Vue normale

Il y a de nouveaux articles disponibles, cliquez pour rafraîchir la page.
À partir d’avant-hierFlux principal

Histoire des botnets : 20 ans d’évolution de la cybercriminalité

Par : malekalmorte
9 juillet 2026 à 08:42

Depuis le début des années 2000, les botnets ont profondément transformé le paysage de la cybercriminalité. D’abord utilisés pour envoyer des campagnes massives de spam ou lancer des attaques par déni de service (DDoS), ils sont progressivement devenus de véritables plateformes criminelles, capables de diffuser des malwares, déployer des ransomwares, réaliser de la fraude publicitaire (Ad Fraud), fournir des proxys résidentiels ou encore être loués sous forme de Botnet-as-a-Service (BaaS).

Cette évolution s’est accompagnée de nombreux changements techniques : apparition des architectures pair-à-pair (P2P), des algorithmes DGA, du Fast Flux DNS, des rootkits, puis des botnets ciblant les objets connectés (IoT) et les Android TV Box. Les opérations de démantèlement menées par Microsoft, Europol, le FBI et d’autres acteurs ont également joué un rôle majeur dans cette course permanente entre cybercriminels et défenseurs.

Dans ce dossier, découvrez l’histoire des botnets, leur évolution au fil des années, les principaux réseaux qui ont marqué la cybersécurité, les grandes opérations de démantèlement et les nouvelles tendances qui façonnent les botnets modernes.

✋
Pour tout savoir sur le fonctionnement d’un botnet, consultez : Les botnets : définition, fonctionnement, types et protection

Les grandes étapes de l’évolution des botnets

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord simples réseaux d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont progressivement devenus des plateformes criminelles sophistiquées capables de diffuser des malwares, lancer des attaques DDoS, exploiter des objets connectés ou fournir des services de proxys résidentiels.

La frise ci-dessous résume les principales étapes de cette évolution.

Frise chronologique de l'histoire des botnets 20 ans d'évolution

Les premiers botnets (2000-2006)

Les premiers botnets apparaissent au début des années 2000, à une époque où Internet connaît une forte croissance et où les ordinateurs personnels sont de plus en plus connectés en permanence. Les cybercriminels découvrent alors qu’il est beaucoup plus efficace de contrôler des milliers d’ordinateurs à distance que d’agir depuis leur propre machine.

À cette époque, les botnets restent relativement simples. Ils sont principalement composés de PC Windows infectés et utilisent un modèle client/serveur reposant sur des serveurs IRC (Internet Relay Chat). Les ordinateurs compromis rejoignent automatiquement un canal de discussion (channel), sur lequel le botmaster envoie ses commandes.

Le fonctionnement est alors le suivant :

Infographie d'un botnet IRC pour comprendre le fonctionnement

Ces premiers botnets sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Envoyer des campagnes de spam
  • Télécharger et installer d’autres malwares
  • Ouvrir une porte dérobée (backdoor) sur les ordinateurs infectés

Parmi les botnets les plus connus de cette période figurent :

BotnetParticularité
GTBotL’un des premiers botnets basés sur IRC.
Agobot (Gaobot)Très modulaire, il exploitait de nombreuses vulnérabilités Windows et pouvait lancer des attaques DDoS.
SDBotBotnet IRC largement diffusé, souvent utilisé pour des attaques DDoS et l’installation d’autres malwares.
SpyBotUtilisé pour le contrôle à distance, les attaques DDoS et le téléchargement de nouveaux composants malveillants.

À cette époque, les botnets étaient encore principalement développés par des individus ou de petits groupes. Leur objectif était souvent de démontrer leurs compétences techniques, de perturber des services en ligne ou de contrôler un grand nombre de machines.

Cette période marque toutefois les débuts d’une évolution qui transformera progressivement les botnets en véritables infrastructures criminelles, capables de générer des revenus importants grâce au spam, au vol de données, à la fraude publicitaire ou encore aux proxys résidentiels. Les années suivantes verront apparaître des botnets beaucoup plus massifs, comme Storm puis Conficker, qui changeront profondément l’échelle de la cybercriminalité.

Botnet d'une Backdoor IRC diffusées par MSN

2007-2012 : les grands botnets Windows

Entre 2007 et 2012, les botnets connaissent une croissance spectaculaire. Cette période est souvent considérée comme l’âge d’or des botnets Windows. Grâce aux campagnes massives de spam, aux vers informatiques (worms) et à l’exploitation de failles de sécurité, certains réseaux atteignent plusieurs millions d’ordinateurs infectés.

Les cybercriminels commencent également à se structurer. Les botnets ne sont plus uniquement développés par des passionnés ou de petits groupes, mais par de véritables organisations criminelles, où chacun possède un rôle bien défini : développement des malwares, gestion des serveurs, diffusion des infections, exploitation des données et blanchiment des revenus.

Les principaux botnets de cette période sont les suivants.

BotnetAnnéeParticularité
Storm2007Premier botnet de très grande ampleur, utilisé pour le spam et les attaques DDoS.
Conficker2008Ver informatique ayant infecté jusqu’à 15 millions d’ordinateurs grâce à une faille Windows et aux supports amovibles.
Rustock2006-2011L’un des plus importants spambots au monde, capable d’envoyer jusqu’à 200 millions de spams par jour.
Cutwail (Pushdo)2007Immense réseau spécialisé dans l’envoi de courriers indésirables et de campagnes de phishing.
Waledac2008Botnet de spam utilisant des techniques avancées de communication P2P.
Kelihos2010Successeur de Waledac, principalement utilisé pour le spam et le téléchargement d’autres malwares.

Durant cette période, les spambots dominent largement le paysage. Les revenus proviennent principalement :

  • de l’envoi massif de courriers indésirables (spam) ;
  • des campagnes de phishing ;
  • de la diffusion de faux antivirus (rogues) ;
  • de l’installation d’autres malwares.

