Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
Hier — 21 septembre 2025Flux principal

Qu’est-ce que le Q-Day ? Le jour scruté par les experts de l’informatique quantique

21 septembre 2025 à 15:32

Viendra un jour où un ordinateur quantique sera capable de déchiffrer en quelques secondes la cryptographie qui sécurise une bonne partie de nos échanges sur Internet. Ce jour, communément appelé le Q-Day, vient toutefois avec son lot de mythes et de fantasmes. Alors qu'en est-il réellement ?

À partir d’avant-hierFlux principal

La Chine interdit à ses entreprises d’acheter des puces Nvidia

18 septembre 2025 à 17:31

Les autorités chinoises ont annoncé cette semaine interdire aux géants comme ByteDance et Alibaba d’acheter certaines puces Nvidia. Selon elles, l'entreprise américaine aurait « violé la loi anti-monopole ». Une décision qui rappelle l’embargo américain contre Huawei.

Nvidia rachète 4 % d’Intel : l’opération sauvetage de Trump en pleine action

18 septembre 2025 à 15:31

En échange d'un investissement de 5 milliards de dollars, Nvidia va devenir un des plus grands actionnaires d'Intel, en crise depuis quelques années. L'action Intel pourrait s'envoler de +30 % à l'ouverture du marché, alors que la Maison-Blanche a aussi racheté 10 % de l'entreprise.

Avec la fin de Windows 10, une pétition tente le tout pour le tout

17 septembre 2025 à 09:48

Windows 10 poubelle

C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.

Face à la mort de Windows 10, une pétition tente le tout pour le tout

17 septembre 2025 à 08:48

Windows 10 poubelle

C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.

La fin de Windows 10 est imminente, et une pétition tente le tout pour le tout

16 septembre 2025 à 15:51

Windows 10 poubelle

C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.

C’est bientôt la fin de Windows 10, et une pétition tente d’empêcher l’inarrêtable

16 septembre 2025 à 15:50

Windows 10 poubelle

C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.

L’excellente carte graphique RTX 5070 Ti est à son meilleur prix sur Amazon

10 septembre 2025 à 11:26

[Deal du jour] Idéale pour profiter de vos jeux dans les meilleures conditions possibles, la GeForce RTX 5070 Ti de Nvidia est à un très bon prix sur Amazon.

Microsoft libère enfin le code source du BASIC 6502

Par : Korben
4 septembre 2025 à 16:09

Allez, on va jouer à un jeu !

Tapez “STORD0” dans un vieil émulateur Commodore et regardez ce qui se passe. Non, ce n’est pas une commande documentée mais bien un Easter egg planqué dans Microsoft BASIC depuis 1977.

Et si je vous parle de ça, c’est parce que j’ai une bonne nouvelle. En effet, Microsoft vient de libérer le code source de ce BASIC 6502 historique sous licence MIT. Quarante-sept ans après sa création donc, on peut enfin fouiller dans les entrailles du programme qui a fait tourner des millions de machines mythiques de l’ère 8-bits. Et croyez-moi, c’est une mine d’or pour comprendre comment deux jeunes de 20 ans ont posé les fondations de ce qui deviendrait plus tard, le plus gros empire logiciel de la planète.

L’histoire commence donc en 1975 . Gates et Allen viennent de créer Microsoft (encore avec un tiret à l’époque : Micro-Soft) et leur premier produit, c’est un interpréteur BASIC pour l’Altair 8800. Le truc, c’est qu’ils n’avaient même pas la machine, du coup, ils ont développé l’émulateur sur un PDP-10 de Harvard, en se basant uniquement sur les specs du processeur Intel 8080. Et quand ils ont finalement testé leur code sur une vraie machine, ça a marché du premier coup.

La chance des débutants, on va dire ^^.

Deux ans plus tard, le MOS 6502 débarque. Moins cher que l’Intel 8080, plus simple, il va devenir LE processeur de la révolution micro-informatique. Chuck Peddle, son créateur chez MOS Technology, avait un objectif simple qui était de concevoir un processeur à 25 dollars au lieu de 300 pour l’Intel 8080. Mission accomplie évidemment… et devinez qui voulait absolument un BASIC pour accompagner son nouveau processeur ?

Commodore, qui venait de racheter MOS Technology.

La négociation entre Jack Tramiel (le légendaire patron de Commodore) et Bill Gates est même devenue mythique dans l’industrie. Tramiel, survivant de l’Holocauste devenu roi de la calculatrice puis de l’informatique, était réputé pour être un négociateur impitoyable. Sa philosophie c’était “Business is war” … Je vous laisse imaginer la mentale du bonhomme.

Et face à lui, Bilou Gates, 22 ans, lunettes énormes, qui demandait initialement 3 dollars par machine vendue. Tramiel a ri et proposé un deal unique : 25 000 dollars cash pour une licence perpétuelle. Gates a accepté…

Aujourd’hui, si Microsoft avait gardé les royalties à 3 dollars par unité comme Gates le voulait initialement, avec 17 millions de Commodore 64 vendus selon Guinness World Records , ils auraient touché plus de 50 millions de dollars rien que sur cette machine.

Mais le génie de Gates et Allen, c’était pas forcement le commerce, c’était surtout leurs capacités technique car adapter un BASIC conçu pour l’Intel 8080 au 6502, c’était pas de la tarte. Les deux processeurs avaient des architectures complètement différentes. L’Intel 8080 avait plus de registres, le 6502 compensait avec sa page zéro ultra-rapide. L’équipe Microsoft (qui comptait alors une dizaine de personnes) a dû réécrire une bonne partie du code en assembleur 6502, optimiser chaque routine pour tenir dans la mémoire limitée de l’époque… Je vous parle quand même de machines avec 4 Ko de RAM, hein, pas 4 Go !

Le code source qu’on peut consulter aujourd’hui révèle tous ces détails fascinants sur ces optimisations. Par exemple, la routine de multiplication utilise une technique de décalage et addition super élégante pour économiser des cycles processeur. Les chaînes de caractères sont gérées avec un système de garbage collection rudimentaire mais efficace. Chaque octet comptait, chaque cycle processeur était précieux. C’est de l’artisanat pur du code, à des années-lumière de nos frameworks JavaScript de 500 Mo.

L’impact de ce BASIC 6502 sur l’industrie a d’ailleurs été monumental. Steve Wozniak s’en est inspiré pour créer Integer BASIC puis Applesoft BASIC sur l’Apple II. Atari l’a utilisé comme base pour son Atari BASIC. Le TRS-80 Color Computer de Tandy/Radio Shack tournait avec. Des millions d’enfants et d’adolescents dont je fais parti, ont appris à programmer avec, tapant leurs premiers “10 PRINT HELLO” et “20 GOTO 10” sur ces machines.

Microsoft explique dans l’annonce officielle que cette libération fait partie d’un effort plus large pour préserver l’histoire de l’informatique. Certes, le Computer History Museum avait déjà publié certaines versions en 2014, mais là, c’est Microsoft directement qui ouvre ses archives. Le dépôt GitHub contient plusieurs versions historiques, incluant celles pour l’OSI Challenger 1P, le KIM-1, et bien sûr les différentes révisions Commodore.

Pour les nostalgiques et les curieux, le code est donc un vrai régal. Les commentaires en assembleur racontent une histoire. On voit l’évolution des bugs corrigés, les optimisations ajoutées version après version. Le fameux Easter egg STORD0/STORDO dont je vous parlais en intro est là aussi dans le code source. C’est un simple saut conditionnel vers une routine qui affiche “MICROSOFT!”, probablement ajouté lors d’une session de coding nocturne, quand Gates et Allen se permettaient un peu de fun dans leur code ultra-sérieux.

Au-delà de la nostalgie, cette libération a une vraie valeur éducative. Les étudiants en informatique peuvent étudier comment on programmait quand chaque byte comptait. Les développeurs d’émulateurs peuvent corriger des bugs vieux de 40 ans. Les historiens de l’informatique ont accès aux sources primaires d’un moment clé de notre industrie. C’est comme si on ouvrait les carnets de Léonard de Vinci, mais pour les geeks.

Microsoft a également choisi la licence MIT, ultra-permissive donc vous pouvez forker, modifier, vendre, faire ce que vous voulez avec ce code.

C’est un peu ironique quand on pense que Gates avait écrit sa fameuse “Open Letter to Hobbyists” en 1976 , se plaignant du piratage de son BASIC Altair. Le jeune Bill qui pestait contre le partage gratuit de logiciels se serait bien marré en voyant Microsoft open-sourcer son travail aujourd’hui.

Ce qui est fou, c’est quand même de réaliser que ce petit bout de code a généré une industrie de plusieurs trilliards de dollars. Sans ce BASIC 6502, pas de Commodore 64 (la machine la plus vendue de l’histoire), pas d’Apple II tel qu’on le connaît, pas de génération de programmeurs formés dans les années 80. Microsoft aurait peut-être mis la clé sous la porte sans ces revenus initiaux et l’histoire de l’informatique personnelle aurait été complètement différente.

L’équipe de Microsoft en 1978

Maintenant, pour ceux qui veulent jouer avec, le code compile toujours avec les assembleurs modernes comme ca65. Vous pouvez donc le faire tourner dans n’importe quel émulateur 6502. Certains ont déjà commencé à créer des versions modernisées, ajoutant des commandes, corrigeant des bugs historiques, ou portant le code sur des architectures modernes. Le projet est donc hyper vivant sur GitHub, avec déjà des dizaines de forks et de pull requests.

Un détail amusant c’est que ce code révèle que Microsoft avait prévu dès le départ la possibilité d’étendre le langage avec des commandes custom. Une architecture modulaire en 1977, c’est fort ! Certains constructeurs comme Commodore ont d’ailleurs ajouté leurs propres extensions pour gérer les sprites, le son, les graphismes. Et le code BASIC de Microsoft, solide comme un roc, continuait de tourner de la même façon sur toutes les machines.

Cette libération arrive également à un moment symbolique car l’informatique rétro n’a jamais été aussi populaire. Des projets comme le Commander X16 de David Murray tentent de recréer l’esprit des machines 8-bits avec du hardware moderne et ce BASIC 6502 open source pourrait devenir la base de nouveaux projets éducatifs, de nouvelles machines rétro, ou simplement servir à comprendre d’où on vient.

