Viendra un jour où un ordinateur quantique sera capable de déchiffrer en quelques secondes la cryptographie qui sécurise une bonne partie de nos échanges sur Internet. Ce jour, communément appelé le Q-Day, vient toutefois avec son lot de mythes et de fantasmes. Alors qu'en est-il réellement ?
Les autorités chinoises ont annoncé cette semaine interdire aux géants comme ByteDance et Alibaba d’acheter certaines puces Nvidia. Selon elles, l'entreprise américaine aurait « violé la loi anti-monopole ». Une décision qui rappelle l’embargo américain contre Huawei.
En échange d'un investissement de 5 milliards de dollars, Nvidia va devenir un des plus grands actionnaires d'Intel, en crise depuis quelques années. L'action Intel pourrait s'envoler de +30 % à l'ouverture du marché, alors que la Maison-Blanche a aussi racheté 10 % de l'entreprise.
C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.
[Deal du jour] Vous souhaitez investir dans une imprimante 3D, mais n'avez jamais osé sauter le pas ? La Bambu Lab P1S est une machine bien plus intéressante à moitié prix.
C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.
C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.
C'est une initiative qui semble vaine, mais qui tente le tout pour le tout : alors que le support gratuit de Windows 10 s'arrête pour de bon dans un mois, une pétition réclame un prolongement de cinq ans des patchs de sécurité, sans surcoût. En creux, il est reproché à Microsoft de réduire un peu vite la durée de vie de son O.S. et, donc, d'un grand nombre d'ordinateurs.
[Deal du jour] Idéale pour profiter de vos jeux dans les meilleures conditions possibles, la GeForce RTX 5070 Ti de Nvidia est à un très bon prix sur Amazon.
Allez, on va jouer à un jeu !
Tapez “STORD0” dans un vieil émulateur Commodore et regardez ce qui se passe. Non, ce n’est pas une commande documentée mais bien un Easter egg planqué dans Microsoft BASIC depuis 1977.
Et si je vous parle de ça, c’est parce que j’ai une bonne nouvelle. En effet, Microsoft vient de libérer le code source de ce BASIC 6502 historique sous licence MIT. Quarante-sept ans après sa création donc, on peut enfin fouiller dans les entrailles du programme qui a fait tourner des millions de machines mythiques de l’ère 8-bits. Et croyez-moi, c’est une mine d’or pour comprendre comment deux jeunes de 20 ans ont posé les fondations de ce qui deviendrait plus tard, le plus gros empire logiciel de la planète.
L’histoire commence donc en 1975 . Gates et Allen viennent de créer Microsoft (encore avec un tiret à l’époque : Micro-Soft) et leur premier produit, c’est un interpréteur BASIC pour l’Altair 8800. Le truc, c’est qu’ils n’avaient même pas la machine, du coup, ils ont développé l’émulateur sur un PDP-10 de Harvard, en se basant uniquement sur les specs du processeur Intel 8080. Et quand ils ont finalement testé leur code sur une vraie machine, ça a marché du premier coup.
La chance des débutants, on va dire ^^.
Deux ans plus tard, le MOS 6502 débarque. Moins cher que l’Intel 8080, plus simple, il va devenir LE processeur de la révolution micro-informatique. Chuck Peddle, son créateur chez MOS Technology, avait un objectif simple qui était de concevoir un processeur à 25 dollars au lieu de 300 pour l’Intel 8080. Mission accomplie évidemment… et devinez qui voulait absolument un BASIC pour accompagner son nouveau processeur ?
Commodore, qui venait de racheter MOS Technology.
La négociation entre Jack Tramiel (le légendaire patron de Commodore) et Bill Gates est même devenue mythique dans l’industrie. Tramiel, survivant de l’Holocauste devenu roi de la calculatrice puis de l’informatique, était réputé pour être un négociateur impitoyable. Sa philosophie c’était “Business is war” … Je vous laisse imaginer la mentale du bonhomme.
Et face à lui, Bilou Gates, 22 ans, lunettes énormes, qui demandait initialement 3 dollars par machine vendue. Tramiel a ri et proposé un deal unique : 25 000 dollars cash pour une licence perpétuelle. Gates a accepté…
Aujourd’hui, si Microsoft avait gardé les royalties à 3 dollars par unité comme Gates le voulait initialement, avec 17 millions de Commodore 64 vendus selon Guinness World Records , ils auraient touché plus de 50 millions de dollars rien que sur cette machine.
Mais le génie de Gates et Allen, c’était pas forcement le commerce, c’était surtout leurs capacités technique car adapter un BASIC conçu pour l’Intel 8080 au 6502, c’était pas de la tarte. Les deux processeurs avaient des architectures complètement différentes. L’Intel 8080 avait plus de registres, le 6502 compensait avec sa page zéro ultra-rapide. L’équipe Microsoft (qui comptait alors une dizaine de personnes) a dû réécrire une bonne partie du code en assembleur 6502, optimiser chaque routine pour tenir dans la mémoire limitée de l’époque… Je vous parle quand même de machines avec 4 Ko de RAM, hein, pas 4 Go !
Le code source qu’on peut consulter aujourd’hui révèle tous ces détails fascinants sur ces optimisations. Par exemple, la routine de multiplication utilise une technique de décalage et addition super élégante pour économiser des cycles processeur. Les chaînes de caractères sont gérées avec un système de garbage collection rudimentaire mais efficace. Chaque octet comptait, chaque cycle processeur était précieux. C’est de l’artisanat pur du code, à des années-lumière de nos frameworks JavaScript de 500 Mo.
L’impact de ce BASIC 6502 sur l’industrie a d’ailleurs été monumental. Steve Wozniak s’en est inspiré pour créer Integer BASIC puis Applesoft BASIC sur l’Apple II. Atari l’a utilisé comme base pour son Atari BASIC. Le TRS-80 Color Computer de Tandy/Radio Shack tournait avec. Des millions d’enfants et d’adolescents dont je fais parti, ont appris à programmer avec, tapant leurs premiers “10 PRINT HELLO” et “20 GOTO 10” sur ces machines.
Microsoft explique dans l’annonce officielle que cette libération fait partie d’un effort plus large pour préserver l’histoire de l’informatique. Certes, le Computer History Museum avait déjà publié certaines versions en 2014, mais là, c’est Microsoft directement qui ouvre ses archives. Le dépôt GitHub contient plusieurs versions historiques, incluant celles pour l’OSI Challenger 1P, le KIM-1, et bien sûr les différentes révisions Commodore.
Pour les nostalgiques et les curieux, le code est donc un vrai régal. Les commentaires en assembleur racontent une histoire. On voit l’évolution des bugs corrigés, les optimisations ajoutées version après version. Le fameux Easter egg STORD0/STORDO dont je vous parlais en intro est là aussi dans le code source. C’est un simple saut conditionnel vers une routine qui affiche “MICROSOFT!”, probablement ajouté lors d’une session de coding nocturne, quand Gates et Allen se permettaient un peu de fun dans leur code ultra-sérieux.
Au-delà de la nostalgie, cette libération a une vraie valeur éducative. Les étudiants en informatique peuvent étudier comment on programmait quand chaque byte comptait. Les développeurs d’émulateurs peuvent corriger des bugs vieux de 40 ans. Les historiens de l’informatique ont accès aux sources primaires d’un moment clé de notre industrie. C’est comme si on ouvrait les carnets de Léonard de Vinci, mais pour les geeks.
Microsoft a également choisi la licence MIT, ultra-permissive donc vous pouvez forker, modifier, vendre, faire ce que vous voulez avec ce code.
C’est un peu ironique quand on pense que Gates avait écrit sa fameuse “Open Letter to Hobbyists” en 1976 , se plaignant du piratage de son BASIC Altair. Le jeune Bill qui pestait contre le partage gratuit de logiciels se serait bien marré en voyant Microsoft open-sourcer son travail aujourd’hui.
Ce qui est fou, c’est quand même de réaliser que ce petit bout de code a généré une industrie de plusieurs trilliards de dollars. Sans ce BASIC 6502, pas de Commodore 64 (la machine la plus vendue de l’histoire), pas d’Apple II tel qu’on le connaît, pas de génération de programmeurs formés dans les années 80. Microsoft aurait peut-être mis la clé sous la porte sans ces revenus initiaux et l’histoire de l’informatique personnelle aurait été complètement différente.