Plusieurs botnets commencent à intégrer des rootkits afin d’améliorer leur discrétion. Un rootkit permet de masquer les fichiers, les processus, les connexions réseau ou encore les clés du Registre utilisés par le malware. Cette technique rend la détection beaucoup plus difficile et permet au botnet de rester actif pendant de longues périodes sans être remarqué. Des botnets comme Rustock ou, plus tard, TDSS (Alureon) illustrent parfaitement cette évolution.

👉A lire :

Parallèlement, les techniques utilisées par les botnets évoluent rapidement. Les opérateurs mettent en place des architectures P2P, des algorithmes DGA (Domain Generation Algorithm) et des communications chiffrées afin de rendre leur démantèlement plus difficile.

Cette période marque également le début des grandes opérations internationales de démantèlement. Microsoft, les éditeurs de sécurité et les forces de l’ordre commencent à coordonner leurs actions afin de saisir les serveurs de commande (C2), mettre en place des sinkholes DNS et neutraliser les infrastructures utilisées par les cybercriminels.

À partir de 2010, le modèle économique évolue progressivement. Les botnets ne servent plus uniquement à envoyer du spam : ils deviennent des plateformes de services, capables de distribuer d’autres malwares, de réaliser de la fraude publicitaire ou de générer des revenus grâce à de nouvelles activités criminelles. Cette professionnalisation ouvrira la voie à la génération suivante de botnets, comme ZeroAccess, TDSS ou Necurs.

Des botnet gigantesques

Malware / BotnetTaille du botnet (au meilleur)Année
Rustock540 000 à 810 0002006 à 2010 – shutdown : Operation b107
Cutwail (Pushdo / Pandex)1 100 000 à 1 600 0002007 – encore actif
Bagle520 000 à 780 0002004 à 2012
Srizbienviron 450 0002007/2008
Grum (Tedroo)580 000 à 860 0002008 – Takedown 2012
Maazben240 000 à 360 0002009
Bredolab (Oficla)~220 0002009 – down en 2010 par les autorités Allemandes. Le botmaster, un arménien est arreté et condamndé à 4 ans de prison.
Lethic210 000 – 310 0002008 – semi-down en 2010
Festi140 000 à 220 0002009
Donbot (Buzus)~125 0002010 – Sinkhole en 2012 mais revenu
Kelihos (Possible suite de Waledac)~120 0002009 – Voir Waledac
Bobax (Kraken/Oderoor/Hacktool.spammer)110 000 à 160 0002004
Waledac~90 0002008 – 2010 – TD par Microsoft
Retour en 2012
TD début 2017+arrestation
Mega-D (Ozdok)50 000 à 70 0002009 – down en 2009 par FireEye, remis en ligne un mois après.
Gheg (Tofsee/Mondera)50 000 à 70 0002013
Xarvester (Rlsloup/Pixoliz)20 000 à 36 0002010

2010-2015 : la professionnalisation des botnets

À partir de 2010, les botnets évoluent profondément. Les cybercriminels ne cherchent plus seulement à envoyer du spam ou à lancer des attaques DDoS : ils transforment leurs infrastructures en véritables plateformes criminelles, capables de générer des revenus de multiples façons.

Les groupes derrière ces botnets deviennent également beaucoup plus organisés. Ils se répartissent les tâches entre plusieurs équipes spécialisées :

  • Les développeurs, qui conçoivent les malwares et les techniques d’évasion.
  • Les opérateurs, qui administrent le botnet et les serveurs C2.
  • Les équipes chargées de la diffusion, qui infectent de nouveaux appareils.
  • Les affiliés, qui monétisent le botnet via différentes activités criminelles.

Cette période voit également apparaître les premiers modèles de Malware-as-a-Service (MaaS). Certains groupes vendent ou louent leurs malwares, tandis que d’autres paient pour faire installer leurs propres logiciels malveillants sur des ordinateurs déjà compromis.

Les botnets les plus emblématiques de cette période sont les suivants.

BotnetAnnéeParticularité
TDSS (Alureon / TDL)2010Botnet reposant sur un rootkit très sophistiqué, utilisé pour le proxy, le click fraud et le téléchargement d’autres malwares.
ZeroAccess (Sirefef)2011Botnet P2P spécialisé dans le cryptominage et la fraude publicitaire (Ad Fraud).
Citadel2011Évolution de Zeus, largement utilisée pour les attaques bancaires et les campagnes de malware.
Ponmocup2011L’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Necurs2012Immense botnet spécialisé dans le spam et la distribution de ransomwares et de chevaux de Troie bancaires.

Les activités évoluent elles aussi rapidement. Les opérateurs ne se limitent plus au spam et développent de nouvelles sources de revenus :

  • Fraude publicitaire (Ad Fraud) en simulant des clics sur des publicités.
  • Cryptominage, utilisant la puissance de calcul des ordinateurs compromis.
  • Installation de chevaux de Troie bancaires, comme Zeus ou Citadel.
  • Distribution d’autres malwares, les groupes étant rémunérés pour installer un logiciel malveillant sur les appareils infectés.
  • Services de proxy, revendant déjà l’accès à des connexions Internet compromises.

Cette période marque également une avancée technique importante. Les botnets adoptent progressivement :

  • Les architectures P2P, afin d’éliminer les points de défaillance uniques.
  • Les algorithmes DGA, pour renouveler automatiquement les domaines utilisés par les serveurs C2.
  • Les rootkits, qui masquent le malware et renforcent sa persistance.
  • Des communications chiffrées, rendant l’analyse réseau beaucoup plus difficile.

ZeroAccess (également connu sous les noms Sirefef ou Max++) est un malware et un botnet apparu vers 2011. Il se distingue par son architecture pair-à-pair (P2P), qui le rend particulièrement résistant aux tentatives de démantèlement.

Contrairement aux spambots de l’époque, ZeroAccess est principalement utilisé pour la fraude publicitaire (click fraud) et, sur certaines variantes, pour le cryptominage de Bitcoin. Il peut également télécharger et installer d’autres logiciels malveillants sur les ordinateurs compromis.

Au plus fort de son activité, la taille du botnet est estimée entre 1,9 et 2,2 millions d’ordinateurs infectés, avec environ 800 000 bots actifs simultanément selon Microsoft.

En 2013, une opération conjointe menée par Microsoft, Europol (EC3), le FBI et plusieurs partenaires industriels, dont A10 Networks, a fortement perturbé le botnet en neutralisant une partie de son infrastructure. Malgré cela, son architecture P2P lui a permis de survivre plusieurs mois avant de perdre progressivement de son importance

Les grandes opérations internationales de démantèlement se multiplient également. Des botnets comme Citadel, ZeroAccess ou TDSS subissent d’importantes perturbations grâce à la coopération entre les éditeurs de sécurité, les hébergeurs, les registrars et les forces de l’ordre.

Cette professionnalisation prépare l’arrivée d’une nouvelle génération de botnets. À partir de 2016, les cybercriminels ne ciblent plus uniquement les ordinateurs : les objets connectés (IoT) deviennent à leur tour une cible privilégiée, ouvrant la voie à des botnets comme Mirai, capables de contrôler des centaines de milliers de caméras IP, de routeurs et d’autres équipements connectés.

2016 : l’arrivée des objets connectés

L’année 2016 marque un tournant majeur dans l’histoire des botnets. Jusqu’alors, les cybercriminels ciblaient principalement les ordinateurs Windows. Avec l’essor des objets connectés (IoT), ils découvrent un nouveau terrain de jeu : des millions d’appareils connectés à Internet, souvent mal sécurisés et laissés avec leurs paramètres par défaut.

Les premières victimes sont notamment :

  • Les caméras IP
  • Les routeurs
  • Les enregistreurs vidéo (DVR)
  • Les box Internet
  • Les objets connectés utilisant Linux embarqué

Le botnet qui symbolise cette évolution est Mirai, découvert en 2016.

BotnetAnnéeParticularité
Mirai2016Premier botnet IoT de très grande ampleur, exploitant les mots de passe par défaut des objets connectés pour lancer des attaques DDoS massives.
Linux/Moose2015Botnet ciblant les routeurs Linux afin de détourner le trafic réseau et les réseaux sociaux.
Rakos2016Ver Linux ciblant principalement les serveurs et les objets connectés mal configurés.

Contrairement aux botnets Windows de la décennie précédente, Mirai ne reposait pas sur des failles complexes. Il exploitait principalement un problème très courant : les identifiants administrateur par défaut laissés inchangés sur les appareils connectés.

Une fois compromis, les équipements rejoignaient automatiquement le botnet et pouvaient recevoir des ordres pour lancer des attaques DDoS.

Mirai s’est illustré par plusieurs attaques historiques :

  • En septembre 2016, une attaque de plus de 620 Gbit/s contre le site du journaliste Brian Krebs.
  • Quelques jours plus tard, une attaque dépassant 1 Tbit/s contre l’hébergeur français OVH.
  • En octobre 2016, l’attaque contre le fournisseur DNS Dyn, qui a perturbé l’accès à de nombreux services majeurs comme Twitter, GitHub, Netflix, Reddit, Spotify et Airbnb.

Ces événements ont mis en évidence une réalité inquiétante : des appareils peu puissants, mais très nombreux, peuvent générer des attaques d’une ampleur considérable.

À partir de cette période, les opérateurs de botnets ne ciblent plus uniquement les ordinateurs. Les objets connectés (IoT) deviennent une cible privilégiée, car ils présentent plusieurs avantages :

  • Ils restent allumés en permanence.
  • Ils sont rarement mis à jour.
  • Ils utilisent encore des mots de passe par défaut.
  • Leurs propriétaires surveillent peu leur activité réseau.

Cette évolution ouvre la voie à une nouvelle génération de botnets spécialisés dans les objets connectés. Les années suivantes verront apparaître des variantes toujours plus sophistiquées, comme Mozi, puis plus récemment BADBOX 2.0 et Kimwolf, qui ne se limitent plus aux attaques DDoS mais exploitent également les appareils compromis comme proxys résidentiels ou plateformes de monétisation.

2017-2020 : les botnets deviennent des plateformes criminelles

À partir de 2017, les botnets changent une nouvelle fois de dimension. Ils ne sont plus seulement utilisés pour envoyer du spam ou lancer des attaques DDoS : ils deviennent de véritables plateformes de cybercriminalité, capables de fournir différents services selon les besoins des groupes criminels.

Les opérateurs cherchent désormais à rentabiliser au maximum chaque appareil compromis. Un même botnet peut être utilisé successivement pour diffuser un malware, installer un ransomware, voler des données ou encore relayer du trafic Internet.

Parmi les botnets les plus représentatifs de cette période figurent :

BotnetAnnéeParticularité
Emotet2017D’abord cheval de Troie bancaire, il devient une plateforme de distribution de malwares utilisée par de nombreux groupes criminels.
TrickBot2017Malware modulaire capable de télécharger d’autres charges utiles, notamment des ransomwares comme Ryuk ou Conti.
QakBot (Qbot)2018Cheval de Troie bancaire devenu une plateforme d’accès initial pour les opérateurs de ransomware.
NecursJusqu’en 2020L’un des plus grands spambots au monde, utilisé pour diffuser Locky, Dridex et d’autres malwares.

De nouvelles méthodes d’infections par mail

Les méthodes d’infection évoluent également durant cette période. Les cybercriminels délaissent progressivement les vers informatiques exploitant des failles réseau au profit de campagnes massives de phishing.

Les victimes reçoivent des e-mails imitant des factures, des bons de livraison, des devis ou des documents administratifs, contenant une pièce jointe ou un lien malveillant.

Les fichiers utilisés sont notamment :

  • Des documents Microsoft Word ou Excel contenant des macros malveillantes.
  • Des archives ZIP renfermant des scripts.
  • Des fichiers JavaScript (.js), VBScript (.vbs), Windows Script File (.wsf) ou JScript Encoded (.jse), exécutés par Windows Script Host (WSH).
  • Des raccourcis Windows (.lnk), devenus très populaires à partir de 2021.
  • Plus rarement, des fichiers ISO ou IMG, qui permettaient de contourner certaines protections de Windows.