Alors oui, c’est juste du vieux code. Mais c’est LE vieux code. Celui qui a permis à une génération entière de découvrir la programmation. Celui qui a transformé Microsoft de startup dans un garage en empire mondial. Celui qui cache encore, 47 ans plus tard, des Easter eggs et des secrets.

Donc, si vous avez 5 minutes, allez jeter un œil au repo GitHub . C’est un voyage dans le temps, à l’époque où 16 Ko de RAM c’était le futur, et où deux jeunes pouvaient changer le monde avec quelques milliers de lignes d’assembleur.

Source

Code Red - Le ver qui voulait faire tomber la Maison Blanche

Par : Korben
29 août 2025 à 13:37
Cet article fait partie de ma série de l’été spécial hackers . Bonne lecture !

Ça va, elle vous plait toujours ma série de l’été ? Je suis loin d’avoir fini mais on fera une petite pause bientôt. Toutefois, rassurez-vous, j’en ai encore sous le pied. La preuve avec cette nouvelle histoire d’un ver informatique qui a foutu le bordel sur Internet en juillet 2001.

Code Red. Un nom qui fait encore trembler les admins système qui l’ont vécu. Des centaines de milliers de serveurs infectés en quelques heures, des milliards de dégâts, et la Maison Blanche obligée de changer l’adresse IP de son site web pour éviter une attaque DDoS massive.

Et tout ça, découvert par deux hackers qui buvaient du Mountain Dew Code Red dans leur bureau de Californie un vendredi soir. Mais le plus dingue dans cette histoire, c’est surtout que la vulnérabilité exploitée avait été découverte un mois plus tôt.

Microsoft avait même publié le patch MS01-033, mais personne ne l’avait installé. Du coup, le 19 juillet 2001, Internet a découvert ce que pouvait faire un ver capable de se propager automatiquement sans intervention humaine….

Voici donc l’histoire complète de Code Red, depuis la découverte de la faille jusqu’à la panique mondiale.

L’histoire commence avec Riley Hassell, qui travaille chez eEye Digital Security à Aliso Viejo en Californie. En juin 2001, ce chercheur en sécurité passe ses soirées à chercher des vulnérabilités dans les logiciels populaires. Pas pour faire le mal, juste pour le défi, pour la gloire dans la communauté underground. Riley fait partie de cette génération de hackers qui considère que trouver des failles est un sport intellectuel.

Un soir, Riley s’attaque à IIS (Internet Information Services), le serveur web de Microsoft. IIS propulse des millions de sites web dans le monde, des petites entreprises aux gouvernements et si vous trouvez une faille dedans, c’est le jackpot. Riley commence donc à fuzzer l’ISAPI (Internet Server Application Programming Interface) d’IIS, envoyant des requêtes malformées pour voir comment le serveur réagit. Il faut savoir qu’à l’époque, IIS 5.0, intégré à Windows 2000, était devenu une cible de choix avec ses nouvelles fonctionnalités WebDAV et ses méthodes d’authentification avancées.

Et là, bingo. Riley découvre que si vous envoyez une requête GET avec une URL super longue au fichier idq.dll (utilisé par l’Indexing Service d’IIS), le serveur plante. Mieux encore, avec la bonne séquence de caractères, vous pouvez exécuter du code arbitraire sur le serveur. C’est ce qu’on appelle un buffer overflow, le Saint Graal des vulnérabilités. Plus précisément, la faille se trouve dans la façon dont idq.dll gère les requêtes puisque le filtre ISAPI .ida (indexing service) ne vérifie pas correctement les limites de ses buffers d’entrée.

Riley et l’équipe d’eEye publient leur découverte le 18 juin 2001. Microsoft réagit immédiatement en publiant le bulletin de sécurité MS01-033 et un patch. L’alerte est claire, cette vulnérabilité est critique car elle permet de prendre le contrôle total d’un serveur IIS avec des privilèges SYSTEM. Le bulletin précise aussi que la vulnérabilité affecte IIS 4.0 sur Windows NT 4.0 et IIS 5.0 sur Windows 2000.

Sauf que voilà, personne n’installe ce patch. C’est dramatique, mais les admins système sont débordés, les entreprises ont peur de “casser” leurs applications, et puis bon, qui va vraiment exploiter cette faille ? Un mois passe et les serveurs restent vulnérables…

Les premiers signes d’alerte apparaissent finalement le 12 juillet 2001. Ken Eichman, ingénieur sécurité senior chez Chemical Abstract Services, remarque quelque chose d’étrange dans ses logs. Trois tentatives d’accès illégales depuis une seule adresse IP, apparemment en provenance de l’Université de Foshan en Chine. Et le lendemain, le 13 juillet, c’est l’escalade : 611 attaques depuis 27 serveurs différents. Eichman, contributeur régulier de DShield.org, alerte alors Johannes Ullrich. Le samedi 14 juillet, les sources d’attaque dépassent les 1 000. Le lundi 16 juillet, la confirmation tombe : c’est un ver.

A l’époque, les experts pensent à des scans de routine, donc rien d’alarmant. Mais ils ont tort car le ver est programmé pour rester relativement dormant jusqu’au 19 juillet inclus. C’est donc une énorme bombe à retardement.

Car quelque part dans le monde, un ou plusieurs programmeurs anonymes ont en réalité créé quelque chose de dangereusement nouveau… Ils ont pris la vulnérabilité découverte par Riley et codé le premier véritable ver informatique à propagation automatique. Pas besoin d’envoyer des emails, pas besoin d’interaction humaine. Le ver scanne Internet, trouve les serveurs IIS vulnérables, les infecte, et utilise ces nouveaux zombies pour scanner encore plus vite. Le code, écrit en assembleur Win32 Intel, ne fait que quelques milliers d’octets… C’est une œuvre d’art malveillante en miniature.

Le ver exploite astucieusement l’absence d’ASLR (Address Space Layout Randomisation) et de DEP (Data Execution Prevention) dans Windows 2001. Les DLLs se chargent toujours aux mêmes adresses sur tous les systèmes. Comme ça, le ver sait que l’adresse mémoire 0x7801CBD3 pointera vers MSVCRT.DLL, qui est la bibliothèque Microsoft Visual C Runtime. À cette adresse précise, il trouve l’instruction machine CALL [EBX], et ce registre EBX contient une adresse sur la pile modifiée par le fameux buffer overflow. Du coup le CPU exécute directement le code du ver. C’est du génie maléfique !

Dans les bureaux d’eEye Digital Security en Californie, Marc Maiffret et Ryan Permeh travaillent tard ce jeudi 19 juillet. Maiffret, qui n’a que 20 ans, est déjà une légende dans le milieu. Ancien hacker sous le pseudo “Chameleon”, il a fondé eEye à 17 ans après une visite du FBI chez lui. Ironie du sort, quelques semaines après cette visite, il s’associait avec Firas Bushnaq pour créer la société. Ryan Permeh, son collègue et ami, est quant à lui surnommé “Overflow Ninja” pour son expertise en reverse engineering.

Marc Maiffret (à gauche), Ryan Permeh (au milieu) et Riley Hassel (à droite) - source

Vers 20 heures, leurs systèmes de détection s’affolent. Un truc bizarre se passe sur Internet. Des milliers de serveurs IIS tentent de se connecter à d’autres serveurs avec des requêtes étranges contenant “/default.ida?” suivi d’une longue chaîne de caractères de ‘N’ et de shellcode encodé. Maiffret et Permeh commencent alors à analyser le trafic. Et ce qu’ils découvrent les glace.

C’est un ver qui exploite la vulnérabilité MS01-033 découverte par leur collègue Riley Hassell. Mais contrairement aux virus classiques, ce ver n’a pas besoin d’intervention humaine. Il scanne les adresses IP de manière pseudo-aléatoire avec une seed fixe, cherchant le port 80 (HTTP). Quand il trouve un serveur IIS non patché, il envoie sa charge utile et prend le contrôle du serveur.

Une fois installé, le ver fait plusieurs choses. D’abord, sur les systèmes en anglais, il défigure le site web en affichant un message : “HELLO! Welcome to http://www.worm.com ! Hacked By Chinese!” Un message provocateur qui fait immédiatement penser à une attaque chinoise.

En effet, le contexte géopolitique est tendu car trois mois plus tôt, le 1er avril 2001, un avion espion américain EP-3 et un chasseur chinois J-8 sont entrés en collision au-dessus de la mer de Chine méridionale. Le pilote chinois Wang Wei est mort, et l’équipage américain a été détenu pendant 11 jours. S’en est suivie une cyber-guerre entre hackers patriotes des deux pays. Ainsi, la Honker Union chinoise et des groupes américains se sont affrontés, défaçant des centaines de sites.

Maiffret et Permeh réalisent l’ampleur de la catastrophe. Ils ont besoin d’un nom de code pour l’incident. Sur le bureau, une canette de Mountain Dew Code Red, la nouvelle boisson caféinée rouge cerise lancée quelques semaines plus tôt. “Code Red”, dit-il. Le nom est parfait car c’est une alerte rouge pour Internet.

Mais ce n’est que la partie visible de l’iceberg. Le ver installe aussi une backdoor, désactive le service d’indexation d’IIS pour éviter les plantages, et surtout, il contient une bombe logique car à partir du 20 juillet, et jusqu’au 28 de chaque mois, tous les serveurs infectés lanceront une attaque DDoS coordonnée contre l’IP 198.137.240.91. C’est celle de www.whitehouse.gov . Des centaines de milliers de serveurs zombies s’apprêtent à bombarder simultanément le site du président américain. C’est de la cyberguerre, ni plus ni moins, cependant, le ver a une faiblesse : il cible une IP hardcodée, et pas le nom de domaine.

Les deux chercheurs passent la nuit à analyser le ver. Le code est relativement simple mais très efficace. Avec ses 100 threads simultanés pour scanner Internet, chaque serveur infecté devient un nouveau point de départ pour l’infection. C’est de la croissance exponentielle pure. Le ver cherche d’abord kernel32.dll en mémoire, scannant la plage 77E00000h–78000000h par incréments de 64K à la recherche de la signature ‘MZ’. S’il ne trouve rien, il essaie à partir de 0BFF00000h, supposant qu’il tourne peut-être sur Windows 9x plutôt que NT.

Le plus brillant dans le code, c’est la méthode de génération des adresses IP. Grâce à un générateur pseudo-aléatoire avec une seed fixe basée sur la date, tous les vers scannent les mêmes adresses dans le même ordre, évitant ainsi de saturer inutilement les mêmes cibles. C’est de l’optimisation de haute volée. Si SP1 ou SP2 est installé sur la machine, ou si elle tourne sous Windows NT 4.0, le ver ne peut pas se propager et le service WWW Publishing d’IIS plante simplement.