L’équipe de Microsoft en 1978
Maintenant, pour ceux qui veulent jouer avec, le code compile toujours avec les assembleurs modernes comme ca65. Vous pouvez donc le faire tourner dans n’importe quel émulateur 6502. Certains ont déjà commencé à créer des versions modernisées, ajoutant des commandes, corrigeant des bugs historiques, ou portant le code sur des architectures modernes. Le projet est donc hyper vivant sur GitHub, avec déjà des dizaines de forks et de pull requests.
Un détail amusant c’est que ce code révèle que Microsoft avait prévu dès le départ la possibilité d’étendre le langage avec des commandes custom. Une architecture modulaire en 1977, c’est fort ! Certains constructeurs comme Commodore ont d’ailleurs ajouté leurs propres extensions pour gérer les sprites, le son, les graphismes. Et le code BASIC de Microsoft, solide comme un roc, continuait de tourner de la même façon sur toutes les machines.
Cette libération arrive également à un moment symbolique car l’informatique rétro n’a jamais été aussi populaire. Des projets comme le Commander X16 de David Murray tentent de recréer l’esprit des machines 8-bits avec du hardware moderne et ce BASIC 6502 open source pourrait devenir la base de nouveaux projets éducatifs, de nouvelles machines rétro, ou simplement servir à comprendre d’où on vient.
Alors oui, c’est juste du vieux code. Mais c’est LE vieux code. Celui qui a permis à une génération entière de découvrir la programmation. Celui qui a transformé Microsoft de startup dans un garage en empire mondial. Celui qui cache encore, 47 ans plus tard, des Easter eggs et des secrets.
Donc, si vous avez 5 minutes, allez jeter un œil au repo GitHub . C’est un voyage dans le temps, à l’époque où 16 Ko de RAM c’était le futur, et où deux jeunes pouvaient changer le monde avec quelques milliers de lignes d’assembleur.
Ça va, elle vous plait toujours ma série de l’été ? Je suis loin d’avoir fini mais on fera une petite pause bientôt. Toutefois, rassurez-vous, j’en ai encore sous le pied. La preuve avec cette nouvelle histoire d’un ver informatique qui a foutu le bordel sur Internet en juillet 2001.
Code Red. Un nom qui fait encore trembler les admins système qui l’ont vécu. Des centaines de milliers de serveurs infectés en quelques heures, des milliards de dégâts, et la Maison Blanche obligée de changer l’adresse IP de son site web pour éviter une attaque DDoS massive.
Et tout ça, découvert par deux hackers qui buvaient du Mountain Dew Code Red dans leur bureau de Californie un vendredi soir. Mais le plus dingue dans cette histoire, c’est surtout que la vulnérabilité exploitée avait été découverte un mois plus tôt.
Microsoft avait même publié le patch MS01-033, mais personne ne l’avait installé. Du coup, le 19 juillet 2001, Internet a découvert ce que pouvait faire un ver capable de se propager automatiquement sans intervention humaine….
Voici donc l’histoire complète de Code Red, depuis la découverte de la faille jusqu’à la panique mondiale.
L’histoire commence avec Riley Hassell, qui travaille chez eEye Digital Security à Aliso Viejo en Californie. En juin 2001, ce chercheur en sécurité passe ses soirées à chercher des vulnérabilités dans les logiciels populaires. Pas pour faire le mal, juste pour le défi, pour la gloire dans la communauté underground. Riley fait partie de cette génération de hackers qui considère que trouver des failles est un sport intellectuel.
Un soir, Riley s’attaque à IIS (Internet Information Services), le serveur web de Microsoft. IIS propulse des millions de sites web dans le monde, des petites entreprises aux gouvernements et si vous trouvez une faille dedans, c’est le jackpot. Riley commence donc à fuzzer l’ISAPI (Internet Server Application Programming Interface) d’IIS, envoyant des requêtes malformées pour voir comment le serveur réagit. Il faut savoir qu’à l’époque, IIS 5.0, intégré à Windows 2000, était devenu une cible de choix avec ses nouvelles fonctionnalités WebDAV et ses méthodes d’authentification avancées.
Et là, bingo. Riley découvre que si vous envoyez une requête GET avec une URL super longue au fichier idq.dll (utilisé par l’Indexing Service d’IIS), le serveur plante. Mieux encore, avec la bonne séquence de caractères, vous pouvez exécuter du code arbitraire sur le serveur. C’est ce qu’on appelle un buffer overflow, le Saint Graal des vulnérabilités. Plus précisément, la faille se trouve dans la façon dont idq.dll gère les requêtes puisque le filtre ISAPI .ida (indexing service) ne vérifie pas correctement les limites de ses buffers d’entrée.
Riley et l’équipe d’eEye publient leur découverte le 18 juin 2001. Microsoft réagit immédiatement en publiant le bulletin de sécurité MS01-033 et un patch. L’alerte est claire, cette vulnérabilité est critique car elle permet de prendre le contrôle total d’un serveur IIS avec des privilèges SYSTEM. Le bulletin précise aussi que la vulnérabilité affecte IIS 4.0 sur Windows NT 4.0 et IIS 5.0 sur Windows 2000.
Sauf que voilà, personne n’installe ce patch. C’est dramatique, mais les admins système sont débordés, les entreprises ont peur de “casser” leurs applications, et puis bon, qui va vraiment exploiter cette faille ? Un mois passe et les serveurs restent vulnérables…
Les premiers signes d’alerte apparaissent finalement le 12 juillet 2001. Ken Eichman, ingénieur sécurité senior chez Chemical Abstract Services, remarque quelque chose d’étrange dans ses logs. Trois tentatives d’accès illégales depuis une seule adresse IP, apparemment en provenance de l’Université de Foshan en Chine. Et le lendemain, le 13 juillet, c’est l’escalade : 611 attaques depuis 27 serveurs différents. Eichman, contributeur régulier de DShield.org, alerte alors Johannes Ullrich. Le samedi 14 juillet, les sources d’attaque dépassent les 1 000. Le lundi 16 juillet, la confirmation tombe : c’est un ver.
A l’époque, les experts pensent à des scans de routine, donc rien d’alarmant. Mais ils ont tort car le ver est programmé pour rester relativement dormant jusqu’au 19 juillet inclus. C’est donc une énorme bombe à retardement.
Car quelque part dans le monde, un ou plusieurs programmeurs anonymes ont en réalité créé quelque chose de dangereusement nouveau… Ils ont pris la vulnérabilité découverte par Riley et codé le premier véritable ver informatique à propagation automatique. Pas besoin d’envoyer des emails, pas besoin d’interaction humaine. Le ver scanne Internet, trouve les serveurs IIS vulnérables, les infecte, et utilise ces nouveaux zombies pour scanner encore plus vite. Le code, écrit en assembleur Win32 Intel, ne fait que quelques milliers d’octets… C’est une œuvre d’art malveillante en miniature.
Le ver exploite astucieusement l’absence d’ASLR (Address Space Layout Randomisation) et de DEP (Data Execution Prevention) dans Windows 2001. Les DLLs se chargent toujours aux mêmes adresses sur tous les systèmes. Comme ça, le ver sait que l’adresse mémoire 0x7801CBD3 pointera vers MSVCRT.DLL, qui est la bibliothèque Microsoft Visual C Runtime. À cette adresse précise, il trouve l’instruction machine CALL [EBX], et ce registre EBX contient une adresse sur la pile modifiée par le fameux buffer overflow. Du coup le CPU exécute directement le code du ver. C’est du génie maléfique !
Dans les bureaux d’eEye Digital Security en Californie, Marc Maiffret et Ryan Permeh travaillent tard ce jeudi 19 juillet. Maiffret, qui n’a que 20 ans, est déjà une légende dans le milieu. Ancien hacker sous le pseudo “Chameleon”, il a fondé eEye à 17 ans après une visite du FBI chez lui. Ironie du sort, quelques semaines après cette visite, il s’associait avec Firas Bushnaq pour créer la société. Ryan Permeh, son collègue et ami, est quant à lui surnommé “Overflow Ninja” pour son expertise en reverse engineering.
