Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection

Par : malekalmorte
3 juillet 2025 à 08:36

Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.

Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.

Dans cet article, vous allez découvrir :

  • Ce qu’est un Trojan Downloader et comment il fonctionne,
  • Les exemples les plus connus ayant marqué l’actualité,
  • Pourquoi il est si redouté par les spécialistes en cybersécurité,
  • Et surtout, comment s’en protéger efficacement.

Qu’est-ce qu’un Trojan Downloader ?

Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).

Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.

Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.

Fonctionnement technique d’un Trojan Downloader

Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :

Infection initiale

Le Trojan Downloader est généralement distribué via des vecteurs classiques :

Les Virus et Trojan : comment ils infectent les PC

Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.

Connexion au serveur distant

Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :

  • en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
  • en protocole personnalisé (plus difficile à détecter),
  • parfois via réseaux P2P pour éviter les coupures de serveur.

Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.

Téléchargement de la charge utile (payload)

Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :

  • ransomware,
  • spyware,
  • keylogger,
  • cheval de Troie bancaire,
  • outil d’accès à distance (RAT),
  • ou une nouvelle version de lui-même (mise à jour).

Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.

Exécution et installation

Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :

  • des scripts temporaires (PowerShell, VBS…),
  • l’injection dans un processus système,
  • ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).

Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.

Trojan Downloader - schéma de fonctionnement

Exemples concrets de Trojan Downloaders connus

Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.

Upatre (2013–2016)

L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.

Gamarue / Andromeda (2011–2017)

Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.

Kovter (2014–2020)

Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.

Smoke Loader (depuis 2011 – actif en 2025)

Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).

Emotet (2014–2021, réapparu brièvement en 2022)

Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.

Trojan JavaScript / VBS : simple, discret, efficace

En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.

Comment ils fonctionnent :

  • L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
  • La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
  • Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
  • Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.

Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.

de nombreux antivirus ne détectent pas toujours ces scripts s’ils sont légèrement obfusqués ou modifiés. D’où l’importance de désactiver l’exécution des scripts inconnus, d’activer l’affichage des extensions dans l’Explorateur Windows, et d’éviter l’ouverture de pièces jointes douteuses.

Pourquoi un Trojan Downloader est-il dangereux ?

Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.

Voici pourquoi il est particulièrement dangereux.

Il agit en toute discrétion :

Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).

Il installe des menaces bien plus graves :

Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :

  • le vol de données confidentielles (mots de passe, fichiers),
  • l’installation d’un ransomware qui chiffre tout le système,
  • l’espionnage via un RAT (Remote Access Trojan),
  • ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.

Il peut réinjecter des malwares après nettoyage :

Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.

Il est difficile à détecter :

  • Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
  • Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
  • Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.

Il peut adapter son comportement à la cible :

Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.

Comment se protéger d’un Trojan Downloader

Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.

  • Vigilance face aux e-mails et pièces jointes :
    • Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
    • Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
    • Désactiver l’exécution automatique des macros dans Microsoft Office.
    • Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
  • Filtrer les connexions sortantes suspectes :
    • Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
    • Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
    • En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
  • Utiliser une protection antivirus/EDR à jour
  • Maintenir le système et les logiciels à jour pour combler failles logicielles
  • Faire une analyse complète du système avec votre antivirus une fois par semaine.

Liens

L’article Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection est apparu en premier sur malekal.com.

Best NAS for Under $249

Par : Rob Andrews
2 juillet 2025 à 18:00

Best NAS You Can Buy Right Now (Mid-2025) for Under $249

As personal data storage needs continue to grow in 2025, more users are seeking cost-effective alternatives to cloud services and monthly subscription platforms. Whether you’re backing up years of photos, hosting your own video library, or managing light business data locally, a dedicated NAS (Network Attached Storage) device offers greater privacy and control without recurring fees. Fortunately, the sub-$249 price point now includes a variety of surprisingly capable systems. Thanks to developments in low-power processors, DDR5 memory adoption, and more efficient operating systems, these devices can now handle everything from Plex streaming to light container workloads with relative ease. In this article, we explore five NAS solutions currently available at or below this price point, offering a balance of performance, connectivity, and storage potential for those looking to build their own storage solution on a modest budget.

Important Disclaimer and Notes Before You Buy!

Before diving into the specific NAS models, it’s important to understand the limitations and shared characteristics of devices in this price range. Most sub-$249 NAS units do not include any hard drives or SSDs, and many rely on M.2 NVMe slots or 2.5″/3.5″ SATA bays that must be populated separately. Some models ship with basic onboard storage (e.g., 32GB–64GB eMMC) sufficient only for the operating system. As such, the actual cost of getting a fully operational NAS with adequate storage for your needs may exceed the base unit price. Buyers should also be aware that these devices are best suited for home users, personal cloud use, and entry-level tasks, rather than intensive business or enterprise workloads. Additionally, several of the devices covered in this list do not come with a full-featured NAS operating system. Instead, they either rely on lightweight Linux-based platforms like CasaOS or ZimaOS, or they provide a basic UI designed for local file access and container management. While these OS options are improving in terms of user-friendliness, they may lack advanced features like comprehensive RAID management, automated snapshots, or multi-user file permission systems found in higher-end platforms like Synology DSM or TrueNAS. These NAS units are most appropriate for users with some technical confidence, or for those looking for a basic plug-and-play setup with limited customization needs.


Beelink ME Mini NAS – 6 Bay SSD NAS

$209 – Intel N150 – 12GB – No SSD (64GB eMMC Only) – 2x 2.5GbE + WiFi 6 – No OS / User Install – BUY HERE

The Beelink ME Mini is a compact NAS device aimed at users who want high-speed, SSD-based storage in a minimal footprint. Measuring just 99mm on each side, it features six M.2 2280 NVMe slots, providing up to 24TB of total capacity when fully populated. Powered by the Intel N150 processor and paired with 12GB of LPDDR5 memory, it offers a decent balance between performance and energy efficiency. Connectivity is handled via dual 2.5GbE LAN ports, WiFi 6, and Bluetooth 5.2, making it suitable for both wired and wireless environments. The unit is cooled passively and contains an integrated power supply, reducing cable clutter and making it ideal for placement in home media setups or small offices.

However, the device does not include an operating system, and users will need to install a preferred NAS OS themselves — whether that’s CasaOS, Ubuntu Server, or something container-based. There’s also no bundled storage beyond the 64GB eMMC system partition, so the overall cost will rise depending on your NVMe selections. It lacks support for traditional 3.5″ or 2.5″ SATA drives, making this NAS most suitable for users seeking a quiet, SSD-only setup with strong networking performance and flexibility for custom OS installation.

Component Specification
CPU Intel N150 (4 cores, up to 3.6 GHz)
Memory 12GB LPDDR5
Internal Storage 64GB eMMC + 6x M.2 2280 NVMe slots
Networking 2x 2.5GbE LAN, WiFi 6, Bluetooth 5.2
Ports USB 2.0, USB 3.2, USB-C, HDMI
OS User-defined (Linux-based preferred)
Dimensions 99 x 99 x 99 mm


GMKTec G9 NAS – 4 Bay M.2 NAS @ The lowest Price

$185.99 – Intel N150 – 12GB – No SSD (64GB eMMC Only) – 2x 2.5GbE + WiFi 6 – Ubuntu 24.10 (Preloaded, Switchable) – BUY HERE

The GMKTec G9 offers similar internal hardware to the Beelink ME Mini, including the same Intel N150 processor and 12GB of LPDDR5 memory, but with a more rectangular chassis and fewer SSD slots — four instead of six. The system includes 64GB of onboard eMMC storage, primarily used for booting Ubuntu 24.10, with the option to dual-boot into Windows 11 if a suitable SSD is installed. Like the Beelink, it lacks traditional SATA support and focuses on high-speed NVMe storage via M.2 2280 slots, up to 4TB per drive. The unit is cooled actively and includes dual HDMI outputs, making it more appealing for those who may want to use it as a lightweight desktop or media output device in addition to a NAS.

One of the notable differences is its broader OS support and better I/O variety, including three USB 3.2 ports and a DisplayPort-capable USB-C connector. This NAS is best suited to users looking for a more configurable or multi-purpose system with better visual output options. However, as with the Beelink, users must add their own NVMe storage, and setup requires a basic understanding of system boot configuration and OS installation. Note – this one GETS HOT, so get SSD heatsinks and ensure a good active airflow wherever you deploy it!

Component Specification
CPU Intel N150 (4 cores, up to 3.6 GHz)
Memory 12GB LPDDR5
Internal Storage 64GB eMMC + 4x M.2 2280 NVMe slots
Networking 2x 2.5GbE LAN, WiFi 6, Bluetooth 5.2
Ports 3x USB 3.2, 1x Type-C (DP), 2x HDMI, Audio
OS Ubuntu 24.10 by default, dual-boot capable
Dimensions 146.6 x 100.25 x 38.75 mm


Synology BeeStation 4TB NAS – ALL IN ONE!

