réellement un Mac (et ce qui ne suffit plus)

Les vérifications qui comptent ici tiennent à l’origine du fichier téléchargé, pas à un réglage système enfoui dans un menu Réglages > Général.

  • Vérifier l’URL exacte avant de télécharger une app tierce, maccy.app et non une variante approchante comme maccyapp[.]com
  • Se méfier d’une fenêtre d’autorisation qui apparaît juste après l’installation d’un outil qui n’en réclame pas habituellement
  • Surveiller le Moniteur d’activité après l’installation d’un utilitaire peu connu, à la recherche d’un processus qui consomme du réseau sans raison visible, un réflexe rare chez qui jongle surtout entre ses fenêtres via Stage Manager
  • Garder XProtect et Gatekeeper actifs, ils bloquent une partie des signatures déjà connues mais pas les builds générés à la volée

Le piège classique ici, c’est de confier sa vigilance au seul antivirus intégré. XProtect met à jour ses signatures après coup, une fois l’échantillon repéré par un éditeur comme Jamf ; entre la mise en circulation d’un nouveau build et sa détection, une fenêtre reste ouverte.

Le prochain palier pour les infostealers macOS

Jamf a démontré qu’un stealer macOS peut désormais vérifier un mot de passe système avant de le voler, une sophistication qui manquait à Atomic, Poseidon et Cthulhu. Combien de temps avant qu’un malware du même genre valide aussi les codes de double authentification stockés dans le trousseau, avant de les exfiltrer eux aussi ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *