Cet article a été mis à jour le 22 décembre 2025..
Telegram est depuis longtemps un outil de communication prisé des cybercriminels. Gratuit, crypté et relativement anonyme, Telegram héberge depuis des années plusieurs forums et places de marché criminels. Telegram est particulièrement prolifique en matière d'hébergement de sites frauduleux. distribution des bûches de voleur des canaux qui présentent un risque énorme tant pour les entreprises que pour les consommateurs
Récemment, cependant, il semblait que cela pourrait changer. L'arrestation en 2024 du PDG de Telegram, Pavel Durov a suscité des inquiétudes chez les acteurs malveillants. Cela s'est avéré particulièrement vrai après l'annonce que Telegram coopérerait plus étroitement avec les forces de l'ordre. en divulguant les numéros de téléphone et les adresses IP des utilisateurs soupçonnés d'activité criminelle.
Surveillez les chaînes Telegram illicites en parallèle du Dark Web
Telegram est le Plateforme n° 1 Flare détecte la distribution de journaux de voleurs de données. Il analyse automatiquement et en continu les groupes Telegram illicites, les forums du dark web et les sites de partage de fichiers, vous alertant dès que vos identifiants, votre marque ou vos dirigeants sont mentionnés.
Cependant, Telegram reste un élément incontournable de l'écosystème de la cybercriminalité. Elle reste l'application de messagerie la plus populaire dans le milieu criminel. Cet article explique pourquoi Telegram reste l'une des sources de données les plus importantes à surveiller en 2026.
Pourquoi les cybercriminels utilisent-ils Telegram ?
Telegram est une application de messagerie avec des fonctionnalités de confidentialité et de cryptage améliorées. L'application fonctionne sur les plates-formes mobiles et de bureau populaires et synchronise les messages sur tous les appareils enregistrés d'un utilisateur. Outre les conversations privées en tête-à-tête, les utilisateurs de Telegram peuvent s'abonner à des chaînes sur lesquelles les propriétaires publient du contenu ou ils peuvent devenir membres de groupes dans lesquels tous les participants discutent de sujets.
Bien que les cybercriminels utilisent principalement une combinaison d'applications de messagerie, nos recherches montrent qu'en décembre 2025, Telegram restait l'outil de communication le plus utilisé par les acteurs malveillants.
L'écosystème Stealer Log sur Telegram
Telegram est la plateforme numéro un pour la diffusion des journaux de vol d'informations, vestiges d'infections par des logiciels malveillants de type vol d'informations. Ces journaux contiennent l'ensemble des identifiants d'un utilisateur, ses cookies de session, son historique de navigation et d'autres données de son appareil. Dans les années 2020, ils sont devenus le principal vecteur d'attaques visant à prendre le contrôle de comptes, tant pour les entreprises que pour les particuliers. Un seul journal de vol d'informations peut compromettre des dizaines de comptes sur des plateformes SaaS d'entreprise, des portails bancaires et les réseaux sociaux, faisant d'une infection la porte d'entrée vers une compromission à grande échelle.
Les groupes de télégrammes illicites offrent un meilleur anonymat
Les cybercriminels doutent du degré d'anonymat qu'ils obtiennent lorsqu'ils utilisent forums Web sombre que les administrateurs peuvent facilement surveiller. Bien que les adresses IP et les géolocalisations soient automatiquement masquées grâce à un système de routage spécifique, la crainte d'être surveillé et de voir son identité révélée demeure. Telegram met en avant son chiffrement de bout en bout et l'absence d'administrateurs traditionnels pour superviser ses groupes et ses conversations privées, ce qui est un atout pour préserver l'anonymat.
Depuis l'arrestation de Pavel Durov, Telegram coopère plus activement avec les forces de l'ordre, mais le taux de coopération reste faible. L'immensité de l'écosystème de la cybercriminalité complique la tâche des forces de l'ordre qui doivent cibler et suivre les acteurs sur différents canaux, et les enjeux juridictionnels internationaux complexifient encore la situation.