$199 – Realtek RTD1619B – 1GB – 4TB SINGLE BAY – 1x 1GbE – BeeStation Manager (BSM) – BUY HERE

The Synology BeeStation 4TB is a fully integrated, single-bay NAS aimed squarely at users who want a no-setup-required solution. Unlike most NAS devices in this price range, it comes pre-configured with a 4TB internal hard drive and a sealed chassis, meaning users don’t need to source or install any storage themselves. It runs on a Realtek RTD1619B ARM-based processor, includes 1GB of DDR4 memory, and connects over a single 1GbE port. The included BeeStation Manager (BSM) OS is designed specifically for beginners, offering cloud-style file access, photo management, and mobile app integration with minimal technical effort.

This NAS is best suited to individuals or households that want a simple local backup and file-sharing solution that behaves more like a smart external hard drive than a customizable NAS. It supports basic multimedia functions, Synology mobile apps, and remote access features, but does not allow for internal expansion or RAID redundancy. The included USB-A and USB-C ports can be used for manual backups to external drives. However, because it’s a sealed single-drive unit with no RAID options, users should plan to back up to another location—either cloud or USB—to ensure data protection. Despite these limitations, its all-in-one design, 3-year warranty, and simple user experience make it one of the few truly plug-and-play NAS systems under $250.

Component Specification
CPU Realtek RTD1619B (Quad-core ARM)
Memory 1GB DDR4
Internal Storage 4TB HDD (included, sealed)
Networking 1x 1GbE LAN
Ports 1x USB-A 3.2 Gen 1, 1x USB-C 3.2 Gen 1
OS Synology BeeStation Manager (BSM)
Dimensions 148 x 62.6 x 196.3 mm


UGREEN NASync DXP2800 NAS – The New Challenger!

$249 – Intel N100 – 8GB – No Storage (32GB eMMC) – 1x 2.5GbE – UGOS Pro – BUY HERE

The UGREEN DXP2800 is part of the company’s NASync lineup, aimed at users who want a blend of expandability and affordability. It combines the practicality of traditional HDD storage with the performance benefits of SSDs, offering two 3.5″ SATA bays alongside two M.2 NVMe SSD slots for faster caching or active data operations. At the heart of the system is an Intel N100 processor, a 12th-generation quad-core chip from Intel’s energy-efficient N-series lineup, which supports both basic virtualization and multimedia streaming. This is paired with 8GB of DDR5 memory, non-ECC but upgradable, and a 32GB eMMC used solely for the preloaded UGOS Pro operating system. Connectivity is handled through a single 2.5GbE LAN port and a mix of USB ports on both front and rear panels — including USB-C and 10Gbps-capable USB-A. UGOS Pro, while relatively new, features a clean web-based interface with container support, RAID management (0, 1, JBOD), remote file sharing, and basic multimedia services.

While it lacks the ecosystem polish of Synology DSM or QNAP QTS, it is one of the few turnkey options in this price range that supports both SSD and HDD usage in a flexible, non-proprietary layout. However, buyers should still account for the need to install their own drives and configure the storage pools manually. It’s a solid balance of raw hardware potential and modest software capability for users willing to manage their setup beyond the initial boot.

Component Specification
CPU Intel N100 (4 cores, up to 3.4GHz)
Memory 8GB DDR5 (non-ECC, upgradeable to 16GB)
Internal Storage 32GB eMMC + 2x SATA + 2x M.2 NVMe
Networking 1x 2.5GbE LAN
Ports Front: 1x USB-C (10Gbps), 1x USB-A (10Gbps) \nRear: 1x USB-A (5Gbps), 2x USB 2.0, HDMI 4K Output
OS UGOS Pro
Dimensions 231 x 109 x 178 mm (approx.)


ZimaBoard 2 (832 Version) – DIY Enthusiast’s DREAM!

$199 – Intel N150 – 8GB – No Storage (32GB eMMC) – 2x 2.5GbE – ZimaOS – BUY HERE

The ZimaBoard 2 (832) is a low-profile, single-board NAS platform designed for flexibility and modularity rather than out-of-the-box convenience. Unlike traditional NAS systems with enclosures and tool-less drive bays, this unit is a bare embedded board that offers direct access to interfaces for those who want to build or customize their own setup. It is powered by the same Intel N150 quad-core processor used in other compact NAS systems, paired here with 8GB of LPDDR5x memory and 32GB of onboard eMMC storage for its pre-installed ZimaOS. This board features two powered SATA 3.0 ports, making it one of the few sub-$250 NAS options that supports HDDs natively without requiring USB-to-SATA adapters or expansion modules.

In terms of connectivity, the ZimaBoard 2 includes dual 2.5GbE LAN ports, USB 3.1, a PCIe 3.0 x4 slot, and a Mini DisplayPort output supporting 4K60 video. While the PCIe slot expands potential use cases (e.g., additional networking, storage, or accelerator cards), most users will opt to use the SATA ports for reliable storage first. The board is passively cooled with a large integrated heatsink and operates silently, but thermal performance may vary based on enclosure design and ambient temperature. It is particularly well-suited to DIY users looking to build a lightweight NAS, firewall, media server, or container host. ZimaOS includes a web-based UI and supports CasaOS and Linux-based OS alternatives, but configuration still requires basic familiarity with system setup and storage configuration. It’s not intended for users looking for plug-and-play simplicity, but rather those who want total control over their NAS hardware and software environment.

Component Specification
CPU Intel N150 (4 cores, up to 3.6GHz)
Memory 8GB LPDDR5x
Internal Storage 32GB eMMC + 2x SATA 3.0 (powered)
Networking 2x 2.5GbE LAN
Ports 2x USB 3.1, Mini DisplayPort, PCIe 3.0 x4
OS ZimaOS (also supports CasaOS, Linux distros)
Dimensions 140 x 83 x 31 mm

 


Each of the NAS options presented here offers a different balance of hardware, expandability, and ease of use, while remaining under the $249 price threshold. Users who prefer pre-configured simplicity may lean toward the Synology BeeStation, while those seeking customization and SSD-focused performance might opt for the Beelink ME Mini or GMKTec G9. The UGREEN DXP2800 provides hybrid storage flexibility with a more developed software interface, and the ZimaBoard 2 appeals to technically inclined users who want complete control over their system stack. While no single device is perfect, all five represent viable paths toward local data ownership and self-hosted media or backup solutions without breaking the bank.

📧 SUBSCRIBE TO OUR NEWSLETTER 🔔
[contact-form-7]
🔒 Join Inner Circle


Get an alert every time something gets added to this specific article!


Want to follow specific category? 📧 Subscribe

This description contains links to Amazon. These links will take you to some of the products mentioned in today's content. As an Amazon Associate, I earn from qualifying purchases. Visit the NASCompares Deal Finder to find the best place to buy this device in your region, based on Service, Support and Reputation - Just Search for your NAS Drive in the Box Below

Need Advice on Data Storage from an Expert?

Finally, for free advice about your setup, just leave a message in the comments below here at NASCompares.com and we will get back to you. Need Help? Where possible (and where appropriate) please provide as much information about your requirements, as then I can arrange the best answer and solution to your needs. Do not worry about your e-mail address being required, it will NOT be used in a mailing list and will NOT be used in any way other than to respond to your enquiry. [contact-form-7] TRY CHAT Terms and Conditions
If you like this service, please consider supporting us. We use affiliate links on the blog allowing NAScompares information and advice service to be free of charge to you.Anything you purchase on the day you click on our links will generate a small commission which isused to run the website. Here is a link for Amazon and B&H.You can also get me a ☕ Ko-fi or old school Paypal. Thanks!To find out more about how to support this advice service check HEREIf you need to fix or configure a NAS, check Fiver Have you thought about helping others with your knowledge? Find Instructions Here  
 
Or support us by using our affiliate links on Amazon UK and Amazon US
    
 
Alternatively, why not ask me on the ASK NASCompares forum, by clicking the button below. This is a community hub that serves as a place that I can answer your question, chew the fat, share new release information and even get corrections posted. I will always get around to answering ALL queries, but as a one-man operation, I cannot promise speed! So by sharing your query in the ASK NASCompares section below, you can get a better range of solutions and suggestions, alongside my own.

☕ WE LOVE COFFEE ☕

 

L’important c’est le chemin ET la destination – RDV Tech

Par : NotPatrick
1 juillet 2025 à 15:12

Au programme :

IA vs auteurs: première victoire des LLM

Fairphone Gen 6, une première réussite?

TikTok et Instagram bientôt sur votre télé?

Le reste de l’actualité


Infos :

Animé par Patrick Beja (BlueskyInstagramTwitterTikTok)

Co-animé par Jérôme Keinborg (Bluesky).

Co-animé par Cédric de Luca

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja


Le Rendez-vous Tech épisode 625 – L’important c’est le chemin ET la destination – Victoire légale des LLM, Fairphone Gen 6, TikTok & Insta sur TV

---

Liens :


🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord


Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech


En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick


💁 Tous les liens : NotPatrick.com


Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

On résume chaque semaine tout le monde de la tech. Un podcast pour tous, compréhensible, intéressant et fun !

Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger

Par : malekalmorte
29 juin 2025 à 11:59

Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.

Dans cet article, nous allons vous expliquer :

  • ce qu’est un bootkit et comment il fonctionne,
  • pourquoi il est si difficile à détecter et à supprimer,
  • quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
  • et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.

J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.

Qu’est-ce qu’un bootkit ?

Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :

Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.

Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?

Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :

  • injecter des composants malveillants dans le noyau (kernel),
  • contourner les contrôles d’intégrité,
  • cacher des fichiers, processus ou connexions réseau.

Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.

Schéma de fonctionnement d'un bootkit

Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :

  • les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
  • certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
  • ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.

Que peut faire un bootkit ?

Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :

  • l’espionnage (keylogger, interception de trafic, vol d’identifiants),
  • le contrôle total du système, y compris l’élévation de privilèges,
  • la persistance extrême, même après un formatage classique,
  • l’installation silencieuse d’autres malwares (trojans, ransomwares…),
  • la manipulation de fonctions système, rendant la machine instable ou totalement compromise.

Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).

Exemples de bootkits connus

En MBR

Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :

  • Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
  • Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
  • Pas de Secure Boot à l’époque du MBR

De ce fait, de nombreux boookits ont vu le jour à partir de 2010.

TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.

Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.

Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.

En UEFI

L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.

LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).

Processus d'infection du rootkit UEFI Lojak
source https://www.welivesecurity.com/wp-content/uploads/2018/09/ESET-LoJax.pdf

Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.

Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.

Comment s’en protéger ?

La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.

Activer Secure Boot

Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.

Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.

Voilà pourquoi il est totalement contre-indiqué de désactiver le Secure boot

ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.

C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?

Trusted Boot Architecture dans Windows

Maintenir le firmware à jour

Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.

Il est donc recommandé de :

  • Maintenir à jour le BIOS est donc essentiel
  • Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
  • Installez les mises à jour proposées dans les outils des fabricants de PC OEM

Utiliser un antivirus avec protection UEFI

Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.

Éviter les ISO ou installeurs non vérifiés

Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.

Toujours utiliser des sources officielles.

Utiliser des outils spécialisés de détection

Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.

Comment supprimer un bootkit ?

La suppression d’un bootkit est complexe et dépend du type de système infecté :

  • Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
  • Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.

Dans certains cas, utilisez des outils de secours bootables, comme :

  • Microsoft Defender Offline,
  • ESET SysRescue Live,
  • ou un LiveCD Linux spécialisé dans l’analyse firmware.

Rootkit et bootkit : quelle est la différence ?

Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.

CritèreRootkitBootkit
EmplacementNoyau de Windows, pilotes, services, registreMBR, secteur de démarrage, firmware UEFI
Moment d’exécutionAprès le démarrage du système (post-boot)Avant ou pendant le démarrage du système (pre-boot)
Objectif principalCacher d’autres malwares, manipuler le systèmeContrôler la phase de boot, injecter du code très tôt
Mode d’actionInjection dans des processus ou des pilotesRemplacement ou modification du bootloader
FurtivitéTrès élevée, mais dépend de la version de l’OSExtrême : le malware agit avant que le système ne se charge
PersistancePersistant jusqu’à nettoyage ou désactivationPeut survivre à un formatage de disque
DétectionPossible avec outils avancés (antirootkits, EDR)Très difficile sans analyse firmware ou scan UEFI

Liens

L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.

Windows 10 : les mises à jour de sécurité prolongées seront gratuites pour les particuliers via Microsoft 365

Par : malekalmorte
27 juin 2025 à 07:53

À l’approche de la fin officielle du support de Windows 10, Microsoft clarifie sa stratégie de transition pour les utilisateurs restés sur l’ancienne version de son système. Alors que le support standard prendra fin le 14 octobre 2025, l’entreprise annonce que les mises à jour de sécurité étendues (ESU) seront gratuites pour les particuliers, à condition d’utiliser Microsoft 365.

Fin de support en 2025 : que cela signifie-t-il ?

Microsoft a annoncé depuis longtemps que Windows 10 ne recevra plus de mises à jour de sécurité régulières après octobre 2025. Cela concerne toutes les éditions, y compris Windows 10 Home et Pro. Au-delà de cette date, les systèmes non migrés vers Windows 11 deviendront plus vulnérables, car les failles découvertes ne seront plus corrigées.

Cependant, comme pour Windows 7 à son époque, Microsoft mettra en place un programme de mises à jour de sécurité étendues (ESU), qui permet de continuer à recevoir des correctifs critiques pendant trois années supplémentaires, soit jusqu’en octobre 2028.

Mises à jour gratuites… mais avec conditions

La principale nouveauté est que, contrairement à Windows 7 où l’ESU était payant, les particuliers pourront bénéficier de ces mises à jour gratuitement, mais uniquement via Microsoft 365.

Concrètement :

  • Les utilisateurs de Microsoft 365 (famille ou personnel) qui continueront à utiliser Windows 10 après 2025 recevront les mises à jour de sécurité critiques sans frais supplémentaires.
  • Cela permet à Microsoft de protéger les utilisateurs actifs tout en les incitant à rester dans son écosystème.

À noter : les entreprises, elles, devront payer un abonnement annuel ESU pour continuer à recevoir les correctifs, comme c’était le cas avec Windows 7. Les détails tarifaires seront communiqués ultérieurement.

Une solution de transition avant migration

Microsoft ne recommande pas de rester sous Windows 10 à long terme. L’objectif reste clair : faire migrer les utilisateurs vers Windows 11, notamment pour bénéficier des dernières protections système (TPM 2.0, VBS, Smart App Control…). Mais cette initiative vise à éviter que des millions de machines soient exposées sans protection dès octobre 2025.

Cette approche est aussi une réponse aux nombreuses entreprises et particuliers qui n’ont pas encore migré, souvent pour des raisons de compatibilité logicielle, de coût ou simplement par choix matériel.

Comment bénéficier des mises à jour après 2025 ?

Pour les particuliers :

  • Il faudra être connecté à un compte Microsoft lié à un abonnement actif Microsoft 365 Famille ou Personnel.
  • Les mises à jour seront automatiquement proposées via Windows Update (comme aujourd’hui), sans procédure complexe.

Pour les entreprises :

  • Il faudra probablement souscrire à une licence ESU via Microsoft Volume Licensing ou via Intune.
  • Un abonnement annuel sera requis, avec un prix croissant chaque année.

À lire : ESU Windows : comment continuer à recevoir des mises à jour de sécurité après la fin de support

En résumé

  • Fin du support standard : 14 octobre 2025
  • Mises à jour de sécurité étendues (ESU) : jusqu’en octobre 2028
  • Gratuites pour les particuliers disposant de Microsoft 365
  • Payantes pour les entreprises, via abonnement annuel
  • Objectif : laisser plus de temps à ceux qui ne peuvent pas migrer immédiatement vers Windows 11, sans compromettre leur sécurité

Cette décision de Microsoft marque un changement stratégique dans la gestion de fin de vie d’un système, combinant incitation commerciale (via 365) et souci de sécurité pour éviter une nouvelle génération de machines vulnérables post-2025.

Fin de support de Windows 10 et ESU (Extened Security Updates)
Source(s) : pureinfotech.com

L’article Windows 10 : les mises à jour de sécurité prolongées seront gratuites pour les particuliers via Microsoft 365 est apparu en premier sur malekal.com.

Souveraineté numérique : La ville de Lyon compte passer à Linux et OnlyOffice

25 juin 2025 à 23:35
Bonjour à tous,

Il y a quelques jours, je vous parlais dans un précédent article de la décision du Danemark de se détourner des solutions propriétaires de Microsoft, pour se tourner vers des alternatives libres, notamment Linux et LibreOffice, dans ses administrations locales. (https://www.linuxtricks.fr/news/10-logiciels-libres/570-souverainete-numerique-le-danemark-passe-a-linux-et-libreoffice/ )
Un mouvement fort en faveur de la souveraineté numérique, qui semble désormais faire boule de neige en Europe, en tout cas, au niveau de la communication.

Vu que l'article précédent a eu du succès, je vais essayer d'améliorer la mise en forme des articles de blog sur les actus, n'hésitez pas à me faire un retour dans les commentaires !

Cette fois, c’est en France que le vent tourne et c'est une bonne nouvelle ! La ville de Lyon vient d’annoncer une décision stratégique majeure. La municipalité va progressivement abandonner les logiciels Microsoft, au profit de Linux comme système d’exploitation et de OnlyOffice pour la suite bureautique.

Lyon s’émancipe de Microsoft
La mairie de Lyon justifie ce virage par la volonté de renforcer sa "souveraineté numérique". Derrière cette expression, on retrouve un objectif clair : réduire la dépendance aux géants du numérique américains (et en particulier Microsoft), tout en reprenant le contrôle sur les outils et les données utilisés au sein de l’administration.

Le projet est ambitieux :
- Plus de 4 000 postes de travail sont concernés.
- La transition se fera progressivement jusqu’en 2026.

Le changement touche à la fois le système d’exploitation, qui passera sous Linux, et la suite bureautique, avec l’adoption d’OnlyOffice en remplacement de Microsoft Office.
On note aussi que PostgreSQL sera plus utilisé, pour la gestion des bases de données (probablement une migration depuis SQL Server vu que Microsoft est visé dans la démarche).

Un programme pilote va être lancé dès cette année dans plusieurs services pour amorcer le mouvement, avant une généralisation à toute l'administration municipale.