Au matin du 19 juillet, eEye publie une alerte d’urgence. Mais c’est déjà trop tard. Le ver se propage à une vitesse folle. À midi, plus de 100 000 serveurs sont infectés. David Moore et Colleen Shannon du CAIDA (Cooperative Association for Internet Data Analysis) à l’UC San Diego observent des chiffres hallucinants : en 14 heures, Code Red infecte 359 000 serveurs. Le pic d’infection atteint plus de 2 000 nouveaux hôtes par minute. Les réseaux commencent à saturer sous le trafic de scan.

Les CERT (Computer Emergency Response Team) publient l’Advisory CA-2001-19 à 14h00 et Microsoft republie en urgence son patch avec des avertissements en gros caractères. Les FAI commencent à bloquer le trafic suspect mais le ver est déjà partout. Le FBI et le NIPC (National Infrastructure Protection Center) lancent une enquête.

La communauté de la sécurité informatique est en ébullition. Sur Bugtraq, SecurityFocus, et les mailing lists, les experts échangent frénétiquement des informations. Comment stopper le ver ? Comment protéger les serveurs ? Comment éviter l’attaque DDoS contre la Maison Blanche prévue pour le lendemain ?

Car c’est ça le vrai danger. Si des centaines de milliers de serveurs attaquent simultanément whitehouse.gov, non seulement le site tombera, mais les dégâts collatéraux seront énormes. Les routeurs Internet pourraient saturer, les DNS pourraient flancher. C’est potentiellement Internet tout entier qui pourrait être affecté. 43% des serveurs infectés sont aux États-Unis, 11% en Corée, 5% en Chine, 4% à Taiwan.

La Maison Blanche prend la menace au sérieux. Une réunion de crise est organisée avec Akamai Technologies, qui héberge le site. La décision est radicale : Il faut changer l’adresse IP de whitehouse.gov. Si le ver attaque l’ancienne IP hardcodée, il ne touchera qu’une adresse vide.

Le 19 juillet au soir, Akamai procède au changement d’IP en urgence. L’opération est délicate : il faut propager la nouvelle adresse dans tous les serveurs DNS du monde. Normalement, ça prend 24 à 48 heures. Ils n’ont que quelques heures….

Les dégâts sont considérables car des milliers de sites web affichent “Hacked by Chinese!” au lieu de leur contenu normal. Des entreprises perdent des millions en revenus. Les équipes IT travaillent jour et nuit pour patcher et nettoyer les serveurs. Le coût total sera estimé à 2,6 milliards de dollars par Computer Economics : 1,1 milliard en coûts de nettoyage et 1,5 milliard en perte de productivité.

Mais le pire est évité. Le 20 juillet à 20h00, quand les serveurs infectés lancent leur attaque DDoS, ils bombardent l’ancienne IP de whitehouse.gov. Et rien. Ouf, la Maison Blanche a réussi son pari. Le stratagème a fonctionné parfaitement.

De plus, le ver Code Red original a une particularité : il ne survit pas au redémarrage. Il persiste uniquement en mémoire vive. Redémarrez le serveur, et il disparaît. Mais si vous ne patchez pas, il sera réinfecté en quelques minutes par un autre serveur zombie. C’est Sisyphe version numérique. Le ver est d’ailleurs programmé pour arrêter de scanner après minuit UTC et reprendre son activité le 1er et le 19 de chaque mois.

Et le 31 juillet, sans surprise, le ver se réactive comme prévu provoquant une nouvelle vague d’infections, et un nouveau chaos. Cette fois, les admins sont mieux préparés, mais les dégâts restent importants. Le CERT publie l’Advisory CA-2001-23 “Continued Threat of the Code Red Worm”.

Et puis, le 4 août 2001, c’est l’escalade. Une nouvelle variante apparaît : Code Red II. Malgré son nom, c’est un ver complètement différent, écrit par d’autres auteurs qui ont juste inclus la chaîne “CodeRedII” dans leur code. Au lieu de défigurer les sites, il installe une backdoor permanente qui survit aux redémarrages.

Code Red II modifie le système pour permettre l’exécution de commandes à distance. Il copie cmd.exe (l’invite de commandes Windows) dans les répertoires web comme “scripts” et “msadc”. N’importe qui peut maintenant exécuter des commandes sur les serveurs infectés via une simple URL. C’est la porte ouverte au pillage de données. Le ver installe aussi un rootkit appelé “Virtual Root” et n’a pas de fonction DDoS mais cherche à infecter les systèmes proches géographiquement.

Code Red II a été programmé pour se propager plus agressivement en Chine. Si le système infecté est configuré en chinois, le ver lance alors 600 threads de scan au lieu de 300. C’est drôle, vu le message “Hacked by Chinese!” de la première version. Le ver s’arrête de fonctionner après le 1er octobre 2001.

Bien sûr la communauté chinoise proteste contre l’amalgame créé par le message et le gouvernement chinois dément toute implication. Les experts en sécurité sont également sceptiques car le message semble être une diversion. eEye pense que le ver vient de Makati City aux Philippines, le même endroit d’où venait le ver VBS LoveLetter .

En réalité, l’origine de Code Red reste encore aujourd’hui mystérieuse car contrairement à ILOVEYOU (de Onel de Guzman aux Philippines) ou Solar Sunrise (deux ados californiens), aucun auteur n’a jamais été identifié. Les théories abondent bien sûr. Certains pensent que ce seraient des hackers chinois de la Honker Union, d’autres un groupe criminel russe, ou un script kiddie américain provocateur, ou encore un false flag d’une agence de renseignement… Le mystère reste entier…

Ce qui est sûr, c’est que Code Red a fait découvrir au monde la puissance des vers à propagation automatique. Plus besoin de social engineering, plus besoin que des utilisateurs cliquent sur des pièces jointes. Un ver se propage maintenant tout seul, exploitant la négligence des admins.

Grâce à sa découverte, Marc Maiffret devient une célébrité du jour au lendemain. Ce jeune de 20 ans qui a baptisé Code Red est invité sur CNN, interrogé par le FBI, consulté par le Congrès américain…etc. Ryan Permeh, plus discret mais tout aussi brillant, continue à l’époque son travail de reverse engineering et dans les mois qui suivent, lui et Maiffret découvriront des dizaines d’autres vulnérabilités critiques dans les produits Microsoft. De son côté, Permeh co-fondera plus tard Cylance, vendue à BlackBerry pour 1,4 milliard de dollars en 2020, puis rejoindra SYN Ventures comme partenaire.

Riley Hassell, le découvreur de la vulnérabilité originale, dira bien plus tard dans une interview : “J’ai publié la vulnérabilité de manière responsable. Microsoft a publié un patch. Ce n’est pas ma faute si personne ne l’a installé.” Il travaillera ensuite pour @stake, Immunity, et d’autres grandes boîtes de sécurité.

L’impact de Code Red sur l’industrie sera d’ailleurs profond et durable débutant en janvier 2002, par Bill Gates qui lancera l’initiative “Trustworthy Computing” afin que la sécurité soit au cœur du développement. Le projet Windows Server 2003 sera même arrêté pendant deux mois pour former tous les développeurs à la sécurité. C’est un tournant historique pour Microsoft.

Microsoft accélère aussi son programme de patchs mensuels “Patch Tuesday”, lancé en octobre 2003 et les entreprises commencent à prendre au sérieux la gestion des vulnérabilités. Les outils de scan automatique et de déploiement de patchs deviennent la norme et Windows Server Update Services (WSUS) est développé.

Code Red inspire aussi une nouvelle génération de malwares tel que, en janvier 2003, SQL Slammer (seulement 376 octets !) qui infectera 75 000 serveurs en 10 minutes, doublant de taille toutes les 8,5 secondes. Un record jamais battu. Puis en août 2003, Blaster exploitera une faille RPC Windows. Il y a eu également Welchia/Nachi qui tentera de nettoyer Blaster… un ver “bénéfique” mais qui en réalité causera autant de problèmes. Sans oublier Conficker en 2009 qui infectera des millions de machines.

Le Mountain Dew Code Red, la boisson qui a donné son nom au ver, profite également de la publicité gratuite. Lancé quelques semaines avant l’incident, le soda devient rapidement culte dans la communauté tech et les hackers et les admins système adoptent la boisson comme leur carburant officiel.

En 2002, David Moore, Colleen Shannon et leurs collègues du CAIDA publieront une analyse détaillée dans IEEE Security & Privacy et leurs conclusions sont glaçantes : si Code Red avait été mieux conçu, il aurait pu infecter la quasi-totalité des serveurs vulnérables en moins d’une heure. L’article devient une référence, mais aussi un manuel involontaire pour les futurs créateurs de vers. C’est le dilemme éternel de la recherche en sécurité qui est de publier pour éduquer et protéger, au risque d’armer les attaquants.

Bref, la prochaine fois que Windows vous harcèle pour installer des mises à jour, pensez à Code Red et cliquez sur “Installer maintenant” !!!

Sources : Wikipedia - Code Red , CAIDA Analysis of Code-Red , ACM SIGCOMM - Code-Red case study , Microsoft Security Bulletin MS01-033 , CERT Advisory CA-2001-19 , GIAC - The Code Red Worm , Scientific American - Code Red , GAO Report on Code Red , Microsoft Trustworthy Computing , Houston Chronicle - Code Red costs

Apple préparerait un MacBook pas cher avec une puce d’iPhone 16 Pro

Apple pourrait lancer un MacBook pas cher à seulement 599 dollars, mais avec une spécificité. En effet, ce dernier pourrait être doté d'une puce d'iPhone 16 Pro.

L’article Apple préparerait un MacBook pas cher avec une puce d’iPhone 16 Pro est apparu en premier sur Tom’s Hardware.

full

thumbnail

Un risque d’espionnage ? La Chine réclame à Nvidia des « preuves de sécurité convaincantes »

2 août 2025 à 09:09

Les tensions commerciales entre Washington et Pékin sur la question cruciale des semi-conducteurs n'en finissent plus. Nvidia se retrouve cet été au cœur des soupçons : la Chine exige des « preuves de sécurité convaincantes » concernant ses puces H20, soupçonnées d’abriter des portes dérobées.