Marc Maiffret (à gauche), Ryan Permeh (au milieu) et Riley Hassel (à droite) - source
Vers 20 heures, leurs systèmes de détection s’affolent. Un truc bizarre se passe sur Internet. Des milliers de serveurs IIS tentent de se connecter à d’autres serveurs avec des requêtes étranges contenant “/default.ida?” suivi d’une longue chaîne de caractères de ‘N’ et de shellcode encodé. Maiffret et Permeh commencent alors à analyser le trafic. Et ce qu’ils découvrent les glace.
C’est un ver qui exploite la vulnérabilité MS01-033 découverte par leur collègue Riley Hassell. Mais contrairement aux virus classiques, ce ver n’a pas besoin d’intervention humaine. Il scanne les adresses IP de manière pseudo-aléatoire avec une seed fixe, cherchant le port 80 (HTTP). Quand il trouve un serveur IIS non patché, il envoie sa charge utile et prend le contrôle du serveur.
Une fois installé, le ver fait plusieurs choses. D’abord, sur les systèmes en anglais, il défigure le site web en affichant un message : “HELLO! Welcome to http://www.worm.com ! Hacked By Chinese!” Un message provocateur qui fait immédiatement penser à une attaque chinoise.
En effet, le contexte géopolitique est tendu car trois mois plus tôt, le 1er avril 2001, un avion espion américain EP-3 et un chasseur chinois J-8 sont entrés en collision au-dessus de la mer de Chine méridionale. Le pilote chinois Wang Wei est mort, et l’équipage américain a été détenu pendant 11 jours. S’en est suivie une cyber-guerre entre hackers patriotes des deux pays. Ainsi, la Honker Union chinoise et des groupes américains se sont affrontés, défaçant des centaines de sites.
Maiffret et Permeh réalisent l’ampleur de la catastrophe. Ils ont besoin d’un nom de code pour l’incident. Sur le bureau, une canette de Mountain Dew Code Red, la nouvelle boisson caféinée rouge cerise lancée quelques semaines plus tôt. “Code Red”, dit-il. Le nom est parfait car c’est une alerte rouge pour Internet.
Mais ce n’est que la partie visible de l’iceberg. Le ver installe aussi une backdoor, désactive le service d’indexation d’IIS pour éviter les plantages, et surtout, il contient une bombe logique car à partir du 20 juillet, et jusqu’au 28 de chaque mois, tous les serveurs infectés lanceront une attaque DDoS coordonnée contre l’IP 198.137.240.91. C’est celle de www.whitehouse.gov . Des centaines de milliers de serveurs zombies s’apprêtent à bombarder simultanément le site du président américain. C’est de la cyberguerre, ni plus ni moins, cependant, le ver a une faiblesse : il cible une IP hardcodée, et pas le nom de domaine.
Les deux chercheurs passent la nuit à analyser le ver. Le code est relativement simple mais très efficace. Avec ses 100 threads simultanés pour scanner Internet, chaque serveur infecté devient un nouveau point de départ pour l’infection. C’est de la croissance exponentielle pure. Le ver cherche d’abord kernel32.dll en mémoire, scannant la plage 77E00000h–78000000h par incréments de 64K à la recherche de la signature ‘MZ’. S’il ne trouve rien, il essaie à partir de 0BFF00000h, supposant qu’il tourne peut-être sur Windows 9x plutôt que NT.
Le plus brillant dans le code, c’est la méthode de génération des adresses IP. Grâce à un générateur pseudo-aléatoire avec une seed fixe basée sur la date, tous les vers scannent les mêmes adresses dans le même ordre, évitant ainsi de saturer inutilement les mêmes cibles. C’est de l’optimisation de haute volée. Si SP1 ou SP2 est installé sur la machine, ou si elle tourne sous Windows NT 4.0, le ver ne peut pas se propager et le service WWW Publishing d’IIS plante simplement.
Au matin du 19 juillet, eEye publie une alerte d’urgence. Mais c’est déjà trop tard. Le ver se propage à une vitesse folle. À midi, plus de 100 000 serveurs sont infectés. David Moore et Colleen Shannon du CAIDA (Cooperative Association for Internet Data Analysis) à l’UC San Diego observent des chiffres hallucinants : en 14 heures, Code Red infecte 359 000 serveurs. Le pic d’infection atteint plus de 2 000 nouveaux hôtes par minute. Les réseaux commencent à saturer sous le trafic de scan.
Les CERT (Computer Emergency Response Team) publient l’Advisory CA-2001-19 à 14h00 et Microsoft republie en urgence son patch avec des avertissements en gros caractères. Les FAI commencent à bloquer le trafic suspect mais le ver est déjà partout. Le FBI et le NIPC (National Infrastructure Protection Center) lancent une enquête.
La communauté de la sécurité informatique est en ébullition. Sur Bugtraq, SecurityFocus, et les mailing lists, les experts échangent frénétiquement des informations. Comment stopper le ver ? Comment protéger les serveurs ? Comment éviter l’attaque DDoS contre la Maison Blanche prévue pour le lendemain ?
Car c’est ça le vrai danger. Si des centaines de milliers de serveurs attaquent simultanément whitehouse.gov, non seulement le site tombera, mais les dégâts collatéraux seront énormes. Les routeurs Internet pourraient saturer, les DNS pourraient flancher. C’est potentiellement Internet tout entier qui pourrait être affecté. 43% des serveurs infectés sont aux États-Unis, 11% en Corée, 5% en Chine, 4% à Taiwan.
La Maison Blanche prend la menace au sérieux. Une réunion de crise est organisée avec Akamai Technologies, qui héberge le site. La décision est radicale : Il faut changer l’adresse IP de whitehouse.gov. Si le ver attaque l’ancienne IP hardcodée, il ne touchera qu’une adresse vide.
Le 19 juillet au soir, Akamai procède au changement d’IP en urgence. L’opération est délicate : il faut propager la nouvelle adresse dans tous les serveurs DNS du monde. Normalement, ça prend 24 à 48 heures. Ils n’ont que quelques heures….
Les dégâts sont considérables car des milliers de sites web affichent “Hacked by Chinese!” au lieu de leur contenu normal. Des entreprises perdent des millions en revenus. Les équipes IT travaillent jour et nuit pour patcher et nettoyer les serveurs. Le coût total sera estimé à 2,6 milliards de dollars par Computer Economics : 1,1 milliard en coûts de nettoyage et 1,5 milliard en perte de productivité.
Mais le pire est évité. Le 20 juillet à 20h00, quand les serveurs infectés lancent leur attaque DDoS, ils bombardent l’ancienne IP de whitehouse.gov. Et rien. Ouf, la Maison Blanche a réussi son pari. Le stratagème a fonctionné parfaitement.
De plus, le ver Code Red original a une particularité : il ne survit pas au redémarrage. Il persiste uniquement en mémoire vive. Redémarrez le serveur, et il disparaît. Mais si vous ne patchez pas, il sera réinfecté en quelques minutes par un autre serveur zombie. C’est Sisyphe version numérique. Le ver est d’ailleurs programmé pour arrêter de scanner après minuit UTC et reprendre son activité le 1er et le 19 de chaque mois.
Et le 31 juillet, sans surprise, le ver se réactive comme prévu provoquant une nouvelle vague d’infections, et un nouveau chaos. Cette fois, les admins sont mieux préparés, mais les dégâts restent importants. Le CERT publie l’Advisory CA-2001-23 “Continued Threat of the Code Red Worm”.
Et puis, le 4 août 2001, c’est l’escalade. Une nouvelle variante apparaît : Code Red II. Malgré son nom, c’est un ver complètement différent, écrit par d’autres auteurs qui ont juste inclus la chaîne “CodeRedII” dans leur code. Au lieu de défigurer les sites, il installe une backdoor permanente qui survit aux redémarrages.