La question qu'on pourrait se poser est : Pourquoi OnlyOffice plutôt que LibreOffice ?
Si de nombreuses collectivités optent pour LibreOffice, Lyon a fait le choix d’OnlyOffice, une suite bureautique open source compatible avec les formats de Microsoft Office (docx, xlsx, pptx, etc.), ce qui facilite la transition. Le support de ces formats sont mieux supportés par OnlyOffice. Cela évite une conversion massive des documents bureautique, avec le risque de perdre des informations sur la mise en forme.
Elle propose aussi une expérience plus proche de l’interface Office 365, avec ses menus en ruban, ce qui peut limiter les résistances au changement chez les utilisateurs.

OnlyOffice est également intégrable facilement avec des services cloud comme Nextcloud, ce qui permet de construire un écosystème numérique 100 % libre et souverain. Il s'agit de OnlyOffice Docs, dont on avait fait la découverte il y a quelques années en live sur Youtube. Vouc pouvez le voir en action à 1h32 sur le CKOIKIDI #33 : Installez votre cloud sous Debian avec Nextcloud


Une tendance européenne de fond
Cette décision de Lyon s’inscrit dans un mouvement plus large, à l’échelle européenne.

Comme mentionné dans un article précédent, le Danemark a récemment annoncé que plusieurs de ses communes allaient abandonner Windows et Microsoft Office au profit de Linux et LibreOffice.
Les motivations sont les mêmes : souveraineté, économie, transparence et contrôle des données.

Et l’Allemagne n’est pas en reste : le Land de Schleswig-Holstein, situé au nord du pays, a annoncé un plan de grande ampleur pour remplacer l’ensemble des logiciels propriétaires par des solutions open source dans ses services administratifs.
- Objectif : 30 000 postes migrés d’ici 2026
- Logiciels adoptés : Linux, LibreOffice, Thunderbird (avec mail Open-Xchange), Nextcloud, etc.

Le message est clair : les administrations européennes ne veulent plus dépendre de Microsoft pour leur infrastructure numérique. Et elles passent à l’action.

Une nouvelle ère pour les collectivités françaises ?
Avec Lyon comme pionnière, cette initiative pourrait inciter d'autres collectivités à franchir le pas.
En effet, certaines sont sensibles aux enjeux de maîtrise des données, de coûts de licence et d’éthique numérique et pourraient s’engager dans des démarches similaires.

C’est aussi un signal fort envoyé aux citoyens : oui, il est possible de construire un environnement numérique plus éthique, plus ouvert et plus respectueux de nos libertés.

Mais, manque de cohérence au niveau Français ?
Ce que je constate, c'est que chacun s'y met dans son coin, comme on a l'habitude dans le monde du libre. Je suis toujours étonné qu'en France, on ne mutualise pas les moyens (qu'ils soient humains, financiers ou matériels) pour faire quelquechose de bon. Lyon va mettre en place ces infrastructures, mais est-ce que les procédures, les méthodes, les documentations seront aussi publiées pour faciliter d'éventuelles démarches similaires dans d'autres collectivités ?
Je suis bien conscient que les villes n'utilisent pas toutes les mêmes logiciels, et les mêmes méthodes de travail. Et qu'il en est de même pour les départements et les régions. Cependant, on pourrait unir nos forces pour être plus efficace ! Ce serait l'occasion !

Mais bon, c'est déjà un bon début ! C'est mieux que rien et la prise de conscience est déjà là !


Et vous, qu’en pensez-vous ?
La transition vers les logiciels libres est-elle inévitable dans les services publics ?
Votre mairie pourrait-elle suivre l’exemple lyonnais ?

Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025)

Par : malekalmorte
25 juin 2025 à 09:39

Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.

Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :

  • Trojans chevaux de Troie téléchargeurs et voleurs de données,
  • Backdoors à accès distant,
  • PUP/PUA (logiciels potentiellement indésirables),
  • Adwares injectant des publicités ou des redirections,
  • Scripts malveillants (JavaScript, macros Office), etc.

L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.

En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Détections de PUP/PUA (logiciels potentiellement indésirables)

Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.

Exemple de détectionExemplesAntivirus
PUA:Win32/XXXXXPUA:Win32/Presenoker
PUA:Win32/InstallCore
Microsoft Defender
PUP.Optional.XXXX
PUA.Optional.BundleInstaller
PUA.Optional.BundleInstaller
PUP.Optional.DriverUpdate
Malwarebytes
PUA.XXXXX
Generic.PUA.2FileDownload.A
PUA.systemcheckupBitdefender
Not-a-virus:HEUR:AdWare.Win32.XXXXNot-a-virus:HEUR:AdWare.Win32.SearcherKaspersky
Win32:XXXX-X [PUP]Win32:UnwRAP-X [PUP]Avast/AVG
PUA/XXXXXPUA/InstallCore.GenESET

Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.

Détections d’adwares (publicité intrusive)

Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.

DétectionExemple de détectionAntivirus
Adware:Win32/XXXX
Adware:JS/XXXXX.A
Adware:Win32/FusionCore
Adware:JS/Adposhel.A
Adware:JS/FakeAlert
Microsoft Defender
Adware.XXXXXAdware.SwiftBrowse
Adware.Elex
Malwarebytes
Adware.GenericKD.###Bitdefender
Adware.Win32.AgentAdware.Agent.BYIKaspersky
Adware.Generic.XXXXAdware.Generic.279974ESET

Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.

Scripts JavaScript malveillants (injections, redirections, crypto-jacking)

Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.

DétectionExemple/DescriptionAntivirus
Trojan:HTML/Phish.XXX!YYY
Trojan:HTML/Redirector.XXX
Trojan:HTML/Phish.JA!MTB
Trojan:HTML/Redirector.NY
Microsoft Defender
JS:Downloader-XXX [Trj]
HTML:Script-Inf
Trojan.Script.Heuristic-JS

JS:ScriptPE-inf [Trj]
Script JavaScript d’obfuscation menant à une infectionAvast/AVG
JS:Miner-C [Trj]
HTML:CoinMiner-EM [Trj]

Script JavaScript injecté pour miner des cryptomonnaiesAvast/AVG
Trojan.JS.Redirector
Trojan.JS.Agent.XXXX
JS:Trojan.XXXX.YYYY
Trojan.JS.Miner.gen
JS:Trojan.Cryxos.4572
Trojan.JS.Agent.fpu
Bitdefender
HEUR:Trojan.Script.Generic
HEUR:Trojan.Script.Redirector
HEUR:Trojan.Script.Miner.gen
Kaspersky

Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.

Trojan Downloader (chargement de payload à distance)

Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).

DétectionExempleAntivirus
Trojan:Win32/XXXXXTrojan:Win32/Emotet.A
Trojan:Win32/Occamy.AA
Microsoft Defender
Trojan.Downloader.Generic
Trojan.Agent.Downloader
MalPack.Downloader.###
Malwarebytes
JS:Downloader-XXXJS:Downloader.PB
JS:Downloader-LQB [Trj]
Avast/AVG
Trojan.Downloader.Gen
Trojan.GenericKD.Downloader
Bitdefender
Downloader.Agent!gen2McAfee
Win32/TrojanDownloader.Agent
Trojan.Downloader.XXXX
Trojan.Downloader.Small.BMESET

Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.

Chevaux de Troie avec exfiltration ou backdoor (C2)

Ces menaces permettent un accès distant, la surveillance.

Détection génériqueExempleAntivirus
Backdoor:Win32/XXXXXBladabindiBackdoor:Win32/BladabindiMicrosoft Defender
Backdoor.XXXX
Backdoor.Bot.Gen (détection générique)
Backdoor.Qbot
Backdoor.Agent.NOIP
Glupteba.Backdoor.Bruteforce.DDS
Malwarebytes
Backdoor.Win32.XXXX
Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos)
Backdoor.Win32.Agent.bla (plus générique)
Kaspersky
Backdoor.GenericKD.###Backdoor.GenericKD.64149272Bitdefender

Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.

DétectionExempleAntivirus
TrojanSpy:Win32/Agent
(La mention Spy n’est pas obligatoire)
Trojan:Win32/RedLine!MSRMicrosoft Defender
Trojan.Agent.Stealer
Trojan.MalPack.Stealer
Trojan.Generic.MSILStealer
Spyware.PasswordStealer
Malwarebytes
Trojan.GenericKD.###Bitdefender
Stealer.XXXXX
JS/Spy.Agent.XXX
Stealer.Agent/Gen
JS/Spy.Agent.AH
ESET
InfostealerInfostealer.Gampass – cible les jeux
Infostealer.RedLine (Famille RedLine)
Norton

Fichiers HTML/Office infectés (pièces jointes ou pages piégées)

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Exemple de détectionAntivirusDescription
Trojan:O97M/Agent.XXXMicrosoft DefenderMacro malveillante dans un document Word/Excel
HTML/Phishing.Agent.ABESETFichier HTML visant à voler des identifiants
DOC:Exploit.CVE-2017-11882AvastExploitation d’une faille Office via fichier Word piégé

Scénario possible : la détection porte sur une pièce jointe malveillante.

Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)

Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.

Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).

Malwarebytes

Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.

Contrairement à Microsoft Defender ou Kaspersky, Malwarebytes mise fortement sur l’analyse heuristique et comportementale, ce qui explique l’usage fréquent de noms génériques mais contextuels. Le moteur peut ainsi identifier une menace même sans signature explicite.

Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####

Ce qui donne :

  • Préfixe : indique la catégorie de la menace
    Exemples :
    • Trojan. → cheval de Troie (accès à distance, stealer, downloader…)
    • Adware. → logiciel injectant de la publicité ou modifiant le navigateur
    • PUP. → programme potentiellement indésirable
    • Malware. ou MalPack. → détection générique basée sur le comportement
  • Nom central : identifie le comportement ou la famille
    • Agent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaire
    • Stealer → indique un voleur d’informations
    • Downloader → menace qui télécharge un autre malware
    • Injector → injection de code dans des processus légitimes
  • Suffixe éventuel : identifiant numérique ou indication d’analyse comportementale
    • Generic, Heur, ou un numéro de variante (Trojan.Agent.EDX)
    • Peuvent aussi signaler une détection basée sur un empaquetage (MalPack) ou une obfuscation avancée

Exemples concrets :

  • Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.
  • Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.
  • PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.

Microsoft (Windows Defender)

Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :

<type>:<plateforme>/<nom>.<variante>

Microsoft utilise aussi d’autres préfixes selon la nature de la menace :

  • Backdoor: pour les accès à distance non autorisés,
  • Ransom: pour les ransomwares,
  • PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),
  • Exploit: pour les fichiers qui exploitent une vulnérabilité système,
  • HackTool: pour les outils légitimes détournés à des fins malveillantes.

Par exemple : Trojan:Win32/Agent.WXYZ

  • Trojan désigne le type de menace (ici un cheval de Troie),
  • Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),
  • Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,
  • WXYZ est une variante, une signature spécifique ou un identifiant unique interne.

Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :

  • !MTBMachine-learned Threat Based (détection par IA / modèle comportemental),
  • !mlMachine Learning,
  • !bit → détection basée sur une signature hash/statique.

Que faire après une détection

Pour neutraliser la menace :

  • Mettre en quarantaine et supprimer les menaces. Compléter l’analyse de votre ordinateur avec MBAM. Plus de détails :
  • Surveiller le comportement du système. Par exemple, vérifier les connexions réseau (via netstat / outils tiers)
  • Réaliser une analyse secondaire avec VirusTotal ou un autre scanner
  • Réinitialiser les navigateurs si adware/PUP

Pour vous aider :

Une fois l’ordinateur désinfecté :

Liens

L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.

Grâce au code il localise le meilleur Vélib 🚴

Par : Mr Xhark
25 juin 2025 à 08:00

Et s'il était possible d'identifier le Vélib stationné en meilleur état dans une station grâce à un peu de code?

C'est la mission que s'est lancé Technopolis et j'ai trouvé la vidéo passionnante! Et je ne dis pas ça parce qu'il a réussi à tracker chaque vélo minute par minute...

Comme tous les objets en service, les Vélibs sont victime d'usure voir de maltraitance (les pauvres!). Quoi de plus énervant quand on paye un service de location que de tomber sur un vélo qui n'est pas en étant de fonctionner ?

Entre les données ouvertes, la réflexion pour identifier les vélos les plus pourris et ceux qui roulent le mieux : franchement bravo !

Espérons que d'autres vidéos voient le jour sur cette chaîne car je l'ai trouvé très quali 👍

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 25/06/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Grâce au code il localise le meilleur Vélib 🚴 provient de : on Blogmotion.

En tech, rien n’est simple – RDV Tech

Par : NotPatrick
24 juin 2025 à 16:30

Au programme :

Le premier téléphone « américain » coute 1999$

Netflix et TF1 signent un accord majeur

Le reste de l’actualité : temps des ados sur Tiktok, évolution des shorts, le journal de l’IA…


Infos :

Animé par Patrick Beja (BlueskyInstagramTwitterTikTok)

Co-animé par Guillaume Vendé (Bluesky).

Co-animé par Siegfried Thouvenot alias Captain Web (Twitter).

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja


Le Rendez-vous Tech épisode 624 – En tech, rien n’est simple – Purism Liberty Phone, Netflix <3 TF1, jeunes et écrans, IA cataclysmique

---

Liens :


🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord


Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech


En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick


💁 Tous les liens : NotPatrick.com


Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

On résume chaque semaine tout le monde de la tech. Un podcast pour tous, compréhensible, intéressant et fun !

Synology DS225+ vs DS224+

Par : Fx
24 juin 2025 à 07:00
DS225pls vs DS224plus - Synology DS225+ vs DS224+

Synology vient d’annoncer leDS225+, le successeur du DS224+. Cette nouvelle version s’inscrit dans la stratégie de renouvellement de la gamme DSx25+, qui introduction enfin le 2,5 Gb/s. Toutefois, au-delà de cette amélioration réseau, les évolutions restent légères. Ce nouveau NAS justifie-t-il réellement un investissement ?

DS225pls vs DS224plus - Synology DS225+ vs DS224+

Synology DS225+ vs DS224+

Processeur et RAM = Même Combat

Les 2 NAS partagent la même architecture. Ils sont construits autour du processeur Quad Core Intel Celeron J4125 cadencé à 2,0 GHz (jusqu’à 2,7 GHz en mode Burst) et 2 Go de RAM DDR4 (non ECC), extensibles jusqu’à 6 Go.

Le processeur J4125 date un peu, mais il a fait ses preuves. Il présente l’avantage d’intégrer un iGPU (processeur graphique) Intel UHD Graphics 600, ce qui est important si vous souhaitez faire du transcodage vidéo matériel avec Plex ou Jellyfin…. On regrettera que Synology se cantonne à seulement 2 Go de mémoire vive par défaut en 2025.

Connectique

La seule vraie nouveauté de ce DS225+, c’est l’arrivée d’un port réseau 2,5 Gb/s, qui vient compléter le port 1 Gb/s déjà présent.

Cette évolution, longtemps réclamée par la communauté, permet de passer les 300 Mo/s sur un réseau compatible. Pour les transferts de gros volumes, c’est une amélioration qui se traduit par des gains de temps substantiels. C’est également particulièrement appréciable dans les environnements multi-utilisateurs.

Côté des ports USB, il n’y a aucun changement.

Politique de compatibilité plus stricte

Depuis la série DSx25+, Synology a durci sa politique de compatibilité matérielle, en particulier concernant les disques durs et SSD. Seuls les modèles estampillés Synology sont désormais officiellement supportés, excluant de fait des références pourtant bien établies sur le marché, comme les Seagate IronWolf ou les WD Red. Cette stratégie traduit une volonté claire de contrôler l’ensemble de l’écosystème afin d’optimiser les performances et la fiabilité de ses produits.

Tableau comparatif DS225+ vs DS224+

DS225+ DS224+
Modèle du processeur Intel J4125 Intel J4125
Fréquence du processeur Quad Core (2,0 – 2,7 GHz) Quad Core (2,0 – 2,7 GHz)
iGPU Oui Oui
Mémoire vive 2 Go DDR4 (extensible jusqu’à 6) 2 Go DDR4 (extensible jusqu’à 6)
Emplacements HDD 2 2
Emplacements SSD NVME 0 0
Unité d’expansion
Port USB 3.0 2 (dont 1 en façade) 2 (dont 1 en façade)
Port réseau 1 Gb/s 1 2
Port réseau 2,5 Gb/s 1
Port réseau 10 GbE
Consommation électrique  16,98 W (Accès) et 6,08 W (Hibernation disque dur) 14,69 W (Accès) et 4,41 W (Hibernation disque dur)
Score CPU Benchmark 2941 points 2941 points
Disponibilité À venir Immédiate
Prix au lancement À confirmer 351€

Faut-il passer au DS225+ ?

Le Synology DS225+ s’inscrit davantage dans une logique de rafraîchissement que d’une véritable révolution. L’ajout du port 2,5 Gb/s est une bonne nouvelle, qui répond aux attentes des utilisateurs.

Si vous possédez déjà un DS224+, la migration ne se justifie que dans des scénarios très spécifiques (besoin absolu de débits réseau supérieurs). Pour les nouveaux acquéreurs, le choix dépendra essentiellement de leur approche vis-à-vis de la politique de disques certifiés.

Comment simuler une attaque DDoS sur votre serveur

Par : Mr Xhark
22 juin 2025 à 15:02

Potyos s'est intéressé aux connexions massives vers une machine, souvent connu sous le terme d'attaque DDoS ou attaque par déni de service. Avec la création d'un petit lab à la maison pour tester différents outils et observer la réaction du serveur face à autant de connexions simultanées :

J'aime bien son approche empirique, cela me rappelle un peu "ici Amy Plant".

Il le rappelle dans sa vidéo mais il vaut mieux 2 fois qu'une : mais ne tentez pas ça sur autre chose que des machines vous appartenant. Vous risquez d'avoir de gros ennuis et pensez que les pare-feux n'ont pas de log serait une grossière erreur.

CloudFlare vient d'ailleurs de déjouer une attaque monumentale de 7.3Tbps, ce qui constitue un nouveau record mondial. Autant dire qu'avec votre serveur dédié hébergé chez AWS ou OVH vous ne risquez pas de pouvoir absorber autant de trafic sans tout planter 😁 mais heureusement ces hébergeurs fournissent souvent une protection native en amont pour éviter d'écrouler leur infra.