Proton vient défier Google avec un outil de sécurité crucial pour l’internaute

1 août 2025 à 13:23

Proton Authenticator

Proton annonce le lancement de Proton Authenticator, un logiciel pour smartphone et pour ordinateur pour gérer ses codes pour la double authentification. L'outil vient challenger les ténors du genre, comme Google Authenticator.

Proton tente de rendre Google inutile avec ce nouvel outil de sécurité

1 août 2025 à 13:21

Proton Authenticator

Proton annonce le lancement de Proton Authenticator, un logiciel pour smartphone et pour ordinateur pour gérer ses codes pour la double authentification. L'outil vient challenger les ténors du genre, comme Google Authenticator.

comment vérifier si un mail est frauduleux

Par : malekalmorte
29 juillet 2025 à 09:46

Les emails frauduleux sont aujourd’hui l’un des moyens les plus utilisés par les cybercriminels pour piéger leurs victimes.
Derrière un message bien formulé peut se cacher une tentative de vol d’identifiants, d’injection de malware ou une arnaque visant à vous faire transférer de l’argent.

Ces attaques ne visent pas que les professionnels ou les “gros comptes” : tout le monde peut être ciblé, à partir d’une simple adresse email.

Dans cet article, vous allez apprendre à :

  • repérer les signes qui doivent vous alerter (adresse douteuse, lien suspect, pièce jointe piégée, etc.),
  • vérifier techniquement un email (affichage complet, en-têtes, liens masqués),
  • et surtout quoi faire en cas de doute, sans tomber dans le piège.

Ces bonnes pratiques s’appliquent aussi bien dans un cadre personnel que professionnel, et permettent de réduire considérablement les risques d’attaque.

Les signes qui doivent vous alerter

Tous les emails frauduleux ne sont pas évidents à repérer. Certains sont grossiers, d’autres très bien construits et capables de tromper même des utilisateurs expérimentés.
Voici les principaux éléments à vérifier pour détecter un email potentiellement dangereux :

Une adresse d’expéditeur suspecte ou usurpée

L’un des premiers éléments à vérifier est l’adresse email réelle de l’expéditeur — pas uniquement le nom affiché. Il est facile d’écrire “Amazon Service” ou “Support Impôts” dans l’en-tête d’un mail, mais l’adresse qui se cache derrière en dit souvent long.

Adresse email expéditeur suspecte dans un mail malveillant

Les cybercriminels utilisent souvent des adresses qui ressemblent fortement à des adresses officielles, en jouant sur des variantes :

  • utilisation d’un nom de domaine proche : @service-amazon.com, @orange-client.fr
  • ajout ou suppression de lettres, tirets ou sous-domaines : @gouvfr.com, @amendes-info.fr, @xxx-gouv.fr

Cette technique s’appelle le typosquatting : elle consiste à enregistrer des noms de domaines qui imitent de vrais domaines (officiels ou connus) pour tromper les victimes.

👉 Exemple réel : des campagnes de phishing ou de SMS frauduleux prétendant provenir de l’ANTAI (Agence nationale de traitement automatisé des infractions) ont utilisé des domaines comme paiement-amendes-gouvfr.com ou antai-securite.info.
À lire : Arnaque au retard d’amende non payé (phishing)

Visuellement, cela peut passer inaperçu, surtout sur mobile où l’adresse email complète est souvent cachée.
]Il ne faut JAMAIS se fier à l’adresse de l’expéditeur.
Pour plus de détails, lire : Mail et Phishing : Pourquoi il faut se méfier de l’adresse de l’expéditeur

Pour en savoir plus sur cette méthode de tromperie : Combosquatting : inciter à faire confiance à des URL malveillants et Typosquatting : quand les pirates imitent les vrais sites

Un objet ou un contenu trop vague, alarmant ou tentant

Un email frauduleux utilise souvent un ton urgent ou menaçant : “Votre compte sera suspendu”, “Dernier avis avant suppression”, ou “Vous avez gagné un iPhone”.
Parfois, le message reste vague, impersonnel ou vous pousse à cliquer sans explication. Le but est simple : vous faire réagir vite, sans réfléchir.

Vérifier les liens reçus

Avant de cliquer sur un lien, prenez le temps de survoler l’adresse (sans cliquer). Lien affiché et destination réelle peuvent ne pas correspondre. Il arrive aussi que des URL soient raccourcies (bit.ly, tinyurl) ou hébergées sur des domaines obscurs. Si l’adresse semble incohérente ou inconnue, évitez d’y accéder.

Liens suspects dans un mail malveillant

Pièces jointes inattendues

Les pièces jointes sont l’un des moyens les plus courants pour diffuser des malwares. Les fichiers dangereux les plus utilisés sont les .exe, .js, .vbs, .scr, ou encore certains documents Office piégés comme les .docm (Word avec macro active).

Mais pour éviter d’être détectés par les antivirus ou éveiller les soupçons, ces fichiers malveillants sont souvent dissimulés dans une archive compressée de type .zip ou .rar.
L’internaute pense ouvrir une pièce jointe banale, mais c’est à l’intérieur que se cache le vrai danger.

Virus par Email : Ce qu'il faut savoir pour les éviter

L’astuce de la double extension :

Une autre méthode courante consiste à utiliser une double extension. Par exemple, un fichier malveillant peut être nommé facture.pdf.exe ou photo.jpg.scr.
Sur Windows, si les extensions sont masquées (ce qui est le cas par défaut), l’utilisateur ne verra que “facture.pdf” — et pensera à tort qu’il s’agit d’un document.

Voici un exemple où un fichier ZIP de facture, semble être un fichier PDF, mais regardez la colonne Type.

Les extensions de fichiers et la sécurité : les astuces utilisées pour infecter les internautes

L’attaquant a même pris le soin d’ajouter des espaces pour véritablement cacher l’extension si la colonne est trop petite.

Les extensions de fichiers et la sécurité : les astuces utilisées pour infecter les internautes

👉 Ainsi, en réalité, c’est un exécutable déguisé. À lire : Extensions de fichiers masquées sur Windows et les problèmes de sécurité

Si vous n’attendez pas de pièce jointe, même venant d’un contact connu, ne l’ouvrez jamais sans vérification préalable. Et surtout :

  • n’activez pas les macros dans un document Office,
  • passez toujours le fichier dans un outil comme VirusTotal.

Analyser le style du message

Enfin, le style d’écriture peut trahir l’arnaque. Un texte truffé de fautes, des tournures maladroites, des logos pixelisés ou une signature inhabituelle sont autant d’indices.
Les messages sont parfois mal traduits ou générés automatiquement, ce qui les rend faciles à repérer avec un peu d’attention.

Vérifier techniquement un email

Lorsque le contenu d’un email vous semble suspect, il est utile d’aller plus loin que la simple lecture. Quelques vérifications techniques simples permettent de mieux comprendre si un message est frauduleux, sans nécessiter de compétences avancées.

Afficher l’adresse complète de l’expéditeur

Dans de nombreux clients email, seul le nom de l’expéditeur est visible par défaut. Il est important d’afficher l’adresse réelle pour vérifier qu’elle correspond bien à l’entreprise ou au contact supposé.
Par exemple, un message affiché comme « Amazon Support » peut en réalité venir de [email protected].

Sur Outlook, Gmail, Thunderbird ou sur smartphone, il est généralement possible d’appuyer ou de cliquer sur le nom pour voir l’adresse complète.

Survoler les liens sans cliquer

Un lien peut sembler légitime, mais rediriger vers un site piégé.
Avant de cliquer, survolez le lien avec votre souris : l’adresse réelle s’affiche en bas du navigateur ou du client mail. Si elle vous paraît étrange, avec des fautes, des sous-domaines farfelus ou un nom de domaine inconnu, ne cliquez pas.

Examiner l’en-tête de l’email (header)

Chaque email contient des informations techniques appelées en-têtes (headers), qui permettent de retracer son parcours depuis l’expéditeur jusqu’à votre boîte mail.
On y trouve notamment :

  • l’adresse IP d’envoi,
  • les serveurs utilisés pour la transmission,
  • et des indicateurs de sécurité comme SPF, DKIM et DMARC, qui permettent de vérifier si l’expéditeur est bien autorisé à envoyer des mails depuis ce domaine.

Ces technologies ne sont pas toujours visibles à l’utilisateur final, mais les clients mail avancés ou certains outils d’analyse permettent de les inspecter. Voici ce qu’elles signifient :

  • SPF (Sender Policy Framework) : vérifie si l’IP d’envoi est autorisée à envoyer des mails au nom du domaine utilisé.
  • DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique pour authentifier le contenu du message.
  • DMARC (Domain-based Message Authentication, Reporting and Conformance) : définit comment réagir (accepter, mettre en spam, rejeter) si SPF ou DKIM échoue.

Si l’un ou plusieurs de ces mécanismes échouent, cela peut indiquer un spoofing ou une tentative d’usurpation de domaine.

En général, le Webmail ou le client mail propose une option « Afficher l’original » ou « Afficher l’en-tête« .
Par exemple, lorsque dmarc échoue, on obtient la mention « dmarc=fail« .

Authentication-Results: mail.protonmail.ch; dmarc=fail (p=none dis=none) header.from=malekal.com
Authentication-Results: mail.protonmail.ch; spf=none smtp.helo=[10.88.0.3]
Authentication-Results: mail.protonmail.ch; arc=none smtp.remote-ip=35.233.21.33
Authentication-Results: mail.protonmail.ch; dkim=none

Notez que certains webmail peuvent faire l’effort d’afficher cette information.
Par exemple, ci-dessous, ce mail d’arnaque tente d’envoyer un mail d’erreur et de notice se faisant passer pour @malekal.com (spoofing).
Protonmail indique que l’adresse email de l’expéditeur ne répond pas aux exigences d’authentification du domaine.

Protonmail indique que l'adresse email de l'expéditeur ne répond pas aux exigences d'authentification du domaine.

L’analyse complète des headers demande un certain niveau technique. Elle est donc plutôt réservée aux utilisateurs avancés, aux administrateurs ou aux analystes en sécurité.
Mais, des outils en ligne peuvent vous aider à les décrypter facilement, comme :

Vérifier les liens sans cliquer

Si vous avez un doute sur un fichier ou un lien, vous pouvez le tester sans risque sur un site spécialisé comme VirusTotal.
Ce service analyse le contenu avec plusieurs antivirus simultanément, sans l’ouvrir sur votre machine. Vous pouvez y uploader une pièce jointe ou coller un lien suspect pour voir s’il est reconnu comme dangereux.