Code Red II modifie le système pour permettre l’exécution de commandes à distance. Il copie cmd.exe (l’invite de commandes Windows) dans les répertoires web comme “scripts” et “msadc”. N’importe qui peut maintenant exécuter des commandes sur les serveurs infectés via une simple URL. C’est la porte ouverte au pillage de données. Le ver installe aussi un rootkit appelé “Virtual Root” et n’a pas de fonction DDoS mais cherche à infecter les systèmes proches géographiquement.
Code Red II a été programmé pour se propager plus agressivement en Chine. Si le système infecté est configuré en chinois, le ver lance alors 600 threads de scan au lieu de 300. C’est drôle, vu le message “Hacked by Chinese!” de la première version. Le ver s’arrête de fonctionner après le 1er octobre 2001.
Bien sûr la communauté chinoise proteste contre l’amalgame créé par le message et le gouvernement chinois dément toute implication. Les experts en sécurité sont également sceptiques car le message semble être une diversion. eEye pense que le ver vient de Makati City aux Philippines, le même endroit d’où venait le ver VBS LoveLetter .
En réalité, l’origine de Code Red reste encore aujourd’hui mystérieuse car contrairement à ILOVEYOU (de Onel de Guzman aux Philippines) ou Solar Sunrise (deux ados californiens), aucun auteur n’a jamais été identifié. Les théories abondent bien sûr. Certains pensent que ce seraient des hackers chinois de la Honker Union, d’autres un groupe criminel russe, ou un script kiddie américain provocateur, ou encore un false flag d’une agence de renseignement… Le mystère reste entier…
Ce qui est sûr, c’est que Code Red a fait découvrir au monde la puissance des vers à propagation automatique. Plus besoin de social engineering, plus besoin que des utilisateurs cliquent sur des pièces jointes. Un ver se propage maintenant tout seul, exploitant la négligence des admins.
Grâce à sa découverte, Marc Maiffret devient une célébrité du jour au lendemain. Ce jeune de 20 ans qui a baptisé Code Red est invité sur CNN, interrogé par le FBI, consulté par le Congrès américain…etc. Ryan Permeh, plus discret mais tout aussi brillant, continue à l’époque son travail de reverse engineering et dans les mois qui suivent, lui et Maiffret découvriront des dizaines d’autres vulnérabilités critiques dans les produits Microsoft. De son côté, Permeh co-fondera plus tard Cylance, vendue à BlackBerry pour 1,4 milliard de dollars en 2020, puis rejoindra SYN Ventures comme partenaire.
Riley Hassell, le découvreur de la vulnérabilité originale, dira bien plus tard dans une interview : “J’ai publié la vulnérabilité de manière responsable. Microsoft a publié un patch. Ce n’est pas ma faute si personne ne l’a installé.” Il travaillera ensuite pour @stake, Immunity, et d’autres grandes boîtes de sécurité.
L’impact de Code Red sur l’industrie sera d’ailleurs profond et durable débutant en janvier 2002, par Bill Gates qui lancera l’initiative “Trustworthy Computing” afin que la sécurité soit au cœur du développement. Le projet Windows Server 2003 sera même arrêté pendant deux mois pour former tous les développeurs à la sécurité. C’est un tournant historique pour Microsoft.
Microsoft accélère aussi son programme de patchs mensuels “Patch Tuesday”, lancé en octobre 2003 et les entreprises commencent à prendre au sérieux la gestion des vulnérabilités. Les outils de scan automatique et de déploiement de patchs deviennent la norme et Windows Server Update Services (WSUS) est développé.
Code Red inspire aussi une nouvelle génération de malwares tel que, en janvier 2003, SQL Slammer (seulement 376 octets !) qui infectera 75 000 serveurs en 10 minutes, doublant de taille toutes les 8,5 secondes. Un record jamais battu. Puis en août 2003, Blaster exploitera une faille RPC Windows. Il y a eu également Welchia/Nachi qui tentera de nettoyer Blaster… un ver “bénéfique” mais qui en réalité causera autant de problèmes. Sans oublier Conficker en 2009 qui infectera des millions de machines.
Le Mountain Dew Code Red, la boisson qui a donné son nom au ver, profite également de la publicité gratuite. Lancé quelques semaines avant l’incident, le soda devient rapidement culte dans la communauté tech et les hackers et les admins système adoptent la boisson comme leur carburant officiel.
En 2002, David Moore, Colleen Shannon et leurs collègues du CAIDA publieront une analyse détaillée dans IEEE Security & Privacy et leurs conclusions sont glaçantes : si Code Red avait été mieux conçu, il aurait pu infecter la quasi-totalité des serveurs vulnérables en moins d’une heure. L’article devient une référence, mais aussi un manuel involontaire pour les futurs créateurs de vers. C’est le dilemme éternel de la recherche en sécurité qui est de publier pour éduquer et protéger, au risque d’armer les attaquants.
Bref, la prochaine fois que Windows vous harcèle pour installer des mises à jour, pensez à Code Red et cliquez sur “Installer maintenant” !!!
Sources : Wikipedia - Code Red , CAIDA Analysis of Code-Red , ACM SIGCOMM - Code-Red case study , Microsoft Security Bulletin MS01-033 , CERT Advisory CA-2001-19 , GIAC - The Code Red Worm , Scientific American - Code Red , GAO Report on Code Red , Microsoft Trustworthy Computing , Houston Chronicle - Code Red costs
Le Patch Tuesday d'aout 2025 a débuté. Microsoft colmate des dizaines de failles de sécurité dans Windows 10 et Windows 11. Bilan !
Cet article Le Patch Tuesday d’aout 2025 débute, tous les détails a été publié en premier par GinjFo.
Apple pourrait lancer un MacBook pas cher à seulement 599 dollars, mais avec une spécificité. En effet, ce dernier pourrait être doté d'une puce d'iPhone 16 Pro.
L’article Apple préparerait un MacBook pas cher avec une puce d’iPhone 16 Pro est apparu en premier sur Tom’s Hardware.
Les tensions commerciales entre Washington et Pékin sur la question cruciale des semi-conducteurs n'en finissent plus. Nvidia se retrouve cet été au cœur des soupçons : la Chine exige des « preuves de sécurité convaincantes » concernant ses puces H20, soupçonnées d’abriter des portes dérobées.
Proton annonce le lancement de Proton Authenticator, un logiciel pour smartphone et pour ordinateur pour gérer ses codes pour la double authentification. L'outil vient challenger les ténors du genre, comme Google Authenticator.
Proton annonce le lancement de Proton Authenticator, un logiciel pour smartphone et pour ordinateur pour gérer ses codes pour la double authentification. L'outil vient challenger les ténors du genre, comme Google Authenticator.
Les emails frauduleux sont aujourd’hui l’un des moyens les plus utilisés par les cybercriminels pour piéger leurs victimes.
Derrière un message bien formulé peut se cacher une tentative de vol d’identifiants, d’injection de malware ou une arnaque visant à vous faire transférer de l’argent.
Ces attaques ne visent pas que les professionnels ou les “gros comptes” : tout le monde peut être ciblé, à partir d’une simple adresse email.
Dans cet article, vous allez apprendre à :
Ces bonnes pratiques s’appliquent aussi bien dans un cadre personnel que professionnel, et permettent de réduire considérablement les risques d’attaque.
Tous les emails frauduleux ne sont pas évidents à repérer. Certains sont grossiers, d’autres très bien construits et capables de tromper même des utilisateurs expérimentés.
Voici les principaux éléments à vérifier pour détecter un email potentiellement dangereux :
L’un des premiers éléments à vérifier est l’adresse email réelle de l’expéditeur — pas uniquement le nom affiché. Il est facile d’écrire “Amazon Service” ou “Support Impôts” dans l’en-tête d’un mail, mais l’adresse qui se cache derrière en dit souvent long.
Les cybercriminels utilisent souvent des adresses qui ressemblent fortement à des adresses officielles, en jouant sur des variantes :
Connexion@service-amazon.com, @orange-client.fr@gouvfr.com, @amendes-info.fr, @xxx-gouv.frCette technique s’appelle le typosquatting : elle consiste à enregistrer des noms de domaines qui imitent de vrais domaines (officiels ou connus) pour tromper les victimes.