En bonus une autre vidéo de Potyos qui s'était intéressé aux protections WiFi WPA :

Merci Potyos pour la vulgarisation 👍

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 22/06/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article Comment simuler une attaque DDoS sur votre serveur provient de : on Blogmotion.

uBlock Origin Lite : comment l’utiliser et le configurer sous Chrome (Manifest V3)

Par : malekalmorte
19 juin 2025 à 07:47

Depuis l’arrivée du Manifest V3 dans Chrome et les navigateurs basés sur Chromium (Edge, Opera, Brave…), l’extension uBlock Origin classique perd progressivement ses fonctionnalités avancées. Pour s’adapter à ces nouvelles restrictions, le créateur de l’extension a développé une version allégée : uBlock Origin Lite (ou uBOL), pensée pour fonctionner dans le cadre imposé par Manifest V3.

Bien que plus limitée que la version originale, uBlock Origin Lite reste une solution efficace pour bloquer les publicités et limiter le tracking en ligne, tout en étant très légère et compatible avec les navigateurs modernes.

Dans ce guide, nous vous expliquons comment installer, utiliser et configurer correctement uBlock Origin Lite sur Chrome ou Edge, avec des conseils pour adapter vos filtres, contourner les nouvelles limites du système, et obtenir la meilleure protection possible sans compromettre les performances.

Différences entre uBlock Origin et uBlock Origin Lite

Pour contourner les restrictions du Manifest V3, le créateur d’uBlock Origin (Raymond Hill) a développé une version alternative : uBlock Origin Lite (uBOL).
Voici les principales différences :

FonctionnalitéuBlock Origin LiteuBlock Origin (classique)
Blocage des publicités✅ Basique (MV3 limité)✅ Très complet
Filtres personnalisés⚠ Non (pas d’édition manuelle)✅ Oui (avec interface avancée)
Filtrage dynamique (mode avancé)❌ Non✅ Oui (scriptlets, règles spécifiques par domaine)
Logger réseau / analyse du trafic❌ Non✅ Oui
Mode anti-tracking (privacy)✅ Oui (de base)✅ Oui (EasyPrivacy, etc.)
Performance (CPU/RAM)Très léger, optimisé pour vitesseHaute précision, un peu plus de charge
Compatibilité Manifest V3✅ Oui❌ Non (sur Chrome ≥ version 127)

En résumé :

  • uBlock Origin classique reste le plus puissant, mais devient inutilisable progressivement sur Chrome et Edge à cause de Manifest V3.
  • uBlock Origin Lite est une version allégée, sans filtres personnalisés ni mode avancé, mais compatible MV3 et très léger.
  • Pour un usage avancé (filtrage par script, règles fines, etc.), il est vivement recommandé de passer à Firefox, qui continue à supporter uBlock Origin complet sans restriction.

Comment utiliser uBlock Origin Lite

Fonctionnement général

uBlock Origin Lite (uBOL) a été conçu pour être extrêmement léger, ce qui se reflète dans son interface utilisateur très épurée. Une fois installée dans votre navigateur (Chrome, Edge…), l’extension ajoute une icône en forme de bouclier bleu dans la barre d’outils. En cliquant dessus, une petite fenêtre s’ouvre avec très peu d’options, mais voici ce qu’elles signifient :

Icône de bouclier (bleu ou gris) :

  • Bleu actif : le blocage est activé sur le site actuel.
  • Gris désactivé : vous avez désactivé uBOL pour ce site.
uBlock Origin Lite actif et inactif

En bas de la fenêtre, vous pouvez voir une indication du nombre de requêtes bloquées sur la page actuelle (ex. : “15 requêtes bloquées”).
Ce n’est pas un logger interactif, mais juste une statistique indicative.

Les trois modes de uBlock Origin Lite

Ainsi, le bouton permet de basculer uBlock dans deux modes différents :

ModeDescriptionCaractéristiques principales
Mode par défaut (Standard)Filtrage simple basé sur une ou deux listes essentielles✔ Léger et rapide
❌ Protection minimale
❌ Aucune personnalisation
Mode OptimalActive un ensemble plus complet de listes de filtrage, proche d’un niveau de protection intermédiaire. 3–5 listes.✔ Meilleure couverture pub et tracking
✔ Compatible MV3
❌ Moins léger que le mode standard et peut atteindre la limite
Mode CompletActive 5 à 8 listes, notamment contre les bannières de cookies✔Active le maximum de listes de filtres compatibles Manifest V3, jusqu’au quota autorisé.
❌ Certains éléments esthétiques ou règles personnalisées restent absents.
❌ Risque de désactivation automatique de certaines listes si le quota est dépassé.

Bouton Paramètres / Gestionnaire de filtres

L’accès aux paramétrages se fait depuis l’icône roue crantée.

Ouvrir les paramtres d'uBO Lite

De là, vous pouvez :

  • Activer ou désactiver les filtres par défaut
  • Ajouter ou retirer des listes recommandées
  • Désactiver les filtres cosmétiques
Listes de filtres d'uBOL

Comment configurer uBO Lite correctement

Adapter les filtres à Manifest V3

Avec l’arrivée de Manifest V3, les navigateurs basés sur Chromium (Chrome, Edge, Brave…) limitent désormais le nombre de règles de filtrage qu’une extension comme uBlock Origin Lite (uBOL) peut utiliser. Le plafond actuel est d’environ 30 000 règles actives, ce qui impose de repenser vos listes de filtres pour rester dans les limites autorisées :

  • Désactivez les listes que vous n’utilisez pas vraiment (ex. : langues inutilisées, listes régionales,*
  • doublons).
  • Évitez de cumuler plusieurs listes anti-pub généralistes (EasyList + AdGuard Base, par exemple).
  • Désactivez les filtres cosmétiques si l’efficacité publicitaire est prioritaire (Paramètres > Avancé > Désactiver les filtres cosmétiques dans uBOL).
  • N’activez pas les règles de filtres de malwares. Elles sont en général peu efficaces
  • Privilégiez les listes légères conçues pour Manifest V3, comme :
uBlock Origin Lite vous informe via une icône jaune ou une alerte si vous dépassez la limite de règles — pensez à consulter le journal ou à réduire votre configuration si nécessaire.

Encore une fois, sur Firefox, ces limites ne s’appliquent pas : vous pouvez conserver toutes vos listes personnalisées et utiliser le mode avancé sans contrainte.

Listes recommandées pour uBO Lite à ajouter

Liste à jour (et compatible MV3) à suggérer :

ListeFonctionStatut MV3
uBlock Filters – LiteBase anti-pub✅
AdGuard BaseAnti-pub généraliste✅
AdGuard Tracking ProtectionAnti-tracking✅
EasyList CookieConsentement RGPD✅ (légère)
Français + EasyListPour les utilisateurs francophones⚠ (vérifier quota)

Liens

L’article uBlock Origin Lite : comment l’utiliser et le configurer sous Chrome (Manifest V3) est apparu en premier sur malekal.com.

New Malware Campaign Uses Cloudflare Tunnels to Deliver RATs via Phishing Chains

A new campaign is making use of Cloudflare Tunnel subdomains to host malicious payloads and deliver them via malicious attachments embedded in phishing emails. The ongoing campaign has been codenamed SERPENTINE#CLOUD by Securonix. It leverages "the Cloudflare Tunnel infrastructure and Python-based loaders to deliver memory-injected payloads through a chain of shortcut files and obfuscated

Comment utiliser l’application Assistance rapide dans Windows 11 (Quick Assist)

Par : malekalmorte
18 juin 2025 à 07:04

Vous cherchez un moyen simple et sécurisé d’aider à distance un proche ou de recevoir une assistance technique sur votre PC ? L’application Assistance rapide (ou Quick Assist en anglais), intégrée à Windows 11, permet de partager son écran ou prendre le contrôle d’un autre ordinateur à distance en toute sécurité. Que vous soyez technicien, membre de la famille ou simple utilisateur ayant besoin d’aide, cet outil gratuit est une alternative pratique à des logiciels comme TeamViewer ou AnyDesk.

Dans ce tutoriel complet, découvrez comment utiliser pas à pas l’application Accès rapide pour obtenir ou fournir de l’aide à distance sur Windows 11.
Notez que cela fonctionne exactement de la même manière sur Windows 10. De plus, la version de Windows n’entre pas en compte dans la prise de contrôle à distance.

Qu’est-ce que l’application Assistance rapide ?

Assistance rapide (Quick Assist) est une application de Microsoft qui permet à un utilisateur de partager son écran avec une autre personne, qui peut alors visualiser ou contrôler l’ordinateur à distance. Elle fonctionne via une connexion Internet sécurisée et utilise un code temporaire à usage unique pour autoriser la session.

Elle est préinstallée sur Windows 11, ce qui évite de devoir télécharger un outil tiers. Elle est particulièrement utile pour :

  • Aider un proche en difficulté avec son PC
  • Se faire assister par un technicien
  • Intervenir sur un poste à distance sans configuration complexe

L’Accès rapide est sûr puisqu’elle utilise :

  • Une connexion chiffrée via les serveurs Microsoft
  • Un code à usage unique, valable 10 minutes
  • Une interface qui permet à l’utilisateur d’être à tout moment en contrôle (possibilité d’interrompre la session)

Lorsque l’application détecte que les sécurités minimales requises ne sont pas satisfaites, elle met fin à la session.