👉 Pour vous aider :

Que faire si vous avez un doute ?

Recevoir un email suspect n’est pas rare. Mais ce n’est pas parce qu’un message semble étrange qu’il faut paniquer — ni cliquer pour en avoir le cœur net. Voici les bons réflexes à adopter dès que vous avez le moindre doute.

  • Ne cliquez ni sur les liens, ni sur les pièces jointes. Même un simple clic sur un lien peut suffire à vous rediriger vers un site piégé ou lancer un téléchargement automatique.
  • Évitez de répondre, même pour dire “je ne suis pas intéressé” ou “est-ce une arnaque ?”. Cela confirme au pirate que votre adresse est active, et peut vous exposer à d’autres attaques.
  • Prenez une minute pour relire l’email à froid. Est-ce qu’il contient des fautes ? Une adresse étrange ? Est-ce que le ton est anormalement urgent ? Est-ce une demande logique dans le contexte (par exemple, une facture d’un service que vous n’utilisez pas) ?
  • Vérifiez par un autre canal : Si l’email semble provenir d’une personne ou d’un service que vous connaissez, contactez-les directement par un autre moyen (téléphone, SMS, site officiel, etc.) pour confirmer qu’ils vous ont bien envoyé ce message.

Signalez le message. Si vous avez identifié un email frauduleux, vous pouvez :

  • le signaler comme spam/phishing dans votre boîte mail,
  • le transférer à Signal Spam (signal-spam.fr),
  • ou à [email protected]

Enfin, une fois le doute levé, supprimez le message de votre boîte. Vous pouvez aussi vider la corbeille pour éviter de le rouvrir accidentellement plus tard.

Un email douteux ne doit jamais être traité dans la précipitation. Le meilleur réflexe est souvent d’attendre, de prendre du recul, ou de demander un second avis.

Tableau – Les 5 vérifications à faire sur un email suspect

🔍 VérificationCe qu’il faut observerÀ éviter / À faire
Adresse de l’expéditeurEst-ce un domaine légitime ? (@gouv.fr, @edf.fr)Méfiez-vous des adresses ressemblantes : @orange-client.fr
Ton du messageUrgence, menace, récompense, relance agressiveNe vous laissez pas presser. Prenez le temps de réfléchir.
Liens dans le messageLien visible = lien réel ? Survolez pour vérifierNe cliquez pas si l’adresse est étrange ou raccourcie (bit.ly, etc.)
Pièces jointesFichier inattendu, extension inhabituelle (.exe, .js, .docm, .zip)Ne l’ouvrez pas sans vérification via VirusTotal
Orthographe et mise en formeFautes, traduction automatique, logo flou, format étrangeUn message mal écrit est un bon signal d’alerte
Un seul de ces signes peut suffire à éveiller un doute. Plusieurs combinés, c’est presque sûr : il s’agit d’un email frauduleux.
Si vous avez un doute : ne cliquez pas, ne répondez pas, et faites vérifier le message sur un outil comme VirusTotal.

Comment protéger son PC des virus par E-mail

Pour aller plus loin, voici un guide pour vous protéger concrètement contre ce type de menaces informatiques.
Vous y découvrirez :

  • les méthodes utilisées pour piéger les internautes par email,
  • les techniques de dissimulation des virus (ZIP, .js, macros…),
  • et les bons réflexes à adopter pour ne pas tomber dans le piège.

Ressources utiles et articles liés

L’article comment vérifier si un mail est frauduleux est apparu en premier sur malekal.com.

La sécurité de son PC, c’est quoi ?

Par : malekalmorte
28 juillet 2025 à 08:02

On croit souvent qu’installer un antivirus suffit à protéger son PC. En réalité, la sécurité informatique ne dépend pas uniquement d’un logiciel, mais avant tout de vos comportements et de votre vigilance.

Les cybercriminels ne ciblent pas seulement les failles techniques, mais exploitent surtout les erreurs humaines : téléchargements de cracks, clics sur des liens douteux, logiciels non à jour, programmes installés sans attention…

Dans cet article, vous découvrirez les véritables causes d’infection, les profils les plus exposés, et surtout, les bonnes pratiques à adopter pour sécuriser efficacement votre ordinateur au quotidien — bien au-delà de l’antivirus.

Introduction : la sécurité, ce n’est pas (que) l’antivirus

Quand on parle de sécurité informatique, beaucoup pensent qu’il suffit d’installer un antivirus pour être protégé. C’est une idée reçue largement répandue… et pourtant, loin de suffire.

Aujourd’hui, les cybercriminels n’utilisent plus seulement des virus classiques. Ils s’appuient sur l’erreur humaine, l’ignorance technique ou la naïveté de l’utilisateur pour infecter les systèmes :
faux logiciels, cracks piégés, fausses mises à jour, extensions malveillantes, pièges par email ou publicité…

Autrement dit : ce n’est pas parce que vous avez un antivirus actif que vous êtes protégé.
Le risque d’infection dépend davantage de votre comportement que du logiciel que vous utilisez.

L’objectif de cet article est de remettre les bases en place, et de vous expliquer concrètement :

  • pourquoi les infections surviennent ;
  • quels types d’utilisateurs sont les plus exposés ;
  • et notamment, comment vraiment éviter les malwares au quotidien, même sans logiciel miracle.

Vous verrez qu’il n’existe pas une solution unique à appliquer, mais plutôt une hygiène numérique à adopter.
Et, c’est bien cette attitude qui fait la différence entre un utilisateur infecté… et un autre qui ne l’est jamais.

La sécurité, ce n’est pas que l’antivirus

Pourquoi les malwares vous ciblent

Les malwares (virus, chevaux de Troie, logiciels espions…) ne sont pas créés “au hasard” pour nuire gratuitement. Aujourd’hui, le principal moteur des cyberattaques est l’argent.
Chaque PC infecté peut générer du profit pour les pirates, de différentes manières :

  • En l’intégrant à un botnet (réseau de machines zombies utilisées à distance)
  • En affichant des publicités non désirées (adwares) ou en volant des données personnelles
  • En forçant l’utilisateur à payer (faux antivirus, ransomwares)
  • En revendant les accès ou informations collectées sur le marché noir

C’est ce qu’on appelle le business des malwares.

Pour maximiser leurs gains, les cybercriminels cherchent donc à infecter un maximum de machines.
Et, pour y arriver, ils exploitent les failles humaines, techniques et comportementales des utilisateurs ordinaires.

Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections

Les vecteurs d’infection les plus courants

Chaque jour, des milliers de nouvelles variantes de malwares sont mises en ligne, souvent conçues pour passer temporairement sous les radars des antivirus. Durant cette fenêtre de temps, vous êtes vulnérable, même si votre antivirus est à jour.

La majorité des infections ne viennent pas d’un “virus qui traîne sur internet”, mais d’un comportement à risque de l’utilisateur, souvent sans qu’il en ait conscience.

Voici les principaux vecteurs d’infection rencontrés au quotidien :

  • Téléchargements douteux : cracks, keygens, logiciels piratés, faux lecteurs vidéo, etc. Ces fichiers sont souvent piégés avec des malwares ou programmes parasites.
  • Sites web infectés ou compromis : publicités malveillantes (malvertising), redirections, exploits de failles dans le navigateur ou les plugins (Drive-by-download).
  • Emails ou messages piégés : pièces jointes malveillantes, liens de phishing, fausses mises à jour ou services factices.
  • Programmes installés sans vérification : bundles douteux, installateurs modifiés, logiciels attrayants mais trompeurs.

Dans tous ces cas, l’utilisateur reste le maillon faible, notamment lorsqu’il télécharge, clique ou installe sans vérifier la fiabilité de la source.

👉 Pour un tour d’horizon complet des méthodes utilisées par les cybercriminels, consultez notre article détaillé : Les Virus et Trojan : comment ils infectent les PC

Les vecteurs d’infection les plus courants

Les profils les plus exposés (et pourquoi)

Tous les utilisateurs ne courent pas le même risque d’infection. En sécurité informatique, tout est une affaire de probabilité, et certains profils sont statistiquement plus vulnérables que d’autres.

Voici les cas les plus courants :

Utilisateurs jeunes, peu expérimentés… ou personnes âgées

  • Téléchargent facilement des cracks, jeux, extensions, émoticônes, « programmes utiles » sans en vérifier la provenance
  • Acceptent ou exécutent des fichiers simplement parce qu’un ami, un site ou une notification leur suggère
  • Manquent de recul face aux promesses trop belles pour être vraies, ou aux interfaces piégées
  • Ne comprennent pas toujours les alertes ou les comportements suspects d’un système infecté

Les personnes âgées sont particulièrement ciblées par des formes de social engineering :

Ces attaques ne reposent pas sur une faille technique, mais sur la peur, l’urgence et la confiance naïve dans l’autorité. Elles peuvent aboutir à une prise de contrôle à distance, au vol de données bancaires, ou à l’installation de programmes malveillants.

Faux messages d'erreur et virus Windows - arnaque de support téléphonique

Utilisateurs de P2P, de streaming illégal ou de logiciels piratés

  • Téléchargent des fichiers depuis des sources non vérifiées : films, jeux, logiciels, clés d’activation
  • Recherchent et exécutent des cracks, keygens, patchs ou activations trouvés sur des forums, sites douteux ou plateformes P2P
  • Pensent contourner une limitation logicielle… mais installent en réalité des malwares, adwares, voire des chevaux de Troie
  • Exécutent des fichiers sans se poser de questions (setup.exe, patch.bat, fake installateurs)

Les auteurs de malwares ciblent massivement ce profil, car il est facile à piéger. Un crack sur deux est infecté, modifié ou lié à une offre déguisée (faux site, installateur piégé, bundle).
Et au moment où l’utilisateur s’en rend compte… il est souvent déjà trop tard.

Utilisateurs peu vigilants

  • N’appliquent pas les mises à jour de Windows ou des logiciels installés
  • Acceptent toutes les fenêtres, installateurs ou demandes sans lire
  • Ne savent pas identifier une source fiable ou un site douteux
  • Installent un logiciel simplement parce que « le site est joli » ou « quelqu’un l’a partagé »

Ce profil est victime non pas d’ignorance technique, mais de naïveté comportementale.

Quelles protections adopter en 2025 ?