Exemple réel : des campagnes de phishing ou de SMS frauduleux prétendant provenir de l’ANTAI (Agence nationale de traitement automatisé des infractions) ont utilisé des domaines comme paiement-amendes-gouvfr.com ou antai-securite.info.
À lire : Arnaque au retard d’amende non payé (phishing)
Pour en savoir plus sur cette méthode de tromperie : Combosquatting : inciter à faire confiance à des URL malveillants et Typosquatting : quand les pirates imitent les vrais sites
Un email frauduleux utilise souvent un ton urgent ou menaçant : “Votre compte sera suspendu”, “Dernier avis avant suppression”, ou “Vous avez gagné un iPhone”.
Parfois, le message reste vague, impersonnel ou vous pousse à cliquer sans explication. Le but est simple : vous faire réagir vite, sans réfléchir.
Avant de cliquer sur un lien, prenez le temps de survoler l’adresse (sans cliquer). Lien affiché et destination réelle peuvent ne pas correspondre. Il arrive aussi que des URL soient raccourcies (bit.ly, tinyurl) ou hébergées sur des domaines obscurs. Si l’adresse semble incohérente ou inconnue, évitez d’y accéder.
Les pièces jointes sont l’un des moyens les plus courants pour diffuser des malwares. Les fichiers dangereux les plus utilisés sont les .exe, .js, .vbs, .scr, ou encore certains documents Office piégés comme les .docm (Word avec macro active).
Mais pour éviter d’être détectés par les antivirus ou éveiller les soupçons, ces fichiers malveillants sont souvent dissimulés dans une archive compressée de type .zip ou .rar.
L’internaute pense ouvrir une pièce jointe banale, mais c’est à l’intérieur que se cache le vrai danger.
L’astuce de la double extension :
Une autre méthode courante consiste à utiliser une double extension. Par exemple, un fichier malveillant peut être nommé facture.pdf.exe ou photo.jpg.scr.
Sur Windows, si les extensions sont masquées (ce qui est le cas par défaut), l’utilisateur ne verra que “facture.pdf” — et pensera à tort qu’il s’agit d’un document.
Voici un exemple où un fichier ZIP de facture, semble être un fichier PDF, mais regardez la colonne Type.
L’attaquant a même pris le soin d’ajouter des espaces pour véritablement cacher l’extension si la colonne est trop petite.
Ainsi, en réalité, c’est un exécutable déguisé. À lire : Extensions de fichiers masquées sur Windows et les problèmes de sécurité
Si vous n’attendez pas de pièce jointe, même venant d’un contact connu, ne l’ouvrez jamais sans vérification préalable. Et surtout :
Enfin, le style d’écriture peut trahir l’arnaque. Un texte truffé de fautes, des tournures maladroites, des logos pixelisés ou une signature inhabituelle sont autant d’indices.
Les messages sont parfois mal traduits ou générés automatiquement, ce qui les rend faciles à repérer avec un peu d’attention.
Lorsque le contenu d’un email vous semble suspect, il est utile d’aller plus loin que la simple lecture. Quelques vérifications techniques simples permettent de mieux comprendre si un message est frauduleux, sans nécessiter de compétences avancées.
Dans de nombreux clients email, seul le nom de l’expéditeur est visible par défaut. Il est important d’afficher l’adresse réelle pour vérifier qu’elle correspond bien à l’entreprise ou au contact supposé.
Par exemple, un message affiché comme « Amazon Support » peut en réalité venir de [email protected].
Sur Outlook, Gmail, Thunderbird ou sur smartphone, il est généralement possible d’appuyer ou de cliquer sur le nom pour voir l’adresse complète.
Un lien peut sembler légitime, mais rediriger vers un site piégé.
Avant de cliquer, survolez le lien avec votre souris : l’adresse réelle s’affiche en bas du navigateur ou du client mail. Si elle vous paraît étrange, avec des fautes, des sous-domaines farfelus ou un nom de domaine inconnu, ne cliquez pas.
Chaque email contient des informations techniques appelées en-têtes (headers), qui permettent de retracer son parcours depuis l’expéditeur jusqu’à votre boîte mail.
On y trouve notamment :
Ces technologies ne sont pas toujours visibles à l’utilisateur final, mais les clients mail avancés ou certains outils d’analyse permettent de les inspecter. Voici ce qu’elles signifient :
Si l’un ou plusieurs de ces mécanismes échouent, cela peut indiquer un spoofing ou une tentative d’usurpation de domaine.
En général, le Webmail ou le client mail propose une option « Afficher l’original » ou « Afficher l’en-tête« .
Par exemple, lorsque dmarc échoue, on obtient la mention « dmarc=fail« .
Authentication-Results: mail.protonmail.ch; dmarc=fail (p=none dis=none) header.from=malekal.com
Authentication-Results: mail.protonmail.ch; spf=none smtp.helo=[10.88.0.3]
Authentication-Results: mail.protonmail.ch; arc=none smtp.remote-ip=35.233.21.33
Authentication-Results: mail.protonmail.ch; dkim=none
Notez que certains webmail peuvent faire l’effort d’afficher cette information.
Par exemple, ci-dessous, ce mail d’arnaque tente d’envoyer un mail d’erreur et de notice se faisant passer pour @malekal.com (spoofing).
Protonmail indique que l’adresse email de l’expéditeur ne répond pas aux exigences d’authentification du domaine.
L’analyse complète des headers demande un certain niveau technique. Elle est donc plutôt réservée aux utilisateurs avancés, aux administrateurs ou aux analystes en sécurité.
Mais, des outils en ligne peuvent vous aider à les décrypter facilement, comme :
Si vous avez un doute sur un fichier ou un lien, vous pouvez le tester sans risque sur un site spécialisé comme VirusTotal.
Ce service analyse le contenu avec plusieurs antivirus simultanément, sans l’ouvrir sur votre machine. Vous pouvez y uploader une pièce jointe ou coller un lien suspect pour voir s’il est reconnu comme dangereux.
Pour vous aider :
Recevoir un email suspect n’est pas rare. Mais ce n’est pas parce qu’un message semble étrange qu’il faut paniquer — ni cliquer pour en avoir le cœur net. Voici les bons réflexes à adopter dès que vous avez le moindre doute.
Signalez le message. Si vous avez identifié un email frauduleux, vous pouvez :
Enfin, une fois le doute levé, supprimez le message de votre boîte. Vous pouvez aussi vider la corbeille pour éviter de le rouvrir accidentellement plus tard.
| Vérification | Ce qu’il faut observer | À éviter / À faire |
|---|---|---|
| Adresse de l’expéditeur | Est-ce un domaine légitime ? (@gouv.fr, @edf.fr) | Méfiez-vous des adresses ressemblantes : @orange-client.fr |
| Ton du message | Urgence, menace, récompense, relance agressive | Ne vous laissez pas presser. Prenez le temps de réfléchir. |
| Liens dans le message | Lien visible = lien réel ? Survolez pour vérifier | Ne cliquez pas si l’adresse est étrange ou raccourcie (bit.ly, etc.) |
| Pièces jointes | Fichier inattendu, extension inhabituelle (.exe, .js, .docm, .zip) | Ne l’ouvrez pas sans vérification via VirusTotal |
| Orthographe et mise en forme | Fautes, traduction automatique, logo flou, format étrange | Un message mal écrit est un bon signal d’alerte |
Pour aller plus loin, voici un guide pour vous protéger concrètement contre ce type de menaces informatiques.
Vous y découvrirez :
L’article comment vérifier si un mail est frauduleux est apparu en premier sur malekal.com.
On croit souvent qu’installer un antivirus suffit à protéger son PC. En réalité, la sécurité informatique ne dépend pas uniquement d’un logiciel, mais avant tout de vos comportements et de votre vigilance.
Les cybercriminels ne ciblent pas seulement les failles techniques, mais exploitent surtout les erreurs humaines : téléchargements de cracks, clics sur des liens douteux, logiciels non à jour, programmes installés sans attention…
Dans cet article, vous découvrirez les véritables causes d’infection, les profils les plus exposés, et surtout, les bonnes pratiques à adopter pour sécuriser efficacement votre ordinateur au quotidien — bien au-delà de l’antivirus.