Une fois exécuté, le premier malware installé (souvent appelé loader ou dropper) télécharge les différents composants du botnet, puis établit la communication avec les serveurs de commande (C2).

Cette évolution marque le passage d’attaques principalement techniques à des campagnes reposant largement sur l’ingénierie sociale, où le facteur humain devient la principale porte d’entrée des botnets modernes.

👉 À lire également :

Porte d’entrée aux réseaux d’entreprise

Contrairement aux générations précédentes, ces botnets ne cherchent plus uniquement à contrôler des ordinateurs. Ils servent également de porte d’entrée (Initial Access) vers les réseaux d’entreprises.

Une fois un poste compromis, ils peuvent :

  • Télécharger et installer d’autres malwares
  • Déployer un ransomware
  • Voler des identifiants
  • Se propager sur le réseau local
  • Ouvrir un accès distant pour d’autres groupes criminels

Cette évolution s’accompagne d’une professionnalisation du cybercrime. Les différents acteurs se spécialisent :

  • certains développent les malwares ;
  • d’autres diffusent les infections ;
  • d’autres encore exploitent les accès obtenus pour déployer un ransomware ou voler des données.

Les botnets deviennent ainsi de véritables plateformes de services, où un accès à un ordinateur compromis peut être revendu ou loué à d’autres groupes criminels. Ce modèle économique annonce l’émergence du Botnet-as-a-Service (BaaS) et du Malware-as-a-Service (MaaS), qui se développeront fortement au cours des années suivantes.

Cette période marque également une montée en puissance des malwares modulaires. Plutôt que d’effectuer une seule tâche, ils téléchargent dynamiquement les composants nécessaires en fonction des objectifs du botmaster, ce qui les rend beaucoup plus flexibles et difficiles à détecter.

À partir de 2020, une nouvelle évolution apparaît : les cybercriminels s’intéressent de plus en plus aux objets connectés, aux Android TV Box et aux proxys résidentiels, ouvrant la voie à des botnets comme BADBOX 2.0 ou Kimwolf, dont l’objectif principal n’est plus seulement l’attaque, mais également la monétisation de la connexion Internet des victimes.

Depuis 2020 : les botnets deviennent des plateformes de services

Depuis 2020, les botnets connaissent une nouvelle évolution. Leur objectif n’est plus uniquement de contrôler un grand nombre d’ordinateurs, mais de rentabiliser chaque appareil compromis en proposant différents services à d’autres groupes cybercriminels.

Cette nouvelle génération se caractérise par plusieurs tendances :

  • Les objets connectés (IoT) deviennent une cible prioritaire.
  • Les proxys résidentiels remplacent progressivement le spam comme source de revenus.
  • Les malwares modulaires permettent d’ajouter ou de supprimer des fonctionnalités à distance.
  • Les infrastructures sont de plus en plus distribuées et résilientes, rendant leur démantèlement plus complexe.

Les botnets les plus représentatifs de cette période sont les suivants.

BotnetAnnéeParticularité
Emotet2021 (retour)Reprend son activité après son démantèlement et continue de servir de plateforme de distribution de malwares.
Mozi2020Botnet IoT basé sur une architecture P2P, ciblant principalement les routeurs et les objets connectés.
Glupteba2020Utilise la blockchain Bitcoin pour retrouver ses serveurs de commande et renforcer sa résilience.
BADBOX 2.02025Botnet ciblant principalement les Android TV Box et autres appareils Android connectés afin d’alimenter un réseau de proxys résidentiels.
Kimwolf2025Botnet Android spécialisé dans les proxys résidentiels, le scan du réseau local et la compromission d’autres appareils Android.

L’une des principales évolutions concerne les appareils ciblés. Alors que les premiers botnets infectaient essentiellement des ordinateurs Windows, les cybercriminels visent désormais :

  • Les Android TV Box
  • Les box IPTV
  • Les téléviseurs connectés
  • Les routeurs
  • Les caméras IP
  • Les NAS
  • Les objets connectés (IoT)

Ces appareils présentent plusieurs avantages : ils restent généralement allumés en permanence, reçoivent peu de mises à jour de sécurité et leurs propriétaires surveillent rarement leur activité réseau.

Les objectifs des opérateurs ont également évolué. Les botnets modernes sont désormais utilisés pour :

  • Fournir des services de proxys résidentiels
  • Effectuer du web scraping à grande échelle
  • Contourner les systèmes anti-bot et les CAPTCHA
  • Réaliser de la fraude publicitaire (Ad Fraud)
  • Distribuer d’autres malwares ou des ransomwares
  • Louer leur infrastructure sous forme de Botnet-as-a-Service (BaaS)

Une autre évolution importante est l’apparition de SDK de proxy résidentiel intégrés directement dans certaines applications ou de firmwares compromis installés sur des appareils dès leur fabrication. Dans ces scénarios, aucun malware classique n’est nécessaire : l’appareil peut relayer du trafic Internet simplement parce qu’il embarque un composant prévu à cet effet.

Cette nouvelle génération montre que les botnets ne sont plus uniquement des réseaux de machines zombies. Ils sont devenus de véritables plateformes de services, capables de monétiser la bande passante, les adresses IP et les ressources de millions d’appareils connectés répartis dans le monde entier.