On entend souvent la question : “Quel antivirus faut-il installer ?”
Mais comme expliqué depuis le début de ce guide, la sécurité informatique ne dépend pas uniquement d’un logiciel.
C’est avant tout une affaire de comportement, de vigilance, et de compréhension des risques.

Même avec un bon antivirus, vous pouvez vous faire piéger.
À l’inverse, un utilisateur attentif, même équipé d’un antivirus basique, réduira considérablement ses risques d’infection.

Comprendre que l’antivirus ne suffit pas

L’antivirus est un filet de sécurité, pas un pare-feu infaillible.
Il peut :

  • bloquer des fichiers malveillants connus,
  • détecter certains comportements suspects,
  • vous avertir après une infection…

Mais, il n’empêche pas l’utilisateur de faire des erreurs :
installer un programme piégé, désactiver sa protection, ouvrir une pièce jointe douteuse, ou donner ses identifiants sur une fausse page.

L’antivirus n’est pas capable d’annuler une mauvaise décision humaine.

C’est pourquoi même un antivirus performant ne protège pas de tout, surtout face aux nouvelles menaces (malwares inédits, phishing bien conçu, attaques ciblées, etc.).

Bonnes pratiques à appliquer au quotidien

Voici les principales règles simples à appliquer pour se protéger efficacement en 2025, avec ou sans antivirus :

  • Téléchargez uniquement depuis des sources fiables : éditeurs officiels, sites reconnus. Évitez les cracks, keygens, installateurs douteux, etc.
  • Maintenez Windows et vos logiciels à jour (navigateur, PDF, Java, pilotes, etc.).
    Les mises à jour corrigent des failles exploitées par les malwares.
  • Ne cliquez pas sur n’importe quel lien reçu par email, SMS ou messagerie.
    Et ne croyez pas aveuglément les alertes de type “votre PC est infecté”.
  • Vérifiez ce que vous installez : lisez les écrans d’installation, refusez les logiciels additionnels, décochez les cases inutiles.
  • Créez un compte utilisateur non administrateur pour un usage quotidien.
    Cela limite fortement l’impact potentiel d’un malware.
  • Sauvegardez régulièrement vos données. Une clé USB ou un disque externe vous protège contre la perte totale en cas d’infection ou de ransomware.
  • Renseignez-vous. Mieux, vous comprenez les risques, mieux, vous saurez les éviter.

En liens :

Bonnes pratiques en cybersecurité à appliquer au quotidien

Conclusion : la sécurité est un comportement

On cherche souvent la bonne solution de sécurité : un antivirus, un logiciel miracle, une « astuce » pour éviter les infections.

Mais, la réalité est simple : la meilleure protection, c’est vous.

Il n’existe pas de configuration magique, ni de protection parfaite. Même avec un antivirus réputé, un pare-feu renforcé ou un système à jour, vous pouvez être infecté si vous adoptez de mauvaises habitudes.

La sécurité ne repose pas uniquement sur les outils, mais sur votre comportement :

  • votre capacité à reconnaître les risques,
  • à vous méfier des propositions trop faciles,
  • à garder votre système propre et à jour,
  • et à ne pas cliquer sans réfléchir.

La majorité des infections se produisent par négligence, naïveté ou automatisme.
Ce sont les petites habitudes du quotidien qui font toute la différence : un peu de recul, un peu de méfiance, un minimum de bon sens informatique… et vous évitez 95 % des menaces.

En cybersécurité, il vaut mieux être un utilisateur moyen, mais attentif, qu’un utilisateur confiant avec des outils puissants cependant mal utilisés.

L’article La sécurité de son PC, c’est quoi ? est apparu en premier sur malekal.com.

Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections

Par : malekalmorte
28 juillet 2025 à 07:51

On imagine souvent les malwares comme des virus “créés pour nuire”, sans but précis. En réalité, les infections informatiques sont aujourd’hui le moteur d’un immense écosystème criminel qui brasse des millions d’euros chaque année.

Derrière chaque PC infecté, chaque popup de publicité ou chaque ransomware se cache un modèle économique bien rodé, avec ses outils, ses services, ses clients… et ses profits.
Le malware n’est plus un simple programme malveillant : c’est un vecteur de revenus, utilisé par des groupes organisés qui exploitent la naïveté des internautes et les failles du Web.

Dans cet article, nous vous dévoilons comment les cybercriminels gagnent de l’argent grâce aux malwares :

  • botnets, adwares, ransomwares, phishing, PUPs,
  • plateformes d’affiliation, infrastructures spécialisées,
  • et même des faux blogs de sécurité ou des offres d’emploi frauduleuses.

Ce dossier vous montre que derrière chaque infection, il y a un business — et souvent, plusieurs intermédiaires qui en profitent.

Pourquoi infecter un PC rapporte de l’argent ?

Infecter un ordinateur n’est pas une fin en soi : c’est un moyen lucratif. Aujourd’hui, la majorité des malwares sont conçus pour générer du profit, pas simplement pour “casser des systèmes”.

Chaque machine compromise représente une ressource exploitable pour un cybercriminel :
elle peut afficher des publicités, envoyer du spam, miner de la cryptomonnaie, servir de relais pour des attaques, ou simplement devenir une porte d’entrée vers des données personnelles ou bancaires.

Plus un malware est installé sur de nombreux PC, plus il peut :

  • multiplier les revenus (popups, ransomwares, affiliations)
  • relayer des opérations malveillantes en masse (botnets, hameçonnage, arnaques)
  • collecter ou revendre des données (emails, comptes, numéros de carte, identifiants de jeux)

L’infection devient alors un investissement rentable dans un véritable écosystème souterrain.
À grande échelle, un réseau de PC infectés (botnet) peut rapporter des milliers d’euros par jour à son opérateur, avec très peu de frais techniques.

Dans les prochaines sections, nous allons passer en revue les principales méthodes utilisées pour monétiser les infections, et comprendre comment ce business s’est structuré autour de l’exploitation des utilisateurs.

Méthodes de monétisation des PC infectés

Botnets : attaques, spam, location de machines

Un botnet est un réseau de machines infectées (PC, serveurs, objets connectés), contrôlées à distance sans que leurs propriétaires ne s’en aperçoivent. Ces machines zombifiées sont utilisées comme armée numérique silencieuse, et peuvent être exploitées à des fins très lucratives.

Que permet un botnet ?

  • Lancer des attaques DDoS (déni de service) : inonder un site web ou un service en ligne de requêtes jusqu’à le rendre inaccessible.
    → Ce type d’attaque peut être vendu comme service à d’autres groupes, à des concurrents ou utilisé à des fins de chantage.
  • Envoyer du spam en masse : un botnet peut expédier des millions d’emails de phishing ou de publicité non sollicitée, souvent via les adresses IP des machines infectées pour contourner les filtres anti-spam.
  • Cacher l’origine d’attaques : les cybercriminels peuvent utiliser les machines d’un botnet comme relais pour mener d’autres actions malveillantes (vols de données, scans de vulnérabilités, etc.).
Annonce pour des attaques DDoS, Stresser sur un forum underground

Un modèle économique bien établi

Certains opérateurs de botnets ne les utilisent même pas eux-mêmes. Ils les louent à d’autres groupes pour une durée donnée, avec une interface en ligne, des statistiques d’utilisation, un support client, etc.
On parle alors de botnet-as-a-service, un modèle similaire à celui du cloud computing.

Un botnet de quelques dizaines de milliers de machines peut être loué pour plusieurs centaines d’euros par jour, selon ses capacités (puissance réseau, stabilité, géolocalisation des machines, etc.).
Et pour alimenter ces réseaux, des kits de création et de gestion de botnet circulent dans les cercles underground, vendus avec documentation, mises à jour et même support technique.

Cette annonce propose de constituer un botnet en quelques heures pour 30 BTC.

Annonce pour constituer un botnet

Ou encore cette autre annonce :

Annonce pour louer un botnet

Publicité : adwares, popups, redirections

Un autre moyen courant de monétiser les infections consiste à afficher de la publicité non désirée sur les ordinateurs infectés. Ce modèle repose sur l’installation de programmes publicitaires (adwares) qui injectent du contenu promotionnel directement dans le système de l’utilisateur.

Comment ça fonctionne ?

Une fois l’adware installé, il peut :

  • Ouvrir des popups publicitaires de façon aléatoire ou à intervalles réguliers
  • Modifier les résultats de recherche (ex. : détourner les recherches Google vers des moteurs frauduleux)
  • Ajouter des bannières ou faux boutons sur les sites visités
  • Rediriger les clics vers des pages affiliées ou des pages malveillantes

Chaque interaction (affichage, clic, redirection) génère des revenus pour l’auteur du malware, généralement via des plateformes d’affiliation ou des régies publicitaires peu regardantes.

Pourquoi c’est rentable ?

Les campagnes d’adware sont peu coûteuses à mettre en place et peuvent toucher des dizaines de milliers d’utilisateurs en peu de temps.
Chaque clic ou affichage peut rapporter quelques centimes, mais multipliés par le volume, cela devient rapidement une source de revenus passive et massive.

L’auteur d’un adware bien diffusé peut générer plusieurs centaines d’euros par jour sans voler de données, ni bloquer la machine.
C’est aussi l’un des modèles les plus durables, car il laisse le système fonctionnel, rendant l’utilisateur moins méfiant — voire incapable d’identifier la cause réelle du problème.

Cryptomonnaie : exploiter la puissance de calcul pour miner de la cryptomonnaie

Une autre méthode de monétisation des machines infectées consiste à utiliser leur puissance de calcul pour miner de la cryptomonnaie (Bitcoin, Monero, etc.).

Plutôt que d’afficher des publicités ou de voler des données, certains malwares installent un mineur de cryptomonnaie discret sur la machine. Ce dernier utilise les ressources CPU ou GPU de l’ordinateur à l’insu de l’utilisateur pour générer des unités de monnaie virtuelle.

Lorsque cette activité est répartie sur des milliers de PC infectés dans un botnet, elle peut générer des revenus significatifs sans éveiller de soupçons immédiats (à part des lenteurs ou une surchauffe de la machine).

Cette technique est particulièrement utilisée avec des cryptos comme Monero, qui sont conçues pour être résistantes au traçage et exploitables par CPU (contrairement au Bitcoin, devenu moins rentable à petite échelle).

Scawares/Rogues et ransomwares : arnaques à la peur

Les cybercriminels exploitent aussi la peur pour pousser les utilisateurs à agir dans la précipitation — et à payer. Deux méthodes sont particulièrement efficaces dans ce domaine :
les rogues (faux antivirus) et les ransomwares.