Quand on parle de sécurité informatique, beaucoup pensent qu’il suffit d’installer un antivirus pour être protégé. C’est une idée reçue largement répandue… et pourtant, loin de suffire.
Aujourd’hui, les cybercriminels n’utilisent plus seulement des virus classiques. Ils s’appuient sur l’erreur humaine, l’ignorance technique ou la naïveté de l’utilisateur pour infecter les systèmes :
faux logiciels, cracks piégés, fausses mises à jour, extensions malveillantes, pièges par email ou publicité…
Autrement dit : ce n’est pas parce que vous avez un antivirus actif que vous êtes protégé.
Le risque d’infection dépend davantage de votre comportement que du logiciel que vous utilisez.
L’objectif de cet article est de remettre les bases en place, et de vous expliquer concrètement :
Vous verrez qu’il n’existe pas une solution unique à appliquer, mais plutôt une hygiène numérique à adopter.
Et, c’est bien cette attitude qui fait la différence entre un utilisateur infecté… et un autre qui ne l’est jamais.
Les malwares (virus, chevaux de Troie, logiciels espions…) ne sont pas créés “au hasard” pour nuire gratuitement. Aujourd’hui, le principal moteur des cyberattaques est l’argent.
Chaque PC infecté peut générer du profit pour les pirates, de différentes manières :
C’est ce qu’on appelle le business des malwares.
Pour maximiser leurs gains, les cybercriminels cherchent donc à infecter un maximum de machines.
Et, pour y arriver, ils exploitent les failles humaines, techniques et comportementales des utilisateurs ordinaires.
Chaque jour, des milliers de nouvelles variantes de malwares sont mises en ligne, souvent conçues pour passer temporairement sous les radars des antivirus. Durant cette fenêtre de temps, vous êtes vulnérable, même si votre antivirus est à jour.
La majorité des infections ne viennent pas d’un “virus qui traîne sur internet”, mais d’un comportement à risque de l’utilisateur, souvent sans qu’il en ait conscience.
Voici les principaux vecteurs d’infection rencontrés au quotidien :
Dans tous ces cas, l’utilisateur reste le maillon faible, notamment lorsqu’il télécharge, clique ou installe sans vérifier la fiabilité de la source.
Pour un tour d’horizon complet des méthodes utilisées par les cybercriminels, consultez notre article détaillé : Les Virus et Trojan : comment ils infectent les PC
Tous les utilisateurs ne courent pas le même risque d’infection. En sécurité informatique, tout est une affaire de probabilité, et certains profils sont statistiquement plus vulnérables que d’autres.
Voici les cas les plus courants :
Les personnes âgées sont particulièrement ciblées par des formes de social engineering :
Ces attaques ne reposent pas sur une faille technique, mais sur la peur, l’urgence et la confiance naïve dans l’autorité. Elles peuvent aboutir à une prise de contrôle à distance, au vol de données bancaires, ou à l’installation de programmes malveillants.
Les auteurs de malwares ciblent massivement ce profil, car il est facile à piéger. Un crack sur deux est infecté, modifié ou lié à une offre déguisée (faux site, installateur piégé, bundle).
Et au moment où l’utilisateur s’en rend compte… il est souvent déjà trop tard.
Ce profil est victime non pas d’ignorance technique, mais de naïveté comportementale.
On entend souvent la question : “Quel antivirus faut-il installer ?”
Mais comme expliqué depuis le début de ce guide, la sécurité informatique ne dépend pas uniquement d’un logiciel.
C’est avant tout une affaire de comportement, de vigilance, et de compréhension des risques.
Même avec un bon antivirus, vous pouvez vous faire piéger.
À l’inverse, un utilisateur attentif, même équipé d’un antivirus basique, réduira considérablement ses risques d’infection.
L’antivirus est un filet de sécurité, pas un pare-feu infaillible.
Il peut :
Mais, il n’empêche pas l’utilisateur de faire des erreurs :
installer un programme piégé, désactiver sa protection, ouvrir une pièce jointe douteuse, ou donner ses identifiants sur une fausse page.
C’est pourquoi même un antivirus performant ne protège pas de tout, surtout face aux nouvelles menaces (malwares inédits, phishing bien conçu, attaques ciblées, etc.).
Voici les principales règles simples à appliquer pour se protéger efficacement en 2025, avec ou sans antivirus :
En liens :
On cherche souvent la bonne solution de sécurité : un antivirus, un logiciel miracle, une « astuce » pour éviter les infections.
Mais, la réalité est simple : la meilleure protection, c’est vous.
Il n’existe pas de configuration magique, ni de protection parfaite. Même avec un antivirus réputé, un pare-feu renforcé ou un système à jour, vous pouvez être infecté si vous adoptez de mauvaises habitudes.
La sécurité ne repose pas uniquement sur les outils, mais sur votre comportement :
La majorité des infections se produisent par négligence, naïveté ou automatisme.
Ce sont les petites habitudes du quotidien qui font toute la différence : un peu de recul, un peu de méfiance, un minimum de bon sens informatique… et vous évitez 95 % des menaces.
En cybersécurité, il vaut mieux être un utilisateur moyen, mais attentif, qu’un utilisateur confiant avec des outils puissants cependant mal utilisés.
L’article La sécurité de son PC, c’est quoi ? est apparu en premier sur malekal.com.
On imagine souvent les malwares comme des virus “créés pour nuire”, sans but précis. En réalité, les infections informatiques sont aujourd’hui le moteur d’un immense écosystème criminel qui brasse des millions d’euros chaque année.
Derrière chaque PC infecté, chaque popup de publicité ou chaque ransomware se cache un modèle économique bien rodé, avec ses outils, ses services, ses clients… et ses profits.
Le malware n’est plus un simple programme malveillant : c’est un vecteur de revenus, utilisé par des groupes organisés qui exploitent la naïveté des internautes et les failles du Web.
Dans cet article, nous vous dévoilons comment les cybercriminels gagnent de l’argent grâce aux malwares :
Ce dossier vous montre que derrière chaque infection, il y a un business — et souvent, plusieurs intermédiaires qui en profitent.
Infecter un ordinateur n’est pas une fin en soi : c’est un moyen lucratif. Aujourd’hui, la majorité des malwares sont conçus pour générer du profit, pas simplement pour “casser des systèmes”.
Chaque machine compromise représente une ressource exploitable pour un cybercriminel :
elle peut afficher des publicités, envoyer du spam, miner de la cryptomonnaie, servir de relais pour des attaques, ou simplement devenir une porte d’entrée vers des données personnelles ou bancaires.
Plus un malware est installé sur de nombreux PC, plus il peut :
L’infection devient alors un investissement rentable dans un véritable écosystème souterrain.
À grande échelle, un réseau de PC infectés (botnet) peut rapporter des milliers d’euros par jour à son opérateur, avec très peu de frais techniques.
Dans les prochaines sections, nous allons passer en revue les principales méthodes utilisées pour monétiser les infections, et comprendre comment ce business s’est structuré autour de l’exploitation des utilisateurs.
Un botnet est un réseau de machines infectées (PC, serveurs, objets connectés), contrôlées à distance sans que leurs propriétaires ne s’en aperçoivent. Ces machines zombifiées sont utilisées comme armée numérique silencieuse, et peuvent être exploitées à des fins très lucratives.
Certains opérateurs de botnets ne les utilisent même pas eux-mêmes. Ils les louent à d’autres groupes pour une durée donnée, avec une interface en ligne, des statistiques d’utilisation, un support client, etc.
On parle alors de botnet-as-a-service, un modèle similaire à celui du cloud computing.
Un botnet de quelques dizaines de milliers de machines peut être loué pour plusieurs centaines d’euros par jour, selon ses capacités (puissance réseau, stabilité, géolocalisation des machines, etc.).
Et pour alimenter ces réseaux, des kits de création et de gestion de botnet circulent dans les cercles underground, vendus avec documentation, mises à jour et même support technique.
Cette annonce propose de constituer un botnet en quelques heures pour 30 BTC.