Anonymat perçu des groupes Telegram illicites
Telegram offre par défaut un chiffrement de bout en bout des messages, ce qui contribue à éviter les attaques de type « homme du milieu » susceptibles d'intercepter les messages en transit. Les petits groupes sur Telegram offrent un sentiment d'anonymat, car ils peuvent être difficiles à identifier pour les forces de l'ordre et les équipes de sécurité. Les forums du dark web et sur le dark web Il existe également une option de chiffrement, mais les acteurs malveillants doivent utiliser un logiciel comme Pretty Good Privacy (PGP) pour garantir le chiffrement, ce qui est moins pratique.
Les groupes de télégrammes illicites proposent des opérations renforcées
Un autre facteur important est la façon dont Telegram offre aux groupes de piratage et aux loups solitaires un moyen de renforcer leurs opérations. L'obligation d'enregistrer un domaine pour proposer des services et des outils à la vente rend les opérations des acteurs de la menace vulnérables aux attaques par déni de service distribué (DDoS) qui peuvent les mettre hors ligne. Les chaînes Telegram contournent cette exigence pour un domaine et garantissent que les cybercriminels peuvent rester en ligne tant que le service Telegram reste en ligne.
Menaces courantes sur Telegram
On observe sur les chaînes Telegram illicites bon nombre des mêmes menaces que sur les marchés et forums spécialisés du dark web. Dans bien des cas, les acteurs malveillants ont quitté directement les sites Tor traditionnels pour se tourner vers Telegram, proposant exactement les mêmes biens et services.
Dans d'autres cas, Telegram a servi de plateforme de secours aux principaux forums du dark web. Par exemple, suite aux récentes fermetures de plusieurs instances de Breach Forums, de nouveaux canaux Telegram sont rapidement apparus, permettant aux acteurs malveillants de maintenir la communication.
Appareils infectés et chaînes de télégrammes illicites
Bien que les acteurs malveillants puissent acheter et vendre des appareils infectés sur des plateformes de vente de logiciels malveillants établies comme Russian Market, on les trouve plus fréquemment sur Telegram. Telegram est la plaque tournante de l'écosystème des voleurs d'informations ; les acteurs malveillants l'utilisent activement pour distribuer des licences de logiciels malveillants de vol d'informations, des journaux d'infection et même comme infrastructure dorsale pour leurs campagnes d'infection.
Les acteurs malveillants diffusent les journaux de vol de données de diverses manières selon le canal. Souvent, ils distribuent gratuitement les journaux les plus anciens, tout en monétisant l'accès à un canal privé contenant les journaux les plus récents. Cela crée une opportunité de monétisation attrayante pour les criminels dans un écosystème dynamique, facile à administrer et à étendre.
Vous voulez en savoir plus sur les malwares voleurs ? Lisez notre rapport : Disséquer le cycle de vie des logiciels malveillants Dark Web Stealer avec le framework MITRE ATT&CK.
Chaînes de télégrammes illicites et identifiants volés
Des milliards d'identifiants volés circulent sur le dark web. Entre de mauvaises mains, ces identifiants peuvent être utilisés à mauvais escient pour provoquer d'importantes fuites de données chez les particuliers et les organisations. Les chaînes Telegram illicites constituent un nouveau vecteur courant qui facilite la distribution régulière de ces identifiants volés. Dans certains cas, cette distribution est gratuite ; dans d'autres, les identifiants peuvent être achetés via des mécanismes automatisés sur des chaînes spécifiques.
Pour en savoir plus sur les chaînes Telegram et les identifiants volés, consultez nos articles sur les menaces. d’identifiants compromis et sur informations d'identification divulguées et géographie.
Chaînes de télégrammes illicites et robots OTP
Grâce aux bots de mots de passe à usage unique (bots OTP), les acteurs malveillants peuvent tenter de collecter massivement les codes d'authentification à deux facteurs (2FA) de leurs victimes. Une recherche effectuée en 2022 sur Telegram avec les termes « bot OTP » et « bot 2FA » a généré 1 700 résultats. En 2025, ces mêmes termes ont donné plus de 1.1 million de résultats.