Scawares/Rogues (faux antivirus)

Un rogue est un faux logiciel de sécurité qui imite un antivirus classique. Il affiche de fausses alertes alarmantes pour faire croire à l’utilisateur que son PC est gravement infecté, puis lui propose une solution immédiate… payante.

Exemples de comportements :

  • Alertes envahissantes sur l’écran indiquant des “infections critiques”
  • Blocage de certaines fonctions système (explorateur, navigateur…)
  • Incitation à acheter une licence pour “nettoyer” le PC

Ci-dessous, un rogue sous la forme d’un faux antivirus qui affiche des détections et alertes exagérées
En réalité, ces programmes ne nettoient rien : ils sont souvent eux-mêmes à l’origine des dysfonctionnements.

Scareware/rogue sous la forme d'un faux antivirus qui affiche des détections et alertes exagérées

Ces arnaques reposent sur le modèle PPC / CPC (Pay Per Click / Conversion) : le cybercriminel est rémunéré à chaque installation ou achat déclenché par son faux logiciel.

👉 À lire :

Ransomwares

Les ransomwares sont aujourd’hui l’un des modèles les plus lucratifs du cybercrime. Ils chiffrent les fichiers de l’utilisateur (documents, photos, etc.) et affichent un message réclamant une rançon en cryptomonnaie pour les déverrouiller.

Caractéristiques :

  • Chiffrement fort (AES, RSA) rendant les fichiers inutilisables
  • Blocage complet ou partiel de l’accès au système
  • Montant de la rançon : souvent entre 100 € et 1000 €, selon le profil ciblé

Contrairement aux rogues, les ransomwares ne simulent pas une infection, ils en causent une réelle. Et dans la plupart des cas, payer ne garantit rien.

Le ransomware peut également être utilisé pour la double extorsion : vol de données + chiffrement, avec menace de publication si la rançon n’est pas versée.

👉 Ransomware / Rançongiciel chiffreur de fichiers

Votre ordinateur a été verrouillé - Ransomware

Arnaques à l’installation : Pay-Per-Install (PPI)

Le modèle Pay-Per-Install (PPI) repose sur un principe simple : être payé à chaque fois qu’un programme est installé sur une machine, qu’il soit utile… ou non. Dans le monde des malwares, ce modèle est détourné pour distribuer des logiciels indésirables, publicitaires, voire malveillants, à grande échelle.

Comment ça fonctionne ?

Des groupes créent ou distribuent des programmes douteux (rogues, adwares, browser hijackers, etc.) et recrutent des “affiliés” pour en assurer la diffusion.
Ces affiliés sont rémunérés à chaque installation réussie sur un ordinateur.

Les canaux de diffusion sont variés :

  • Sites de téléchargement louches (ou même certains grands portails peu modérés)
  • Crackers, keygens ou jeux modifiés distribués via le P2P
  • Faux lecteurs vidéo, mises à jour Flash ou Java sur des sites de streaming
  • Installateurs bundlés qui proposent plusieurs logiciels lors de l’installation d’un seul

Exemple : vous téléchargez un lecteur multimédia gratuit, mais l’installateur vous propose en parallèle une “barre d’outils”, un VPN douteux, un antivirus gratuit, etc. Si vous cliquez trop vite, vous installez tout sans vous en rendre compte.

Par exemple, ci-dessous, une vidéo de crack pour Adobe Acrobat DC qui est en réalité un malware.

Pourquoi ça rapporte ?

Chaque installation peut rapporter quelques centimes à quelques euros à l’affilié. Sur des campagnes massives (sites piratés, spam, torrents), cela peut générer des centaines voire des milliers d’euros par jour.

Ce système a permis à de nombreux groupes de monétiser sans avoir à développer leurs propres malwares. Ils se contentent de diffuser ceux des autres, via des campagnes ciblées.

Le PPI est souvent à l’origine de PUPs (programmes potentiellement indésirables) qu’on retrouve sur les PC ralentis, surchargés de fenêtres, de faux outils d’optimisation, ou de VPN imposés.

Vols d’informations : bancaire, identifiants, jeux en ligne

Une autre forme très rentable de monétisation des infections consiste à voler des données sensibles sur les machines compromises. Ces informations sont ensuite revendues, utilisées pour des fraudes ou exploitées dans des campagnes ciblées.

Vols de données bancaires

Certains malwares sont conçus pour intercepter des informations bancaires :

  • identifiants de connexion à votre banque en ligne
  • numéros de carte bancaire
  • données personnelles (adresse, téléphone, RIB, etc.)

Les malwares spécialisés dans ce domaine sont appelés trojans bancaires (ex. : Zbot, Emotet, Dridex).
Ils peuvent se cacher en mémoire, injecter du code dans votre navigateur, ou rediriger vos connexions vers de fausses pages imitant votre banque.

Une fois les données récupérées, elles sont soit revendues sur des marchés noirs, soit utilisées directement pour des achats frauduleux ou des virements non autorisés.

👉 Les Trojans Banker et Trojan Stealer : le malware qui vole des données

Vols de comptes de jeux en ligne

Certains malwares ciblent spécifiquement les comptes de jeux vidéo (Steam, Battle.net, Epic, etc.).
Ces comptes ont souvent une valeur financière réelle (jeux achetés, objets virtuels, monnaies in-game) et peuvent être revendues ou vidés.

Certains pirates ciblent même des comptes très spécifiques, avec des objets rares ou des skins à forte valeur.

Keyloggers, stealer, fichiers exportés

Des malwares plus généraux, appelés stealers ou keyloggers, enregistrent :

  • tout ce que vous tapez (mots de passe, recherches…)
  • les fichiers ouverts
  • les sessions de messagerie
  • les cookies ou jetons de session

Tous ces éléments sont régulièrement exportés vers un serveur distant contrôlé par l’attaquant, qui les trie, revend ou exploite selon leur valeur.

Ce type de vol est discret et difficile à détecter : l’utilisateur ne remarque rien jusqu’à ce que ses comptes soient compromis, ses mails utilisés ou ses jeux volés.

👉 Les keylogger ou enregistreur de frappes clavier

Annonce pour louer iSpy Premium :

Annonce pour louer iSpy Premium

Campagnes de phishing, scams et fraudes diverses

En plus des malwares techniques, les cybercriminels exploitent aussi des méthodes plus “sociales” pour gagner de l’argent : le phishing, les scams (arnaques), les fraudes en ligne. Ces techniques reposent principalement sur la crédulité ou la panique de la victime.

Phishing : hameçonnage classique mais toujours rentable

Le phishing consiste à envoyer un message (email, SMS, réseau social…) se faisant passer pour un service légitime (banque, impôts, opérateur, etc.) afin de récupérer des identifiants ou des données personnelles.

Exemples de messages :

  • “Une tentative de connexion suspecte a été détectée sur votre compte…”
  • “Votre colis est en attente de paiement…”
  • “Votre compte sera suspendu si vous ne confirmez pas vos informations…”

Le lien contenu dans le message redirige vers une fausse page qui imite parfaitement le site officiel. Si la victime entre ses identifiants, ceux-ci sont immédiatement envoyés au pirate.

Ces données sont ensuite revendues ou utilisées pour accéder à des services (et dans certains cas, détourner de l’argent ou voler des comptes).

Scam, arnaques à la carte bancaire et à la romance

On retrouve également :

  • les arnaques nigérianes (scam 419) : promesse d’un héritage, d’un gain, d’un virement bloqué
  • les arnaques à la romance : séduction à distance, puis demande d’argent
  • les faux supports techniques : message bloquant, numéro à appeler, prise de contrôle du PC

Tous ces scénarios sont conçus pour pousser la victime à effectuer un virement, payer une rançon, ou transmettre volontairement ses données bancaires.

Fraudes par email et campagnes automatisées

Certains groupes spécialisés proposent même des services de mailing frauduleux, à la demande.
Un cybercriminel peut acheter un lot d’adresses ciblées (ex : francophones, utilisateurs d’un certain site) et payer un prestataire pour envoyer massivement ses messages piégés.

Ces campagnes sont souvent liées à d’autres formes de monétisation (phishing bancaire, faux antivirus, arnaques crypto…).

Le phishing et les scams sont des attaques sans infection technique, mais tout aussi dangereuses. Ils exploitent la confiance, l’urgence, et l’ignorance — et continuent de faire chaque jour de nombreuses victimes.

L’économie souterraine (Underground)

Le modèle de “cybercriminalité à la chaîne” fonctionne comme une entreprise… à ceci près qu’elle est illégale.

Cette économie souterraine a démocratisé le cybercrime : plus besoin d’être un développeur expérimenté pour infecter des machines, voler des données ou générer de l’argent. Il suffit de payer les bons outils, et parfois d’un simple hébergement pour commencer.

Chaque acteur joue un rôle précis, ce qui permet une efficacité maximale :
celui qui développe ne s’occupe pas de la diffusion, celui qui distribue ne gère pas les paiements, etc.

Achat de kits, malwares, exploits prêts à l’emploi

Le développement et la diffusion de malwares ne sont plus réservés à quelques experts. Aujourd’hui, tout se vend sur des forums underground ou des places de marché spécialisées : virus “clé en main”, kits de phishing, exploit packs, crypters, services d’hébergement, etc.

Kits de malwares et exploit packs

Un exploit kit est un outil permettant d’infecter automatiquement les visiteurs d’un site web en exploitant les failles de leurs navigateurs ou plugins (PDF, Flash, Java, etc.). Ces kits incluent souvent :

  • un panneau d’administration (avec statistiques de réussite)
  • des modules mis à jour selon les failles disponibles
  • la possibilité de rediriger selon le pays ou l’horaire

Ces kits s’achètent sur commande ou par abonnement, comme un logiciel classique. Leur but : maximiser le taux d’infection sur des sites compromis ou piégés.

Voici un exemple d’interface graphique du WebExploitKit BlackHole très actif autour de 2011.
Le type d’exploits, le taux de chargement réussi, les versions de Windows, pays et informations sur le navigateur internet sont fournis.

Voici un autre exemple, ce groupe propose la vente d’un outil « Multisploit tool » qui permet de créer des macros malveillantes visant Office.
Un autre groupe peut l’utiliser pour diffuser son malware ou un malware acheté.