Ou encore cette autre annonce :
Un autre moyen courant de monétiser les infections consiste à afficher de la publicité non désirée sur les ordinateurs infectés. Ce modèle repose sur l’installation de programmes publicitaires (adwares) qui injectent du contenu promotionnel directement dans le système de l’utilisateur.
Une fois l’adware installé, il peut :
Chaque interaction (affichage, clic, redirection) génère des revenus pour l’auteur du malware, généralement via des plateformes d’affiliation ou des régies publicitaires peu regardantes.
Les campagnes d’adware sont peu coûteuses à mettre en place et peuvent toucher des dizaines de milliers d’utilisateurs en peu de temps.
Chaque clic ou affichage peut rapporter quelques centimes, mais multipliés par le volume, cela devient rapidement une source de revenus passive et massive.
L’auteur d’un adware bien diffusé peut générer plusieurs centaines d’euros par jour sans voler de données, ni bloquer la machine.
C’est aussi l’un des modèles les plus durables, car il laisse le système fonctionnel, rendant l’utilisateur moins méfiant — voire incapable d’identifier la cause réelle du problème.
Une autre méthode de monétisation des machines infectées consiste à utiliser leur puissance de calcul pour miner de la cryptomonnaie (Bitcoin, Monero, etc.).
Plutôt que d’afficher des publicités ou de voler des données, certains malwares installent un mineur de cryptomonnaie discret sur la machine. Ce dernier utilise les ressources CPU ou GPU de l’ordinateur à l’insu de l’utilisateur pour générer des unités de monnaie virtuelle.
Lorsque cette activité est répartie sur des milliers de PC infectés dans un botnet, elle peut générer des revenus significatifs sans éveiller de soupçons immédiats (à part des lenteurs ou une surchauffe de la machine).
Cette technique est particulièrement utilisée avec des cryptos comme Monero, qui sont conçues pour être résistantes au traçage et exploitables par CPU (contrairement au Bitcoin, devenu moins rentable à petite échelle).
Les cybercriminels exploitent aussi la peur pour pousser les utilisateurs à agir dans la précipitation — et à payer. Deux méthodes sont particulièrement efficaces dans ce domaine :
les rogues (faux antivirus) et les ransomwares.
Un rogue est un faux logiciel de sécurité qui imite un antivirus classique. Il affiche de fausses alertes alarmantes pour faire croire à l’utilisateur que son PC est gravement infecté, puis lui propose une solution immédiate… payante.
Exemples de comportements :
Ci-dessous, un rogue sous la forme d’un faux antivirus qui affiche des détections et alertes exagérées
En réalité, ces programmes ne nettoient rien : ils sont souvent eux-mêmes à l’origine des dysfonctionnements.
Ces arnaques reposent sur le modèle PPC / CPC (Pay Per Click / Conversion) : le cybercriminel est rémunéré à chaque installation ou achat déclenché par son faux logiciel.
À lire :
Les ransomwares sont aujourd’hui l’un des modèles les plus lucratifs du cybercrime. Ils chiffrent les fichiers de l’utilisateur (documents, photos, etc.) et affichent un message réclamant une rançon en cryptomonnaie pour les déverrouiller.
Caractéristiques :
Contrairement aux rogues, les ransomwares ne simulent pas une infection, ils en causent une réelle. Et dans la plupart des cas, payer ne garantit rien.
Le ransomware peut également être utilisé pour la double extorsion : vol de données + chiffrement, avec menace de publication si la rançon n’est pas versée.
Ransomware / Rançongiciel chiffreur de fichiers
Le modèle Pay-Per-Install (PPI) repose sur un principe simple : être payé à chaque fois qu’un programme est installé sur une machine, qu’il soit utile… ou non. Dans le monde des malwares, ce modèle est détourné pour distribuer des logiciels indésirables, publicitaires, voire malveillants, à grande échelle.
Des groupes créent ou distribuent des programmes douteux (rogues, adwares, browser hijackers, etc.) et recrutent des “affiliés” pour en assurer la diffusion.
Ces affiliés sont rémunérés à chaque installation réussie sur un ordinateur.
Les canaux de diffusion sont variés :
Exemple : vous téléchargez un lecteur multimédia gratuit, mais l’installateur vous propose en parallèle une “barre d’outils”, un VPN douteux, un antivirus gratuit, etc. Si vous cliquez trop vite, vous installez tout sans vous en rendre compte.
Par exemple, ci-dessous, une vidéo de crack pour Adobe Acrobat DC qui est en réalité un malware.
Chaque installation peut rapporter quelques centimes à quelques euros à l’affilié. Sur des campagnes massives (sites piratés, spam, torrents), cela peut générer des centaines voire des milliers d’euros par jour.
Ce système a permis à de nombreux groupes de monétiser sans avoir à développer leurs propres malwares. Ils se contentent de diffuser ceux des autres, via des campagnes ciblées.
Le PPI est souvent à l’origine de PUPs (programmes potentiellement indésirables) qu’on retrouve sur les PC ralentis, surchargés de fenêtres, de faux outils d’optimisation, ou de VPN imposés.
Une autre forme très rentable de monétisation des infections consiste à voler des données sensibles sur les machines compromises. Ces informations sont ensuite revendues, utilisées pour des fraudes ou exploitées dans des campagnes ciblées.
Certains malwares sont conçus pour intercepter des informations bancaires :
Les malwares spécialisés dans ce domaine sont appelés trojans bancaires (ex. : Zbot, Emotet, Dridex).
Ils peuvent se cacher en mémoire, injecter du code dans votre navigateur, ou rediriger vos connexions vers de fausses pages imitant votre banque.
Une fois les données récupérées, elles sont soit revendues sur des marchés noirs, soit utilisées directement pour des achats frauduleux ou des virements non autorisés.
Les Trojans Banker et Trojan Stealer : le malware qui vole des données
Certains malwares ciblent spécifiquement les comptes de jeux vidéo (Steam, Battle.net, Epic, etc.).
Ces comptes ont souvent une valeur financière réelle (jeux achetés, objets virtuels, monnaies in-game) et peuvent être revendues ou vidés.
Certains pirates ciblent même des comptes très spécifiques, avec des objets rares ou des skins à forte valeur.
Des malwares plus généraux, appelés stealers ou keyloggers, enregistrent :
Tous ces éléments sont régulièrement exportés vers un serveur distant contrôlé par l’attaquant, qui les trie, revend ou exploite selon leur valeur.
Ce type de vol est discret et difficile à détecter : l’utilisateur ne remarque rien jusqu’à ce que ses comptes soient compromis, ses mails utilisés ou ses jeux volés.
Les keylogger ou enregistreur de frappes clavier
Annonce pour louer iSpy Premium :
En plus des malwares techniques, les cybercriminels exploitent aussi des méthodes plus “sociales” pour gagner de l’argent : le phishing, les scams (arnaques), les fraudes en ligne. Ces techniques reposent principalement sur la crédulité ou la panique de la victime.
Le phishing consiste à envoyer un message (email, SMS, réseau social…) se faisant passer pour un service légitime (banque, impôts, opérateur, etc.) afin de récupérer des identifiants ou des données personnelles.
Exemples de messages :
Le lien contenu dans le message redirige vers une fausse page qui imite parfaitement le site officiel. Si la victime entre ses identifiants, ceux-ci sont immédiatement envoyés au pirate.
Ces données sont ensuite revendues ou utilisées pour accéder à des services (et dans certains cas, détourner de l’argent ou voler des comptes).
On retrouve également :
Tous ces scénarios sont conçus pour pousser la victime à effectuer un virement, payer une rançon, ou transmettre volontairement ses données bancaires.
Certains groupes spécialisés proposent même des services de mailing frauduleux, à la demande.
Un cybercriminel peut acheter un lot d’adresses ciblées (ex : francophones, utilisateurs d’un certain site) et payer un prestataire pour envoyer massivement ses messages piégés.
Ces campagnes sont souvent liées à d’autres formes de monétisation (phishing bancaire, faux antivirus, arnaques crypto…).
Le phishing et les scams sont des attaques sans infection technique, mais tout aussi dangereuses. Ils exploitent la confiance, l’urgence, et l’ignorance — et continuent de faire chaque jour de nombreuses victimes.