Il existe une demande active pour les robots OTP, car nombre de ces résultats affichent une activité dans les minutes suivant la requête. Généralement, les acteurs malveillants achètent d'abord l'accès aux identifiants de connexion au compte bancaire, puis recherchent la disponibilité du bot OTP dans les canaux Telegram axés sur la fraude.
Les cybercriminels utilisent généralement des bots OTP pour des fraudes financières personnelles plutôt que pour des attaques contre des entreprises. Cependant, cette méthode pourrait être appliquée à des attaques contre des entreprises. Par exemple, si une fuite de données expose les identifiants de connexion d'une entreprise, un acteur malveillant pourrait trouver les numéros de téléphone des victimes grâce à l'OSINT, puis les utiliser pour obtenir des mots de passe à usage unique et contourner ainsi l'authentification à deux facteurs.
Vous voulez en savoir plus sur les bots OTP ? Jetez un œil à notre Pleins feux sur les menaces : marchés de télégrammes illicites et robots OTP.
Telegram rendra-t-il le Dark Web redondant ?
Malgré l'émergence de Telegram en tant que nouvelle frontière du dark web, les cybercriminels continueront probablement à utiliser les forums souterrains du dark web. Ces forums offrent une gamme de fonctionnalités que Telegram n'offre pas, telles que des systèmes de notation intégrés, qui permettent aux acteurs d'établir des réputations. L'approche précédemment non interventionniste de Telegram et son refus de coopérer avec les forces de l'ordre ont également changé avec la suppression de plusieurs chaînes et groupes illicites qui rassemblaient de nombreux abonnés.
Il est peu probable que le dark web soit abandonné de sitôt en tant que plaque tournante de la cybercriminalité. Attendez-vous à ce que les cybercriminels répartissent leurs opérations entre les applications de messagerie et les forums et marchés souterrains traditionnels. Une surveillance complète nécessite une couverture à la fois du dark web et des applications de messagerie. Surveillance de Telegram est plus important que jamais en 2026, car les cybercriminels continuent d'utiliser largement l'application.
Les acteurs malveillants vont-ils quitter Telegram pour d'autres plateformes de messagerie ?
Bien que les cybercriminels utilisent d'autres plateformes, il est peu probable qu'ils abandonnent les communautés qu'ils ont bâties sur Telegram. On observe certes une certaine migration, mais jusqu'à présent, seul Signal semble avoir profité des mesures prises contre Telegram. Il est important de noter, cependant, que les criminels ne se limitent pas à une seule plateforme. La plupart d'entre eux semblent utiliser Telegram ainsi que d'autres applications de messagerie, et il leur arrive même de changer d'application en fonction des données qu'ils partagent.
En résumé : les vieilles habitudes ont la vie dure. De même que Telegram n’a pas fait disparaître le dark web, il est peu probable que d’autres services de messagerie fassent disparaître Telegram.
Surveillance de l'activité de télégramme illicite avec Flare
La fusée Gestion de l'exposition aux menaces (TEM) La solution permet aux organisations de détecter, hiérarchiser et atténuer de manière proactive les types d’expositions couramment exploitées par les acteurs de la menace. Notre plateforme analyse automatiquement le Clear & Dark Web et les canaux Telegram illicites 24h/7 et XNUMXj/XNUMX pour découvrir des événements inconnus, hiérarchiser les risques et fournir des informations exploitables que vous pouvez utiliser instantanément pour améliorer la sécurité.
Flare s'intègre à votre programme de sécurité en 30 minutes et remplace souvent plusieurs outils SaaS et open source. Apprenez-en davantage en vous inscrivant à notre essai gratuit ou explorez des alternatives aux autres plateformes CTI en consultant notre Concurrents de Zerofox blog.