👉 À lire également :

Quelques autres botnets célèbres

BotnetPériodeTaille estimée (au plus fort)Particularité
Zeus2007-2014Plusieurs millions de PCTrojan Banker dont le code source a été publié en 2011, à l’origine de nombreuses variantes.
SpyEye2009-2013Plusieurs centaines de milliers de PCConcurrent direct de Zeus, spécialisé dans le vol d’identifiants bancaires.
TDSS (Alureon / TDL)2010-2013≈ 90 000 bots actifsRootkit très sophistiqué, proxy, téléchargement de malwares et architecture P2P.
Carberp2010-2012Plusieurs dizaines de milliers de PCTrojan Banker visant principalement les établissements bancaires.
Ponmocup2011-20171,2 à 2 millions de PCL’un des plus grands botnets de téléchargement (downloader), utilisé pour installer d’autres malwares.
Bamital2010-2013≈ 120 000 PCSpécialisé dans la fraude publicitaire (Ad Fraud) et la manipulation des résultats de recherche.
Koobface2008-201240 000 à 60 000 PCPropagation via Facebook, MySpace et d’autres réseaux sociaux.
Sality2003-2014Plusieurs centaines de milliers de PCVirus de fichiers devenu un botnet P2P capable de télécharger d’autres malwares.
Gbot (Cycbot)2009-2012Plusieurs dizaines de milliers de PCDownloader utilisé pour distribuer d’autres logiciels malveillants.
RamnitDepuis 2010Plus de 350 000 PC (certaines campagnes)Virus de fichiers devenu un Trojan bancaire et un botnet de vol de données.

Tous les botnets n’ont pas connu la même notoriété que Storm, Conficker, Mirai ou Emotet. De nombreux réseaux plus spécialisés ont marqué l’évolution de la cybercriminalité en se concentrant sur la fraude bancaire, le click fraud, les réseaux sociaux ou encore la distribution d’autres malwares. Certains, comme Zeus ou TDSS, ont profondément influencé les générations suivantes de malwares.

Les principaux démantèlements de botnets

Depuis le début des années 2010, de nombreuses opérations internationales ont permis de neutraliser certains des plus grands botnets de l’histoire. Elles sont généralement menées par les forces de l’ordre, des organismes comme Europol, Interpol, le FBI, ainsi que des entreprises telles que Microsoft, Google, Lumen, ESET, Symantec ou CrowdStrike.

Le tableau ci-dessous présente les opérations les plus marquantes.

AnnéeBotnetOpérationTaille estiméeRésultat
2010WaledacMicrosoft Sinkhole~90 000 botsSaisie des domaines et mise en place d’un sinkhole DNS.
2011RustockOperation b107~800 000 botsSaisie des serveurs C2, forte baisse mondiale du spam.
2012BamitalMicrosoft / Symantec~120 000 botsRedirection des bots vers des serveurs de désinfection.
2013CitadelOperation b54~1 400 sous-botnetsPlus de 4 000 domaines neutralisés.
2013ZeroAccessMicrosoft, Europol, FBI1,9 à 2,2 millions de botsInfrastructures fortement perturbées malgré l’architecture P2P.
2016AvalancheEuropolInfrastructure mondialePlus de 800 000 domaines et serveurs neutralisés.
2019RetadupGendarmerie nationale~850 000 machinesPrise de contrôle du C2 et désinstallation automatique du malware.
2021EmotetEuropol / EurojustPlusieurs centaines de milliers de machinesLes serveurs C2 sont saisis et un désinstalleur est diffusé.
2023QakBotOperation Duck Hunt~700 000 appareilsInfrastructure saisie et malware neutralisé.
2023MoziCollaboration internationalePlusieurs millions d’appareils IoTLes opérateurs diffusent une mise à jour mettant fin au botnet.

Ces opérations montrent que les botnets ne sont pas invulnérables, mais leur démantèlement nécessite souvent plusieurs mois, voire plusieurs années d’enquête. Les opérateurs utilisent des techniques de plus en plus sophistiquées (P2P, DGA, Fast Flux DNS, Tor, blockchain, etc.) afin de rendre leur infrastructure plus résiliente et de compliquer les opérations des autorités.

Conclusion

En un peu plus de vingt ans, les botnets ont profondément évolué. D’abord limités à quelques centaines ou milliers d’ordinateurs Windows contrôlés via des serveurs IRC, ils sont devenus de véritables plateformes criminelles capables de piloter des millions d’appareils connectés, de diffuser des malwares, de lancer des attaques DDoS, de voler des données ou encore de fournir des services de proxys résidentiels.

Cette évolution illustre parfaitement la professionnalisation de la cybercriminalité. Les opérateurs de botnets s’appuient désormais sur des architectures distribuées, des malwares modulaires et des modèles économiques comme le Botnet-as-a-Service (BaaS) afin de rendre leurs infrastructures plus rentables et plus difficiles à démanteler.

Si les grandes opérations internationales ont permis de neutraliser plusieurs botnets emblématiques comme Rustock, ZeroAccess, Emotet ou QakBot, de nouveaux réseaux apparaissent régulièrement en ciblant les objets connectés, les équipements Android ou d’autres appareils insuffisamment sécurisés.

Comprendre l’histoire des botnets permet également de mieux comprendre les menaces actuelles. Les techniques employées aujourd’hui — phishing, chevaux de Troie, loaders, ransomware ou compromission d’objets connectés — sont souvent directement héritées de cette évolution.

La meilleure protection reste d’adopter de bonnes pratiques de sécurité : maintenir Windows et ses logiciels à jour, utiliser un antivirus, se méfier des pièces jointes et des liens suspects, sécuriser les appareils connectés et remplacer les mots de passe par défaut des équipements réseau et IoT.

📖 Ressources utiles et articles liés

L’article Histoire des botnets : 20 ans d’évolution de la cybercriminalité est apparu en premier sur malekal.com.

Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés

Par : malekalmorte
9 juillet 2026 à 08:42

Les proxys résidentiels sont devenus un outil très recherché par les cybercriminels. Contrairement aux VPN, qui utilisent généralement des adresses IP appartenant à des centres de données, ils s’appuient sur les connexions Internet de particuliers, beaucoup plus difficiles à détecter et à bloquer par les sites web.

Le plus inquiétant est qu’il n’est plus forcément nécessaire qu’un ordinateur soit infecté par un malware. Une Android TV Box, une box IPTV, un téléviseur connecté, une caméra IP, un routeur, un NAS ou un autre objet connecté vulnérable peut être détourné afin de relayer le trafic Internet de tiers, parfois simplement à cause d’un firmware compromis, d’une application contenant un SDK spécifique ou d’une mauvaise configuration.