Le modèle de “cybercriminalité à la chaîne” fonctionne comme une entreprise… à ceci près qu’elle est illégale.
Cette économie souterraine a démocratisé le cybercrime : plus besoin d’être un développeur expérimenté pour infecter des machines, voler des données ou générer de l’argent. Il suffit de payer les bons outils, et parfois d’un simple hébergement pour commencer.
Chaque acteur joue un rôle précis, ce qui permet une efficacité maximale :
celui qui développe ne s’occupe pas de la diffusion, celui qui distribue ne gère pas les paiements, etc.
Le développement et la diffusion de malwares ne sont plus réservés à quelques experts. Aujourd’hui, tout se vend sur des forums underground ou des places de marché spécialisées : virus “clé en main”, kits de phishing, exploit packs, crypters, services d’hébergement, etc.
Un exploit kit est un outil permettant d’infecter automatiquement les visiteurs d’un site web en exploitant les failles de leurs navigateurs ou plugins (PDF, Flash, Java, etc.). Ces kits incluent souvent :
Ces kits s’achètent sur commande ou par abonnement, comme un logiciel classique. Leur but : maximiser le taux d’infection sur des sites compromis ou piégés.
Voici un exemple d’interface graphique du WebExploitKit BlackHole très actif autour de 2011.
Le type d’exploits, le taux de chargement réussi, les versions de Windows, pays et informations sur le navigateur internet sont fournis.
Voici un autre exemple, ce groupe propose la vente d’un outil « Multisploit tool » qui permet de créer des macros malveillantes visant Office.
Un autre groupe peut l’utiliser pour diffuser son malware ou un malware acheté.
Un crypter permet de rendre un malware indétectable temporairement par les antivirus.
Les créateurs de malwares s’en servent pour “emballer” leur code malveillant de manière à échapper aux signatures classiques.
Certains services proposent même des crypters en version premium, avec options de test automatique contre plusieurs antivirus (FUD – Fully Undetectable).
Ce marché permet à des utilisateurs sans grande compétence technique de diffuser des malwares qui passent sous les radars, au moins pendant quelques jours.
Les “phishing packs” contiennent :
Le tout est prêt à être déployé, vendu à l’unité ou en bundle.
Contrairement à l’image du “pirate solitaire”, la majorité des cybercriminels opèrent en groupe, avec une répartition claire des rôles. Chaque groupe peut se spécialiser dans une partie de la chaîne : développement, distribution, infection, exploitation ou support technique.
Certains groupes créent des malwares sur mesure :
Une fois développés, ces malwares sont revendus ou loués à d’autres groupes.
D’autres groupes sont spécialisés dans la diffusion des malwares. Ils :
Ils sont souvent rémunérés selon le nombre d’installations réussies (PPI).
De nombreux services sont proposés à la carte :
Certains groupes proposent même un support client via Telegram, forums ou messageries chiffrées.
Pour qu’un malware puisse être distribué, exécuté ou contrôlé à distance, il lui faut une infrastructure technique fiable : serveurs, hébergement web, noms de domaine, panneaux de contrôle… Autant d’éléments souvent négligés dans l’analyse, mais essentiels au fonctionnement du cybercrime.
Les cybercriminels utilisent des hébergeurs ou registrars peu regardants (souvent situés hors d’Europe ou dans des juridictions laxistes) pour :
Ces hébergements “bulletproof” sont spécialement conçus pour résister aux demandes de fermeture, même en cas de signalement.
Certains forums underground proposent des offres d’hébergement spécifiquement “compatibles malwares”, avec support technique 24h/24.
Les campagnes d’infection s’appuient souvent sur des systèmes dynamiques :
Cela rend les campagnes plus difficiles à bloquer ou à démanteler.
Chaque jour, les éditeurs d’antivirus ou les CERT ferment ou blacklistent des centaines de domaines et serveurs malveillants.
Mais, de nouveaux apparaissent aussitôt : le coût de création est faible et l’efficacité d’une campagne dépend souvent de sa durée de vie (quelques heures ou jours suffisent à générer des gains).
Pour maximiser la diffusion de leurs malwares, certains groupes cybercriminels mettent en place des réseaux d’affiliation, appelés “Trafic Management Systems” (TMS).
Leur principe est simple : tout utilisateur qui réussit à infecter d’autres machines est rémunéré, selon le volume généré ou le type de victime ciblée.
http://malware-domain.com/in.cgi?user123)Ces systèmes permettent de sous-traiter la distribution des malwares à une armée d’intermédiaires :
webmasters, influenceurs, administrateurs de forums, hackers, ou même de simples utilisateurs motivés par le gain.
Les TMS disposent souvent de fonctionnalités avancées :
Cela permet des campagnes flexibles, résistantes aux blocages, et hautement rentables.
De plus, une interface avec des statistiques est souvent proposée.
De nombreuses infections passent aujourd’hui par la publicité — ce qu’on appelle le malvertising.
Des cybercriminels paient des régies pour diffuser :
Certaines régies ne contrôlent pas suffisamment les annonces qu’elles diffusent, permettant ainsi à des contenus malveillants d’être affichés sur des sites parfaitement légitimes.
Chaque clic génère des revenus, pour le pirate comme pour la régie. Tant que cela rapporte, la modération reste souvent laxiste.
Le nom de domaine et l’hébergement sont essentiels pour faire fonctionner un malware (commandes à distance, redirections, serveurs de collecte…).
Certains hébergeurs ou registrars (souvent situés hors juridiction européenne) se montrent particulièrement :
Ils deviennent ainsi des piliers logistiques involontaires de nombreuses campagnes malveillantes.
Exemples historiques : EastDomains, TodayNIC, BIZCN, Intercage/McColo…
Certains grands sites de téléchargement “gratuits” ont pu, par le passé, héberger ou relayer des installateurs contenant des PUPs (logiciels indésirables) voire des adwares ou des malwares déguisés.
Même s’ils ne créent pas ces menaces, ils en assurent la distribution massive, via des “bundles” intégrés à leurs installeurs.
Les groupes de cybercriminels les plus actifs ne fonctionnent pas seuls. Ils opèrent comme de véritables entreprises illégales, avec des équipes spécialisées selon les compétences, réparties autour de 4 pôles principaux.
Ces membres conçoivent les malwares eux-mêmes : trojans bancaires, ransomwares, stealers…
Ils créent également des packers et crypters pour rendre les malwares indétectables par les antivirus.
Ils utilisent des services de test (multi-antivirus ou sandbox) pour s’assurer que le malware passe sous les radars le plus longtemps possible.
Comment les malwares se cachent des antivirus
Ils s’occupent de propager les malwares à grande échelle, via :
Leur objectif : infecter le plus de machines possible, rapidement.
Ils assurent la mise en place et la maintenance de l’infrastructure :
Ils travaillent souvent dans l’ombre, mais sans eux, aucune opération ne peut tenir sur la durée.
Ce sont des individus chargés de récupérer l’argent volé, souvent sans comprendre l’ampleur de l’opération.
Ils sont recrutés par des campagnes de phishing ou d’arnaques à l’emploi (“travailler depuis chez vous”, “assistant de transfert de fonds”, etc.).
Une fois recrutés, ils reçoivent de l’argent sur leur compte, qu’ils doivent ensuite retransférer vers d’autres comptes ou retirer en espèces — contre une commission.
Ce système permet de dissiper la traçabilité des flux financiers.
Les malwares ne sont plus des blagues de hackers. Ils sont devenus les outils d’une économie parallèle bien réelle, structurée autour d’un objectif unique : gagner de l’argent.
Botnets, ransomwares, scarewares, adwares, phishing, vol de données… tous ces mécanismes ont été industrialisés, automatisés et intégrés à un écosystème criminel sophistiqué. Aujourd’hui, n’importe qui peut acheter un kit de malware, louer un service de distribution, et monétiser les infections — sans compétence technique particulière.
Ce phénomène s’est banalisé, au point que des entreprises légitimes en bénéficient indirectement :
régies publicitaires, hébergeurs peu regardants, revendeurs de données, et parfois même des éditeurs de logiciels opportunistes.
Ce qu’il faut retenir :
L’article Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections est apparu en premier sur malekal.com.
