Veille IA Veille IA sans buzz : pour stratèges québécois.
La veille

PamStealer

PamStealer

PamStealer

Aussi appelé : Pam Stealer

Terme Intermédiaire 🛡️ Sécurité et éthique

Mis à jour le

PamStealer est un infostealer macOS découvert en 2026 qui se déguise en application Maccy, valide le mot de passe volé via l'interface PAM du système, puis exfiltre navigateurs, trousseau et portefeuilles de cryptomonnaies.

📖 Définition

PamStealer est un logiciel malveillant de type infostealer (voleur d'informations) qui cible spécifiquement les Mac équipés de puces Apple Silicon. Découvert en 2026 par les chercheurs de Jamf Threat Labs, il se fait passer pour Maccy, une application légitime de gestion du presse-papiers, distribuée via de faux sites imitant le site officiel. La victime télécharge une image disque contenant un script AppleScript compilé qui, une fois ouvert dans l'éditeur de script, déclenche un second stade écrit en Rust. Ce second stade se fait passer pour des composants système comme Finder ou les mises à jour logicielles, ce qui complique sa détection. Sa particularité : il affiche une fausse boîte de dialogue imitant les invites natives de macOS et vérifie réellement, via l'interface PAM du système, que le mot de passe saisi par la victime est le bon avant de l'exfiltrer, en plus de voler l'historique des navigateurs, le contenu du trousseau iCloud, les extensions de portefeuilles de cryptomonnaies et le presse-papiers.

💬 En termes simples

C'est comme un cambrioleur déguisé en livreur de confiance qui te demande poliment ton code de porte « pour vérifier qu'il fonctionne », confirme qu'il est bon, puis repart avec la combinaison et le contenu de ta maison.

🎯 Exemple concret

Une personne cherche à télécharger Maccy et tombe sur un site qui imite parfaitement le vrai (maccyapp au lieu de maccy.app). Le fichier téléchargé est en réalité un script AppleScript compilé qui, une fois exécuté, installe PamStealer sur son Mac.

💡 Le saviez-vous ?

PamStealer redemande le mot de passe tant qu'il n'est pas valide, car il le vérifie réellement via l'API PAM du système avant de l'exfiltrer, une technique documentée par The Hacker News et Jamf Threat Labs en juillet 2026.

❓ Questions fréquentes

Comment PamStealer infecte-t-il un Mac ?
Via un faux site imitant Maccy, une application légitime de gestion du presse-papiers. La victime télécharge une image disque contenant un AppleScript compilé qui déclenche un second stade écrit en Rust une fois exécuté dans l'éditeur de script.
Pourquoi PamStealer utilise-t-il l'interface PAM de macOS ?
Pour vérifier localement, via l'API PAM du système, que le mot de passe saisi par la victime est le bon avant de l'exfiltrer, ce qui rend le vol de données plus fiable pour les attaquants.
Comment se protéger de PamStealer ?
Toujours télécharger les applications depuis leur site officiel vérifié, se méfier d'une app qui demande d'être ouverte dans l'éditeur de script plutôt que d'être installée normalement, et rester attentif à toute demande inhabituelle du mot de passe administrateur.

🔗 Termes liés

🏷️ Catégorie parente

🔐 Connexion rapide

Entrez votre courriel pour recevoir un code à 6 chiffres.

Pas besoin de mot de passe ni d'inscription. Entrez votre courriel, recevez un code par courriel, et c'est tout !