Rapport de menaces infostealers, mars 2026 : les chiffres clés et tendances observées par Stealed
En mars 2026, Stealed a indexé 3,27 milliards de lignes d’identifiants compromis provenant de logs infostealers, soit une hausse de 14 % par rapport à février. Cette augmentation s’explique en grande partie par une recrudescence des campagnes de distribution via Telegram et par l’apparition de nouvelles variantes de stealers d’origine asiatique. Ce rapport mensuel synthétise les données propriétaires collectées par notre plateforme pour aider les équipes de sécurité à adapter leurs priorités de surveillance.
Quels volumes d’identifiants volés ont été détectés en mars 2026 ?
Notre infrastructure de collecte a traité en moyenne 108 millions de nouvelles lignes d’identifiants par jour au cours du mois de mars, avec un pic à 142 millions le 17 mars. Ce pic correspond à la publication simultanée de plusieurs archives massives sur des canaux Telegram russophones et sinophones.
Sur l’ensemble du mois, les données se répartissent ainsi :
| Indicateur | Valeur | Variation vs. février |
|---|---|---|
| Lignes d’identifiants indexées | 3,27 milliards | +14 % |
| Logs uniques traités | 18,4 millions | +9 % |
| Domaines racine distincts affectés | 4,1 millions | +11 % |
| Machines infectées identifiées (HWID) | 6,8 millions | +17 % |
| Canaux Telegram surveillés | 1 247 | +63 |
| Volume journalier moyen | 108 M lignes/jour | +12 % |
Le nombre de machines infectées identifiées par leur identifiant matériel (HWID) a augmenté de 17 %, ce qui indique une accélération réelle du rythme d’infection et pas simplement une redistribution de données anciennes.
Quelles familles d’infostealers dominent le paysage en mars 2026 ?
L’écosystème des infostealers reste dominé par cinq familles qui représentent ensemble 87 % des logs collectés par Stealed ce mois-ci. La répartition a cependant évolué de manière notable.
| Famille | Part des logs (mars) | Part des logs (février) | Tendance |
|---|---|---|---|
| LummaC2 | 31,4 % | 28,7 % | En hausse |
| RedLine | 22,1 % | 24,3 % | En baisse |
| Raccoon v2 | 15,8 % | 16,1 % | Stable |
| Vidar | 10,3 % | 9,8 % | En légère hausse |
| StealC | 7,6 % | 5,9 % | En forte hausse |
| Autres | 12,8 % | 15,2 % | En baisse |
LummaC2 consolide sa position de leader pour le troisième mois consécutif. Sa capacité à contourner les protections de chiffrement des cookies Chromium et son modèle de distribution décentralisé en font l’outil privilégié des opérateurs à grande échelle. Nous avons observé 14 nouvelles variantes de son loader au cours du mois.
RedLine, autrefois dominant, poursuit son déclin relatif. L’opération coordonnée des forces de l’ordre menée fin 2024 contre son infrastructure continue de produire ses effets, même si des forks indépendants maintiennent une activité significative.
StealC est la progression la plus marquante du mois : +1,7 point en un seul mois. Ce stealer, positionné comme successeur technique de Vidar, gagne en popularité grâce à des mises à jour fréquentes et un prix d’accès inférieur à celui de ses concurrents (environ 75 dollars par mois).
Quels pays sont les plus touchés par les infections infostealer ?
La répartition géographique des machines infectées, basée sur l’analyse des adresses IP contenues dans les logs, révèle des concentrations persistantes dans certaines régions.
| Rang | Pays | Part des infections | Variation |
|---|---|---|---|
| 1 | Inde | 14,7 % | +1,2 pt |
| 2 | Brésil | 12,3 % | +0,8 pt |
| 3 | États-Unis | 11,9 % | -0,3 pt |
| 4 | Indonésie | 7,2 % | +0,5 pt |
| 5 | France | 5,4 % | +0,2 pt |
| 6 | Allemagne | 4,8 % | -0,1 pt |
| 7 | Turquie | 4,1 % | +0,4 pt |
| 8 | Mexique | 3,6 % | +0,3 pt |
| 9 | Russie | 3,2 % | -0,7 pt |
| 10 | Vietnam | 2,9 % | +0,1 pt |
L’Inde et le Brésil restent en tête du classement, portés par la combinaison d’un parc informatique en forte croissance, d’un usage répandu de logiciels piratés et d’une adoption encore limitée des solutions EDR sur les postes de travail.
La France se maintient au 5e rang mondial avec 5,4 % des infections. Pour les entreprises françaises, cela représente environ 367 000 machines compromises au cours du seul mois de mars, dont une proportion significative de postes professionnels identifiables par leurs noms de domaine d’entreprise.
Le recul de la Russie dans le classement (-0,7 point) s’explique par le déploiement de mécanismes de géofencing plus systématiques dans les nouvelles variantes de stealers, confirmant que de nombreux opérateurs protègent explicitement les machines situées dans les pays de la CEI.
Quels secteurs d’activité sont les plus ciblés ?
En croisant les domaines compromis avec les classifications sectorielles, Stealed identifie les industries les plus représentées dans les logs du mois de mars.
Finance et banque (22,3 % des domaines ciblés). Le secteur financier reste la cible principale. Les identifiants liés à des portails de banque en ligne, des plateformes de trading et des services de paiement sont les plus valorisés sur les marchés cybercriminels. Nous avons identifié des identifiants compromis touchant 73 % des 50 plus grandes banques européennes.