Dans ce guide, découvrez ce qu’est un proxy résidentiel, pourquoi les cybercriminels cherchent à exploiter votre connexion Internet, comment des appareils connectés peuvent être transformés en nœuds d’un réseau de proxys résidentiels et les bonnes pratiques pour protéger votre réseau domestique.

Qu’est-ce qu’un proxy résidentiel ?

Un proxy résidentiel est un serveur intermédiaire qui utilise l’adresse IP d’une connexion Internet résidentielle, c’est-à-dire celle d’un particulier, plutôt que celle d’un centre de données ou d’un fournisseur de services cloud.

👉A lire :

Lorsqu’une personne ou un logiciel utilise un proxy résidentiel, les sites web voient l’adresse IP du particulier et non celle du véritable utilisateur. Les requêtes semblent donc provenir d’un ordinateur ou d’un foyer « normal », ce qui les rend plus difficiles à détecter ou à bloquer.

Le fonctionnement peut être résumé ainsi :

Qu'est-ce qu'un proxy résidentiel : infographie complète

Une IP résidentielle vaut de l’or pour les cybercriminels

En pratique, une adresse IP résidentielle a beaucoup plus de valeur qu’une adresse IP provenant d’un VPN ou d’un centre de données.

En effet, la plupart des services VPN utilisent des adresses IP appartenant à des fournisseurs de cloud ou à des organisations. Ces plages d’adresses sont bien connues des sites web et peuvent être facilement identifiées, voire bloquées.

À l’inverse, une adresse IP résidentielle appartient à un particulier et est fournie par un fournisseur d’accès à Internet (Orange, Free, SFR, Bouygues Telecom, etc.). Pour un site web, cette connexion ressemble donc à celle d’un utilisateur classique naviguant depuis son domicile.

Cette différence permet plus facilement de :

  • Contourner les systèmes anti-bot
  • Éviter certains CAPTCHA
  • Créer de nombreux comptes sur des services en ligne
  • Effectuer du web scraping à grande échelle
  • Contourner les limitations de débit ou les blocages d’adresses IP
  • Masquer l’origine d’activités frauduleuses
  • Ad Fraud peut charger et cliquer sur des publicités en arrière-plan pour générer des revenus publicitaires

C’est pourquoi les réseaux de proxys résidentiels sont devenus très recherchés. Plus un service dispose de connexions Internet résidentielles réparties dans différents pays, plus il est capable de faire passer son trafic pour celui de véritables internautes.

Je pense même qu’un petit tableau serait excellent.

Adresse IP résidentielleAdresse IP de VPN / Datacenter
✅ Fournie par un FAI❌ Appartient à un hébergeur ou un fournisseur VPN
✅ Ressemble à un particulier❌ Facilement identifiable comme un VPN
✅ Plus difficile à bloquer❌ Souvent présente dans des listes de blocage
✅ Passe plus facilement les systèmes anti-bot❌ Déclenche plus souvent des CAPTCHA ou des restrictions
Pourquoi une IP résidentielle vaut de l'or pour les cybercriminels : l'infographie complète

Comment un appareil devient-il un proxy résidentiel ?

Contrairement à une idée reçue, il n’est pas toujours nécessaire qu’un ordinateur soit infecté par un malware pour devenir un proxy résidentiel. De nombreux appareils connectés peuvent être détournés de différentes manières afin de relayer le trafic Internet de tiers.

Les méthodes les plus courantes sont les suivantes.

Infection par un malware

Le scénario le plus classique consiste à infecter un ordinateur, un NAS ou un routeur avec un malware. Une fois installé, celui-ci contacte un serveur de commande et de contrôle (C2) et attend les instructions de l’attaquant.

Au lieu de lancer uniquement des attaques DDoS ou d’envoyer du spam, le malware peut également transformer l’appareil en proxy résidentiel. Les connexions de tiers transitent alors par votre accès Internet.

Firmware ou système compromis

Certains appareils sont vendus avec un firmware vulnérable, voire compromis dès leur fabrication ou leur distribution.

Si une porte dérobée (backdoor) est présente ou qu’une faille de sécurité permet une prise de contrôle à distance, l’appareil peut être intégré à un réseau de proxys résidentiels sans que son propriétaire ne s’en aperçoive.

Applications ou SDK préinstallés

Dans certains cas, le problème ne provient pas d’un malware mais d’une application installée par le fabricant ou d’un SDK intégré à une application.

Consultez le paragraphe plus bas de ce guide pour plus de détails.

Services exposés sur Internet

Certains appareils sont accessibles depuis Internet à cause d’une mauvaise configuration.

Par exemple :

  • ADB (Android Debug Bridge) laissé activé sur une Android TV Box.
  • Interface d’administration exposée sans protection.
  • Mots de passe par défaut jamais modifiés.
  • Failles de sécurité non corrigées.

Ces erreurs permettent à un attaquant de prendre le contrôle de l’appareil et d’y installer un logiciel de relais ou un malware.

Botnets spécialisés dans les objets connectés

Les cybercriminels ciblent de plus en plus les objets connectés (IoT), souvent moins bien protégés que les ordinateurs.

Les appareils les plus visés sont notamment :

  • Android TV Box
  • Box IPTV
  • Téléviseurs connectés
  • Caméras IP
  • Routeurs
  • NAS
  • Cadres photo connectés
  • Boîtiers domotiques

Une fois compromis, ces appareils peuvent être regroupés au sein d’un botnet et utilisés comme nœuds d’un vaste réseau de proxys résidentiels.

À retenir : dans de nombreux cas, le propriétaire de l’appareil ne remarque aucun symptôme visible. Son téléviseur, sa caméra ou son routeur continuent de fonctionner normalement, tandis qu’ils relaient discrètement le trafic Internet d’autres utilisateurs ou de cybercriminels. C’est cette discrétion qui rend les réseaux de proxys résidentiels particulièrement difficiles à détecter.