Crypters, binders, packers : contourner les antivirus

Un crypter permet de rendre un malware indétectable temporairement par les antivirus.
Les créateurs de malwares s’en servent pour “emballer” leur code malveillant de manière à échapper aux signatures classiques.

Certains services proposent même des crypters en version premium, avec options de test automatique contre plusieurs antivirus (FUD – Fully Undetectable).

Ce marché permet à des utilisateurs sans grande compétence technique de diffuser des malwares qui passent sous les radars, au moins pendant quelques jours.

Proposition d'achat d'un Crypter FUD 100%

Phishing packs et fausses pages

Les “phishing packs” contiennent :

  • une fausse page de connexion à une banque, un service de messagerie, ou un réseau social
  • un script de collecte de données
  • un tutoriel de mise en ligne

Le tout est prêt à être déployé, vendu à l’unité ou en bundle.

Groupes spécialisés et services à la carte

Contrairement à l’image du “pirate solitaire”, la majorité des cybercriminels opèrent en groupe, avec une répartition claire des rôles. Chaque groupe peut se spécialiser dans une partie de la chaîne : développement, distribution, infection, exploitation ou support technique.

Développement de malwares

Certains groupes créent des malwares sur mesure :

  • trojans bancaires
  • stealers (vols de mots de passe)
  • ransomwares
  • bots pour réseaux sociaux ou plateformes de jeux

Une fois développés, ces malwares sont revendus ou loués à d’autres groupes.

Distribution et infection

D’autres groupes sont spécialisés dans la diffusion des malwares. Ils :

  • achètent ou infectent des sites web
  • intègrent les malwares à des faux cracks ou torrents
  • utilisent des réseaux publicitaires pour diffuser des pièges (malvertising)
  • organisent des campagnes de spam ou de phishing

Ils sont souvent rémunérés selon le nombre d’installations réussies (PPI).

Services sur commande

De nombreux services sont proposés à la carte :

  • Location de botnets
  • Envoi massif d’emails piégés
  • Création de faux sites de téléchargement
  • Hébergement « bulletproof » (tolérant les activités malveillantes)
  • Test de détection antivirus

Certains groupes proposent même un support client via Telegram, forums ou messageries chiffrées.

Hébergement, domaines, serveurs : le support invisible

Pour qu’un malware puisse être distribué, exécuté ou contrôlé à distance, il lui faut une infrastructure technique fiable : serveurs, hébergement web, noms de domaine, panneaux de contrôle… Autant d’éléments souvent négligés dans l’analyse, mais essentiels au fonctionnement du cybercrime.

Noms de domaine et hébergement “bulletproof”

Les cybercriminels utilisent des hébergeurs ou registrars peu regardants (souvent situés hors d’Europe ou dans des juridictions laxistes) pour :

  • héberger leurs pages piégées (phishing, faux téléchargements…)
  • déployer des serveurs de commande et contrôle (C&C)
  • enregistrer des noms de domaine à rotation rapide

Ces hébergements “bulletproof” sont spécialement conçus pour résister aux demandes de fermeture, même en cas de signalement.
Certains forums underground proposent des offres d’hébergement spécifiquement “compatibles malwares”, avec support technique 24h/24.

Infrastructure redondante et dynamique

Les campagnes d’infection s’appuient souvent sur des systèmes dynamiques :

  • changement automatique d’adresse IP ou de domaine (Fast flux)
  • redirection selon l’horaire, la géolocalisation ou la langue
  • infrastructure décentralisée (parfois hébergée chez des particuliers à leur insu)

Cela rend les campagnes plus difficiles à bloquer ou à démanteler.

Le jeu du chat et de la souris

Chaque jour, les éditeurs d’antivirus ou les CERT ferment ou blacklistent des centaines de domaines et serveurs malveillants.
Mais, de nouveaux apparaissent aussitôt : le coût de création est faible et l’efficacité d’une campagne dépend souvent de sa durée de vie (quelques heures ou jours suffisent à générer des gains).

Réseaux d’affiliation (Trafic Management Systems)

Pour maximiser la diffusion de leurs malwares, certains groupes cybercriminels mettent en place des réseaux d’affiliation, appelés “Trafic Management Systems” (TMS).
Leur principe est simple : tout utilisateur qui réussit à infecter d’autres machines est rémunéré, selon le volume généré ou le type de victime ciblée.

Le fonctionnement d’un TMS

  • Un affilié s’inscrit sur une plateforme TMS.
  • Il reçoit un lien personnalisé (ex. : http://malware-domain.com/in.cgi?user123)
  • Chaque clic sur ce lien redirige l’utilisateur vers une page contenant un exploit ou un malware
  • Si l’infection réussit, l’affilié touche une commission (PPI, CPA ou revenu au clic)

Ces systèmes permettent de sous-traiter la distribution des malwares à une armée d’intermédiaires :
webmasters, influenceurs, administrateurs de forums, hackers, ou même de simples utilisateurs motivés par le gain.

Exemple de liens malveillants utilisant un Trafic Management Systems

Optimisation dynamique

Les TMS disposent souvent de fonctionnalités avancées :

  • Redirection vers différents malwares selon la géolocalisation, l’heure, le système d’exploitation
  • Rotation automatique des domaines pour échapper aux blacklists
  • Suivi des performances (tableau de bord, taux d’infection, revenus générés)

Cela permet des campagnes flexibles, résistantes aux blocages, et hautement rentables.
De plus, une interface avec des statistiques est souvent proposée.

Interface d'un Trafic Management Systems

Exemples d’intégration

  • Sites pornographiques ou de streaming : insertion de liens TMS dans les pages ou les lecteurs vidéos (ex : faux codecs)
  • Sites piratés : inclusion de redirections via iframe ou JavaScript
  • Publicités : intégration dans les bannières ou via des régies peu scrupuleuses

L’implication indirecte de certains acteurs du Web

Régies publicitaires et programmes douteux

De nombreuses infections passent aujourd’hui par la publicité — ce qu’on appelle le malvertising.
Des cybercriminels paient des régies pour diffuser :

  • des bannières menant à des faux codecs ou des faux antivirus
  • des redirections vers des sites piégés exploitant des failles
  • des offres trompeuses pour des logiciels douteux

Certaines régies ne contrôlent pas suffisamment les annonces qu’elles diffusent, permettant ainsi à des contenus malveillants d’être affichés sur des sites parfaitement légitimes.
Chaque clic génère des revenus, pour le pirate comme pour la régie. Tant que cela rapporte, la modération reste souvent laxiste.

Registrars, hébergeurs laxistes ou complices

Le nom de domaine et l’hébergement sont essentiels pour faire fonctionner un malware (commandes à distance, redirections, serveurs de collecte…).
Certains hébergeurs ou registrars (souvent situés hors juridiction européenne) se montrent particulièrement :

  • lents à répondre aux signalements
  • peu regardants sur le contenu hébergé
  • permissifs avec les abus

Ils deviennent ainsi des piliers logistiques involontaires de nombreuses campagnes malveillantes.

Exemples historiques : EastDomains, TodayNIC, BIZCN, Intercage/McColo…

Sites de téléchargement ou portails logiciels

Certains grands sites de téléchargement “gratuits” ont pu, par le passé, héberger ou relayer des installateurs contenant des PUPs (logiciels indésirables) voire des adwares ou des malwares déguisés.
Même s’ils ne créent pas ces menaces, ils en assurent la distribution massive, via des “bundles” intégrés à leurs installeurs.

Groupes de cybercrminels : une organisation en rôles bien distincts

Les groupes de cybercriminels les plus actifs ne fonctionnent pas seuls. Ils opèrent comme de véritables entreprises illégales, avec des équipes spécialisées selon les compétences, réparties autour de 4 pôles principaux.

Les développeurs et packers

Ces membres conçoivent les malwares eux-mêmes : trojans bancaires, ransomwares, stealers…
Ils créent également des packers et crypters pour rendre les malwares indétectables par les antivirus.
Ils utilisent des services de test (multi-antivirus ou sandbox) pour s’assurer que le malware passe sous les radars le plus longtemps possible.

👉Comment les malwares se cachent des antivirus

Les diffuseurs (distributeurs)

Ils s’occupent de propager les malwares à grande échelle, via :

  • des campagnes de phishing,
  • des malvertising,
  • des sites compromis,
  • ou des réseaux d’affiliation (PPI/TMS).

Leur objectif : infecter le plus de machines possible, rapidement.

Les administrateurs réseau

Ils assurent la mise en place et la maintenance de l’infrastructure :

  • serveurs C&C (commandes à distance),
  • hébergements “bulletproof”,
  • rotation de domaines et IP,
  • protection contre les blocages et les interruptions.

Ils travaillent souvent dans l’ombre, mais sans eux, aucune opération ne peut tenir sur la durée.

Les mules financières

Ce sont des individus chargés de récupérer l’argent volé, souvent sans comprendre l’ampleur de l’opération.
Ils sont recrutés par des campagnes de phishing ou d’arnaques à l’emploi (“travailler depuis chez vous”, “assistant de transfert de fonds”, etc.).

Une fois recrutés, ils reçoivent de l’argent sur leur compte, qu’ils doivent ensuite retransférer vers d’autres comptes ou retirer en espèces — contre une commission.
Ce système permet de dissiper la traçabilité des flux financiers.

Conclusion : professionnalisation, argent, et banalisation

Les malwares ne sont plus des blagues de hackers. Ils sont devenus les outils d’une économie parallèle bien réelle, structurée autour d’un objectif unique : gagner de l’argent.

Botnets, ransomwares, scarewares, adwares, phishing, vol de données… tous ces mécanismes ont été industrialisés, automatisés et intégrés à un écosystème criminel sophistiqué. Aujourd’hui, n’importe qui peut acheter un kit de malware, louer un service de distribution, et monétiser les infections — sans compétence technique particulière.

Ce phénomène s’est banalisé, au point que des entreprises légitimes en bénéficient indirectement :
régies publicitaires, hébergeurs peu regardants, revendeurs de données, et parfois même des éditeurs de logiciels opportunistes.

Ce qu’il faut retenir :

  • Le business du malware n’est pas une exception, c’est une industrie rentable.
  • Les victimes sont souvent des utilisateurs ordinaires, ciblés pour leur naïveté, leur passivité ou leur absence de vigilance.
  • La sécurité ne repose pas uniquement sur des logiciels, mais sur une bonne compréhension des risques numériques.

Ressources utiles et articles liés

L’article Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections est apparu en premier sur malekal.com.

❌
❌