Session terminée - Assistance rapide.
Sécurité minimale requise non satisfaites.
Ne partagez jamais un code d’assistance avec une personne que vous ne connaissez pas.

Contrôle à distance pour fournir de l’aide à quelqu’un (mode technicien)

Comment ouvrir l’application Assistance rapide

  • Ouvrez l’application sur l’ordinateur hôte et l’ordinateur auquel vous souhaitez prendre le contrôle à distance
  • Cliquez sur le bouton Démarrer ou appuyez sur Windows + S
  • Tapez Assistance rapide ou Quick Assist
  • Cliquez sur l’application pour l’ouvrir
Comment ouvrir l'application Assistance rapide sur Windows 11
Si l’application ne s’affiche pas, vérifiez que Windows est à jour ou installez-la via le Microsoft Store.

Générer et échanger le code de sécurité de l’assistant

  • Depuis l’ordinateur hôte, cliquez sur « Aider quelqu’un« 
Aider quelqu'un à distance avec l'assistance rapide de Windows 11
  • Connectez-vous avec votre compte Microsoft
Se connecter à son compte Microsoft dans l'assistance rapide
  • Un code de sécurité à 6 chiffres est généré automatiquement. Ce code est valable pendant une durée limitée et expire au bout de 10 minutes
  • Transmettez ce code à la personne à aider (par téléphone, mail, etc.)
Partager le code de sécurité de l'assistance rapide de Windows 11
  • La personne doit saisir le code dans la section « Aide » et « Code de sécurité de l’assistant« 
Saisir le code de sécurité dans l'assistance rapide pour une prise de contrôle à distance
  • Une fois le code saisi par l’autre personne, lisez et acceptez les conditions d’utilisation en cochant l’option « Je comprends » et en cliquant sur Autoriser
Autoriser le partage écran dans l'assistance rapide de Windows 11
  • À partir de là, le partage d’écran débute. Une barre d’icône s’affiche en haut sur les deux ordinateurs. Vous pouvez ouvrir un chat et différents outils
  • Pour prendre la main à distance, l’utilisateur de l’ordinateur hôte doit cliquer sur le bouton en haut pour demander l’autorisation et sur le PC distant, la personne doit accepter. Celle-ci peut mettre en pause le contrôle à distance à tout moment. Enfin, il est possible de choisir sur quel écran travailler, lorsqu’un double écran est présent
Contrôle à distance par l'assistance rapide de Windows 11

L’article Comment utiliser l’application Assistance rapide dans Windows 11 (Quick Assist) est apparu en premier sur malekal.com.

UrBackup : la sauvegarde multiplateforme 💾

Par : Mr Xhark
18 juin 2025 à 08:00

J'ai découvert l'existence du produit UrBackup chez IT-Connect. Il s'agit d'un outil de sauvegarde open source et multiplateforme qui fonctionne avec un agent.

J'ai trouvé l'outil rempli d'options, l'interface web semble facile à utiliser et l'outil me semble très complet. Comme j'étais complètement passé à côté je vous propose de le découvrir 🙂

L'outil propose même de la déduplication, ce qui évite de stocker le même fichier plusieurs fois.

➡ UrBackup

Merci à Florian pour la découverte et la prise en main de l'outil !

Vous n'aimez pas le RSS : abonnez-vous par email 📥
Vous devriez me suivre sur Twitter : @xhark

Article original écrit par Mr Xhark publié sur Blogmotion le 18/06/2025 | Pas de commentaire |
Attention : l'intégralité de ce billet est protégée par la licence Creative Commons

Cet article UrBackup : la sauvegarde multiplateforme 💾 provient de : on Blogmotion.

IA vs Copyright: le vrai combat débute - RDV Tech

Par : NotPatrick
17 juin 2025 à 12:20

Au programme :

Copyright vs IA: les choses sérieuses commencent

WWDC à tête reposée: Liquid Glass et damage control

Mistral au centre de Vivatech

Le reste de l’actu


Infos :

Animé par Patrick Beja (BlueskyInstagramTwitterTikTok)

Co-animé par Marion Doumeingts (InstagramBlueskyTwitter).

Produit par Patrick Beja (LinkedIn) et Fanny Cohen Moreau (LinkedIn).

Musique libre de droit par Daniel Beja


Le Rendez-vous Tech épisode 623 – IA vs Copyright: le vrai combat débute

---

Liens :


🎧 L’Actu Tech (podcast daily): NotPatrick.com/#lactutech

😎 Soutien sur Patreon : Patreon.com/RDVTech

🤗 Communauté Discord : NotPatrick.com/discord


Par écrit :

📰 Newsletter : NotPatrick.com/newsletter

📰 Archives NL: NotPatrick.com/archivenl

📢 WhatsApp : NotPatrick.com/whatsapp

🐤 Veille Twitter : Twitter.com/RdvTech


En vidéo :

📹 Live : Twitch.tv/NotPatrick

📺 VOD : YouTube.com/NotPatrickPodcasts

📱 TikTok : Tiktok.com/@NotNotPatrick


💁 Tous les liens : NotPatrick.com


Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.

💾

© NotPatrick

On résume chaque semaine tout le monde de la tech. Un podcast pour tous, compréhensible, intéressant et fun !

Comment masquer la barre des tâches sur le second écran dans Windows 11

Par : malekalmorte
16 juin 2025 à 08:12

Vous utilisez plusieurs écrans sous Windows 11 et souhaitez masquer ou supprimer la barre des tâches sur votre second moniteur pour améliorer votre confort d’utilisation et votre espace de travail ? Bonne nouvelle : Windows 11 offre plusieurs options simples et avancées pour gérer l’affichage de la barre des tâches en mode multiécrans.

Dans cet article clair et pratique, découvrez étape par étape comment désactiver facilement la barre des tâches sur votre écran secondaire, personnaliser son comportement via le Registre Windows (regedit), ou encore utiliser des solutions avancées et des utilitaires tiers comme ExplorerPatcher ou StartAllBack. Vous trouverez également des solutions efficaces aux problèmes courants liés à la gestion des barres multiples dans Windows 11, afin d’optimiser votre expérience multi-écrans.

Comment masquer la barre des tâches sur le second écran dans Windows 11

Méthode rapide depuis les paramètres

  • Faites un clic droit sur la barre des tâches, puis cliquez sur « Paramètres de la barre des tâches ».
  • Dans la fenêtre qui s’ouvre, cliquez sur « Comportements de la barre des tâches » pour afficher les options supplémentaires.
  • Décochez l’option « Afficher ma barre des tâches sur tous les affichages ».
Comment masquer la barre des tâches sur le second écran dans Windows 11

Dès que cette option est décochée, la barre des tâches disparaîtra immédiatement du second écran, et restera visible uniquement sur l’écran principal.

Via le registre Windows

Si la méthode standard depuis les paramètres Windows ne suffit pas ou ne fonctionne pas correctement, il existe des astuces avancées pour masquer ou personnaliser la barre des tâches sur votre second écran dans Windows 11.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
  • Modifiez la valeur MMTaskbarEnabled (DWORD) à :
    • 0 pour désactiver la barre des tâches sur les écrans supplémentaires.
    • 1 pour activer la barre des tâches sur tous les écrans.
Comment masquer la barre des tâches sur le second écran dans Windows 11

Avec un logiciel tiers

Il existe également des utilitaires tiers comme ExplorerPatcher ou StartAllBack, qui offrent des réglages avancés et détaillés pour personnaliser complètement la barre des tâches sur chaque écran, y compris le masquage total, partiel ou contextuel selon l’écran actif.

L’article Comment masquer la barre des tâches sur le second écran dans Windows 11 est apparu en premier sur malekal.com.

Manifest V3 Chrome : quel impact sur les bloqueurs de publicité (Adblock, uBlock) ?

Par : malekalmorte
15 juin 2025 à 11:30

Depuis 2023, Google Chrome a progressivement imposé Manifest V3, une nouvelle norme technique pour les extensions de navigateur. Ce changement important modifie profondément la manière dont les extensions interagissent avec le navigateur, impactant directement les bloqueurs de publicités tels que Adblock ou uBlock Origin. Avec Manifest V3, Google promet une sécurité renforcée, une meilleure confidentialité et des performances accrues. Cependant, ces modifications limitent fortement les capacités des bloqueurs de publicités populaires, réduisant leur efficacité à filtrer et bloquer certaines publicités complexes.

Dans cet article, j’examine en détail ce qu’est Manifest V3, comment il impacte précisément vos extensions anti-pub préférées et quelles alternatives restent disponibles pour continuer à naviguer sereinement et sans publicité invasive sur le web.

Qu’est-ce que Manifest V3 et quels sont les principaux changements introduits ?

Imposé début 2025 à toutes les extensions de Chrome, manifest V3 définit comment les extensions interagissent avec le navigateur internet.
Il succède à Manifest V2, introduit en 2012. Ce manifeste régit les autorisations, les méthodes de gestion de réseau, la sécurité, la performance et le comportement général des extensions.