Technologie et SaaS (18,7 %). Les accès aux consoles d’administration cloud (AWS, Azure, GCP), aux outils de développement (GitHub, GitLab, Jira) et aux plateformes SaaS représentent une catégorie en croissance constante. Un seul log contenant des tokens de session pour un environnement de production cloud peut permettre un accès non autorisé à l’infrastructure complète d’une entreprise.
Santé (11,2 %). Les établissements de santé sont particulièrement vulnérables en raison de parcs informatiques vieillissants et d’une adoption encore faible de l’authentification multifacteur sur les systèmes métier. Les données de santé volées se revendent à prix élevé sur les marchés dark web.
Éducation et recherche (8,9 %). Les universités et les organismes de recherche sont touchés de manière disproportionnée, principalement parce que les populations étudiantes utilisent massivement des logiciels piratés et que les politiques de sécurité des postes personnels sont souvent inexistantes.
Quelles nouvelles tendances de distribution observe-t-on ?
Deux tendances majeures se dégagent des données de mars 2026.
Telegram comme vecteur de distribution dominant
Telegram s’impose désormais comme le canal de distribution principal des logs infostealers, dépassant les forums traditionnels du dark web. En mars, 68 % des nouvelles données collectées par Stealed provenaient de canaux Telegram, contre 54 % en décembre 2025.
Cette migration s’explique par plusieurs facteurs : la rapidité de diffusion, l’absence de modération efficace, la possibilité de créer des canaux éphémères et l’automatisation via des bots Telegram qui permettent aux acheteurs de rechercher et d’acheter des logs spécifiques en temps réel. Le modèle économique évolue vers un accès par abonnement, certains canaux proposant des forfaits mensuels entre 200 et 500 dollars pour un accès illimité aux logs frais.
Pour comprendre comment ces identifiants volés sont ensuite compilés et exploités, consultez notre article sur les combo lists et le credential stuffing.
L’émergence de stealers d’origine sinophone
Tendance significative observée depuis janvier 2026 : l’apparition de familles de stealers développées par des acteurs sinophones. Historiquement dominé par des développeurs russophones, l’écosystème des infostealers voit désormais émerger des projets documentés en mandarin, distribués sur des forums et des applications de messagerie chinoises.
En mars, nous avons identifié trois nouvelles familles de stealers (que nous désignons provisoirement sous les noms JADE-01, JADE-02 et JADE-03) qui présentent des caractéristiques distinctes : ciblage spécifique des navigateurs chinois (QQ Browser, 360 Browser, Sogou), exfiltration vers des infrastructures hébergées en Asie du Sud-Est, et utilisation de techniques d’obfuscation différentes de celles habituellement observées dans les stealers russophones. Ces familles représentent encore moins de 2 % du volume total, mais leur progression mérite une surveillance attentive.
Quelles recommandations pour les équipes de sécurité ?
Sur la base des données de mars 2026, Stealed formule les recommandations suivantes pour les équipes de sécurité.
Prioriser la surveillance des identifiants exposés. La prévention seule ne suffit plus. Avec 108 millions de nouvelles lignes d’identifiants indexées chaque jour, la probabilité qu’un collaborateur de votre organisation soit compromis augmente chaque semaine. Une solution de monitoring en temps réel est désormais indispensable.
Renforcer les protections contre LummaC2. Mettez à jour les signatures EDR pour détecter les dernières variantes de LummaC2. Surveillez les comportements caractéristiques : accès anormaux aux fichiers de profil des navigateurs Chromium, communications réseau vers des domaines générés algorithmiquement (DGA) et exécution de processus depuis des répertoires temporaires.
Auditer les accès aux environnements cloud. La croissance des identifiants SaaS et cloud dans les logs volés rend indispensable un audit régulier des tokens de session, des clés API et des accès aux consoles d’administration. Réduisez la durée de vie des sessions et activez les alertes sur les connexions depuis des emplacements inhabituels.
Sensibiliser les utilisateurs aux vecteurs de distribution. Les campagnes de distribution via YouTube (faux tutoriels de cracks), Discord (pièces jointes dans des serveurs de gaming) et Telegram (fausses applications) restent les principaux vecteurs d’infection. Des campagnes de sensibilisation ciblées auprès des populations les plus exposées réduisent significativement le risque.
Activer la surveillance de vos domaines. Créez un compte Stealed pour surveiller en temps réel l’apparition de vos domaines dans les logs infostealers. Notre plateforme détecte et indexe les fuites dans les minutes qui suivent leur publication, vous permettant de réagir avant que les identifiants ne soient exploités.
Méthodologie
Ce rapport est basé sur les données collectées et indexées par la plateforme Stealed entre le 1er et le 28 mars 2026. Les chiffres présentés reflètent les volumes d’identifiants uniques détectés dans les sources surveillées (canaux Telegram, forums cybercriminels, marketplaces dark web). L’identification des familles de stealers repose sur l’analyse des structures de logs, des métadonnées et des signatures caractéristiques de chaque famille. Les données géographiques sont extraites des adresses IP présentes dans les logs. Les pourcentages sectoriels sont calculés à partir du croisement des domaines racine compromis avec les bases de classification industrielle.
Le prochain rapport de menaces Stealed sera publié début mai 2026.
Co-fondateur & CEO
CEO et co-fondateur de Stealed, Jason apporte sa vision business et son expertise en sécurité offensive pour orienter la stratégie de détection des menaces.
Protégez vos identifiants avec Stealed
Détectez les fuites de vos identifiants en temps réel. Échangeons sur vos besoins lors d'une démo.
Réserver une démo