Quels sont les appareils les plus concernés

Tous les appareils connectés à Internet peuvent, en théorie, être détournés pour servir de proxy résidentiel. Toutefois, certains sont plus exposés que d’autres en raison de leur système d’exploitation, de mises à jour de sécurité insuffisantes ou de mauvaises configurations.

Le tableau ci-dessous présente les appareils les plus fréquemment ciblés.

AppareilNiveau de risquePourquoi ?
Android TV Box / Box IPTV🔴 Très élevéSouvent vendues avec un Android modifié, des applications préinstallées, des mises à jour rares et parfois ADB activé par défaut.
Routeurs et box Internet🔴 Très élevéExposés directement à Internet. Une mauvaise configuration ou une faille peut compromettre tout le trafic réseau.
Caméras IP🔴 Très élevéMots de passe par défaut, firmwares rarement mis à jour et nombreuses failles connues.
NAS🟠 ÉlevéSouvent accessibles depuis Internet et contenant des données sensibles. Ils sont régulièrement ciblés par les attaquants.
Téléviseurs connectés (Smart TV)🟠 ÉlevéCertaines applications ou SDK peuvent être utilisés pour relayer du trafic Internet à l’insu de l’utilisateur.
Objets connectés (IoT)🟡 ModéréLes prises connectées, assistants vocaux ou équipements domotiques peuvent être compromis si leur firmware n’est pas maintenu à jour.
Cadres photo connectés🟡 ModéréCertains modèles utilisent un firmware peu sécurisé et ne reçoivent pratiquement jamais de mises à jour.
Ordinateurs Windows, Linux ou macOS🟡 ModéréGénéralement compromis après l’installation d’un malware qui transforme l’appareil en nœud de proxy résidentiel.
Smartphones Android🟢 Faible à modéréQuelques applications malveillantes peuvent transformer le téléphone en proxy résidentiel, mais ce scénario reste moins fréquent.

À retenir : le niveau de risque ne dépend pas uniquement du type d’appareil, mais surtout de son niveau de sécurité. Un appareil régulièrement mis à jour, provenant d’un fabricant reconnu et correctement configuré présente généralement un risque bien plus faible qu’un appareil abandonné ou vendu avec un firmware modifié.

Les Android TV Box et les box IPTV représentent aujourd’hui l’un des risques les plus importants. Plusieurs campagnes récentes ont montré que certains appareils étaient vendus avec des applications ou des composants permettant de relayer du trafic Internet sans que leur propriétaire en soit conscient.

Les routeurs, caméras IP et autres objets connectés sont également très ciblés, car ils restent allumés en permanence et sont souvent mal sécurisés. Un mot de passe par défaut, un firmware obsolète ou un service d’administration exposé sur Internet peut suffire à compromettre l’appareil et à l’intégrer à un réseau de proxys résidentiels.

Exemples récents de réseaux de proxys résidentiels (botnet)

BADBOX 2.0

BADBOX 2.0 est l’un des exemples les plus marquants de l’évolution des botnets vers les réseaux de proxys résidentiels. Contrairement aux botnets classiques, qui infectaient principalement des ordinateurs, BADBOX 2.0 cible des objets connectés (IoT) utilisés au quotidien.

Les appareils concernés sont notamment :

  • Android TV Box
  • Boîtiers de streaming
  • Téléviseurs connectés
  • Vidéoprojecteurs
  • Cadres photo numériques
  • Systèmes multimédias pour véhicules
  • Autres appareils connectés fonctionnant sous Android

Le FBI indique que ces appareils peuvent être compromis de deux façons :

  • Le logiciel malveillant est déjà présent avant l’achat, directement dans le firmware ou le système de l’appareil.
  • L’infection intervient lors de la configuration initiale, lorsqu’une application contenant une porte dérobée (backdoor) est téléchargée depuis une boutique d’applications non officielle.

Une fois connecté à Internet, l’appareil rejoint automatiquement le botnet BADBOX 2.0 et peut être utilisé comme proxy résidentiel. Les cybercriminels peuvent alors relayer leur trafic via votre connexion Internet afin de masquer leur véritable adresse IP.

Selon le FBI, ce réseau est composé de millions d’appareils compromis et est utilisé pour différentes activités malveillantes, notamment :

  • La revente d’accès à des proxys résidentiels
  • La fraude publicitaire (Ad Fraud)
  • Le contournement des systèmes anti-bot
  • Le web scraping
  • La création automatisée de comptes
  • D’autres activités cybercriminelles

Le FBI recommande notamment :

  • D’éviter les Android TV Box et appareils IoT provenant de marques inconnues ou non certifiées
  • De ne pas installer d’applications depuis des boutiques non officielles
  • De maintenir le firmware et les applications à jour
  • De surveiller le trafic réseau des appareils connectés

BADBOX 2.0 illustre une évolution importante des menaces actuelles : il n’est plus nécessaire qu’un ordinateur soit infecté par un malware pour qu’un cybercriminel exploite votre connexion Internet. Un simple appareil connecté vulnérable ou compromis peut suffire à transformer votre réseau domestique en nœud d’un vaste réseau de proxys résidentiels.

Plus de détails : https://www.bleepingcomputer.com/news/security/fbi-badbox-20-android-malware-infects-millions-of-consumer-devices/

BADBOX 2.0 : botnet android de proxy résidentiels

La chaîne YouTube Underscore_ en parle. Il y explique notamment que ce réseau peut aussi viser des chefs d’Entreprises qui peuvent rammener du travail à la maison.
Le but pouvant être de voler des données d’entreprises.

Kimwolf

Kimwolf est un botnet Android apparu en 2025, considéré comme l’une des principales évolutions des botnets modernes. Contrairement aux réseaux de machines zombies traditionnels, il cible principalement les Android TV Box, les boîtiers de streaming et d’autres appareils Android connectés au réseau domestique.

Les chercheurs estiment que plus de deux millions d’appareils Android ont été compromis. Kimwolf est étroitement lié au botnet Aisuru, dont il constitue la variante spécialisée pour Android.