Principaux changements introduits par Manifest V3

Abandon de WebRequest :

Sous Manifest V2, les bloqueurs de publicités pouvaient analyser, filtrer, bloquer chaque requête réseau dynamiquement.
Manifest V3 supprime la possibilité d’intervenir en temps réel sur le trafic réseau et la remplace par l’API DeclarativeNetRequest (DNR), plus statique et avec des règles prédéfinies.
Manifest V3 impose un cadre plus strict sur la manière dont les extensions accèdent aux données utilisateur (cookies, historique, mots de passe, stockage local). L’accès est désormais plus explicite et granulaire.

Limitation du nombre de règles :

Manifest V3 limite strictement le nombre de règles pouvant être chargées en même temps (jusqu’à 30 000 règles par défaut, extensible jusqu’à 300 000).
Cela réduit significativement les capacités des bloqueurs de publicité avancés, comme uBlock Origin.

Restrictions renforcées sur l’accès aux données :

Les extensions ont désormais moins accès direct aux données sensibles des utilisateurs, réduisant les risques liés à la vie privée et la sécurité.

Performance et sécurité accrues :

Limiter l’accès aux données et le traitement dynamique du réseau améliore globalement la performance et la sécurité du navigateur.

Pourquoi Google impose Manifest V3 dans Chrome ?

Plus de sécurité

Google argumente que Manifest V2 présente des risques de sécurité liés à l’accès puissant et dynamique que certaines extensions ont aux données utilisateur et au trafic réseau. Manifest V3 est conçu pour limiter ces risques.
En réduisant le traitement direct et détaillé des données réseau par les extensions, Google affirme mieux protéger la confidentialité des utilisateurs.
Les extensions malveillantes du type « stealers » exploitent généralement la puissance d’anciennes API (Manifest V2), qui leur permettaient d’accéder en temps réel à la totalité des requêtes réseau ou aux données sensibles stockées dans le navigateur, telles que cookies, mots de passe ou jetons de session.
L’abandon de l’API WebRequest rend beaucoup plus difficile pour une extension malveillante d’intercepter discrètement des jetons de connexion ou des données personnelles via des requêtes réseau, mais également d’accéder silencieusement aux données sensibles (cookies, mots de passe stockés), sans que l’utilisateur soit averti.

Avant, les extensions pouvaient aisément injecter du JavaScript dans chaque page visitée pour détourner les résultats de recherche, afficher des publicités ou rediriger.
De plus, Manifest V3 restreint les capacités d’une extension à manipuler en profondeur les résultats des moteurs de recherche (injecter des résultats sponsorisés ou trompeurs).
Cela peut aussi affecter les extensions de détournement de navigateur (« hijackers ») changent généralement le moteur de recherche, la page d’accueil, ou insèrent des publicités intrusives dans les pages visitées.

Toutefois, Manifest V3 ne résout pas entièrement le problème :

  • Des extensions malveillantes pourront toujours contourner certaines limites par des méthodes alternatives (demander explicitement certaines permissions sensibles, utiliser des tactiques sociales pour tromper les utilisateurs, etc.).
  • Des voleurs de cookies ou mots de passe peuvent encore utiliser des techniques comme capturer des données saisies via des permissions obtenues de façon abusive ou en détournant des mécanismes légitimes.

Meilleure performance

Google souhaite que les extensions aient un impact moindre sur la consommation mémoire et les performances générales du navigateur.

Officieusement : Gagner la guerre contre les Adblock ?

Les extensions tierces traditionnelles (uBlock Origin classique, Adblock Plus, etc.) voient leurs fonctionnalités réduites comme sur Chrome et ses dérivés.
En effet, le résultat général pour les bloqueurs publicitaires tiers est une réduction de leurs capacités, avec :

  • Cette API impose un modèle de règles déclaratives pré-chargées au démarrage. Autrement dit, elle demande à l’extension de spécifier à l’avance les règles de blocage (URLs, domaines, ressources spécifiques).
  • Moins de règles de blocage disponibles simultanément.
  • Un blocage moins dynamique et plus statique. Elle interdit à l’extension de modifier dynamiquement les requêtes réseau en temps réel comme pouvait le faire l’API WebRequest.
  • Une efficacité globale diminuée contre les publicités complexes ou les scripts de tracking avancés.

De ce fait, Google peut très facilement contourner les Adblock dans YouTube grâce à des publicités complexes.

Même si Google ne l’admet pas ouvertement, le passage à Manifest V3 affaiblit les bloqueurs de publicité tiers, renforçant potentiellement les revenus publicitaires de Google, qui restent son principal modèle économique.
Ce n’est pas la première fois que Google utilise son moteur de recherche avec une part de marché prépondérante pour imposer des standards sur internet.

Critiques et controverses autour de Manifest V3

Manifest V3 suscite une large controverse :

CritiqueExplication concrète
🔻 Affaiblissement des bloqueurs de pubMoins de règles et blocage moins dynamique : les publicités deviennent plus difficiles à bloquer efficacement.
🔻 Moins de contrôle utilisateurLes utilisateurs et développeurs perdent la possibilité d’utiliser des solutions plus avancées et personnalisées.
🔻 Crainte sur la neutralité du webManifest V3 renforce indirectement la domination commerciale de Google, limitant potentiellement la liberté de choix des utilisateurs.

Comment Manifest V3 impacte les navigateurs internet comme Brave, Edge, Vivaldi ou Opera

Manifest V3, impulsé par Google pour Chrome, affecte aussi fortement les autres navigateurs basés sur Chromium comme Brave, Edge, Vivaldi ou Opera, mais avec des approches nuancées selon chaque éditeur.

Sur les navigateurs alternatifs (Firefox, Brave, Vivaldi, Opera), uBlock Origin classique reste disponible tant que ces navigateurs maintiendront le support MV2.
En juin 2025, Microsoft Edge suivra également avec un délai pour les entreprises.

Voici un tableau des adoptions et impact pour l’utilisateur.

Navigateur internetAdoption Manifest V3Impact utilisateur finalAction
Edge✅ TotaleModéré à élevé (solution interne limitée)Edge propose en compensation son propre bloqueur intégré « Tracking Prevention » qui limite le pistage et bloque les publicités, mais avec des fonctionnalités plus limitées que les extensions avancées
Brave
✅ Oui, mais nuancé
Faible (blocage natif fort)Il adopte Manifest V3 pour les extensions tierces, mais son bloqueur de publicité intégré (Brave Shields) n’est pas affecté directement.
L’impact est faible pour les utilisateurs de Brave qui utilisent le bloqueur intégré.
Vivaldi✅ Oui, mais nuancéFaible (blocage natif fort)Vivaldi propose un bloqueur de publicité et de pistage intégré natif, similaire à Brave. Celui-ci n’est pas affecté par Manifest V3.
Opera
✅ Oui, complet
Faible à modéré (solution interne efficace)Le bloqueur publicitaire natif d’Opera n’est pas affecté directement par Manifest V3, puisqu’il ne dépend pas des API réservées aux extensions.
Il continue de bloquer efficacement les publicités courantes et les trackers.

Quelles sont les alternatives pour continuer de bloquer les publicités ?

uBlock Origin Lite (MV3)

uBlock Origin Lite est une déclinaison simplifiée et adaptée de la célèbre extension uBlock Origin, spécifiquement créée pour être compatible avec le nouveau standard d’extensions Manifest V3 (MV3) imposé par Google Chrome.
En somme, uBlock Origin Lite fonctionne grâce à des listes prédéfinies (EasyList, EasyPrivacy, etc.) plutôt qu’à une analyse dynamique de chaque requête.

Il en va de même pour AdBlock (MV3) ou Adblock Plus (MV3).

Passer Firefox

Comme vous avez pu le voir dans le tableau précédent, certains navigateurs internet tiers basés sur Chrome devraient continuer de proposer des bloqueurs de publicités efficaces.

Mais, vous pouvez aussi passer à Mozilla Firefox qui n’est pas lié aux choix du géant américain.

En effet, du côté de Firefox, Manifest V3 est devenu généralement disponible dans Firefox 109 après avoir été disponible en tant qu’aperçu pour les développeurs depuis Firefox 101.
Mais, Mozilla a annoncé continuer de maintenir la prise en charge du blocage de WebRequest dans MV3.
Pour maximiser la compatibilité avec les autres navigateurs, le navigateur WEB fournit également un support
pour declarativeNetRequest.
De ce fait, cela ne devrait pas perturber le fonctionnement des bloqueurs de publicités.
À lire : l’annonace de Mozilla

Bloqueurs DNS (NextDNS, Pi-hole, AdGuard Home)

Une autre approche pour bloquer la publicité est d’utiliser des bloqueurs DNS.
La résolution DNS des serveurs utilisés par les régies publicitaires ne fonctionnera pas empêche la connexion à ces derniers.
Toutefois, là aussi, des limitations ou contournements sont possibles.

Il existe de nombreuses solutions comme NextDNS, Pi-hole, AdGuard Home.

Liens

L’article Manifest V3 Chrome : quel impact sur les bloqueurs de publicité (Adblock, uBlock) ? est apparu en premier sur malekal.com.

❌
❌