Les appareils infectés sont utilisés pour plusieurs activités malveillantes :

  • Lancer des attaques DDoS
  • Relayer du trafic via des proxys résidentiels
  • Masquer l’origine d’autres attaques
  • Monétiser la bande passante des victimes
  • Télécharger ou installer d’autres composants malveillants

L’une des particularités de Kimwolf est sa capacité à scanner le réseau local à la recherche d’autres appareils vulnérables. Les chercheurs ont notamment observé qu’il ciblait les Android TV Box et autres équipements Android dont le service Android Debug Bridge (ADB) était exposé sans authentification. Une fois un appareil compromis, celui-ci peut à son tour servir de point d’entrée vers d’autres équipements présents sur le réseau domestique.

Kimwolf illustre également une évolution importante de la cybercriminalité : les appareils compromis ne servent plus uniquement à lancer des attaques DDoS. Les opérateurs du botnet revendent également l’accès aux adresses IP des victimes sous forme de proxys résidentiels, permettant à d’autres cybercriminels de faire transiter leur trafic via des connexions Internet de particuliers. Ces services sont utilisés pour le web scraping, la fraude, le contournement des systèmes anti-bot ou encore la création automatisée de comptes.

Ce botnet rappelle enfin l’importance de désactiver ADB lorsqu’il n’est pas nécessaire, de maintenir les appareils Android à jour et d’éviter les Android TV Box ou boîtiers de streaming provenant de fabricants inconnus ou ne fournissant pas de mises à jour de sécurité régulières.

Kimwolf : réseau d'appareils android infectés et botnet

Les SDK de proxy résidentiel intégrés aux applications

Lorsqu’on parle de réseaux de proxys résidentiels, on imagine souvent un appareil infecté par un malware. Pourtant, ce n’est plus toujours le cas.

Certains développeurs intègrent volontairement un SDK (Software Development Kit) fourni par un service de proxy résidentiel directement dans leur application. En échange d’une rémunération, l’application peut utiliser une partie de la connexion Internet de l’utilisateur pour relayer le trafic d’autres clients du service.

Dans ce scénario :

  • l’appareil n’est pas infecté par un malware ;
  • l’application fonctionne normalement et remplit la fonction attendue ;
  • aucun comportement anormal n’est visible pour l’utilisateur ;
  • seul une partie de la connexion Internet est utilisée en arrière-plan.

Un malware prend le contrôle de votre appareil sans votre accord. Un SDK de proxy résidentiel peut, lui, utiliser votre connexion avec votre consentement… mais ce consentement est parfois peu clair ou insuffisamment explicite.
Le problème est que l’utilisateur n’est pas toujours pleinement informé de cette utilisation. Les conditions d’utilisation peuvent mentionner ce partage de connexion, mais de manière peu visible ou difficile à comprendre.

C’est ce qui rend ces solutions particulièrement controversées : contrairement à un botnet classique, il ne s’agit pas forcément d’une compromission du système, mais d’un mécanisme intégré à une application légitime, qui transforme néanmoins votre appareil en nœud d’un réseau de proxys résidentiels.

Comment cela fonctionne ?

Le principe est relativement simple : le développeur d’une application intègre un SDK (Software Development Kit) fourni par un service de proxy résidentiel. Une fois l’application installée, ce composant permet de relayer une partie du trafic Internet via la connexion de l’utilisateur.

Le fonctionnement peut être résumé ainsi :

Infographie complète sur les SDK de proxy résidentiel intégrés aux applications

Pour l’utilisateur, l’application peut fonctionner normalement. Le téléviseur, la box Android ou l’appareil connecté continue d’afficher le contenu attendu, mais en arrière-plan, une partie de la connexion peut être utilisée pour faire transiter du trafic Internet.

Ce modèle pose plusieurs problèmes :

ProblèmeExplication
Consentement flouL’utilisateur ne comprend pas toujours que sa connexion peut être utilisée par des tiers.
Consommation de bande passanteLe trafic relayé peut ralentir la connexion ou augmenter la consommation de données.
Risque de réputation IPDes activités douteuses peuvent sembler provenir de l’adresse IP de l’utilisateur.
Difficulté de détectionL’appareil peut continuer à fonctionner normalement, sans symptôme évident.

En 2026, des chercheurs ont par exemple signalé que des applications destinées aux Smart TV Samsung et LG pouvaient intégrer un SDK de proxy résidentiel, permettant d’utiliser la connexion Internet des téléviseurs comme nœud de relais. L’information doit être présentée avec prudence, mais elle illustre bien l’évolution du modèle : un appareil peut devenir un proxy résidentiel sans infection visible, simplement via une application installée.

Ce type de fonctionnement montre que les botnets modernes ne reposent plus seulement sur des malwares. Ils peuvent aussi s’appuyer sur des applications, des SDK, des firmwares ou des appareils connectés dont l’utilisateur ne soupçonne pas l’activité réelle en arrière-plan.

Comment savoir si son appareil est utilisé comme proxy résidentiel ?

L’un des principaux problèmes des réseaux de proxys résidentiels est leur discrétion. Dans la plupart des cas, l’appareil continue de fonctionner normalement et son propriétaire ne remarque aucun comportement inhabituel.

Il existe toutefois plusieurs signes qui peuvent alerter.

Les symptômes courants

SymptômeSignification
Bande passante élevéeTrafic relayé
Beaucoup de connexionsProxy
ChauffeCPU
Scans réseauBot

Une activité réseau inhabituelle

Un appareil utilisé comme proxy résidentiel échange en permanence des données avec Internet.

Vous pouvez notamment observer :

  • Une consommation de bande passante anormalement élevée, même lorsque l’appareil est inutilisé.
  • De nombreuses connexions vers des adresses IP inconnues.
  • Un trafic réseau important pendant la nuit ou lorsque personne n’utilise l’appareil.

Ces informations peuvent être consultées depuis l’interface d’administration de votre routeur ou à l’aide d’un analyseur de trafic réseau.

Des connexions provenant du réseau local

Certains botnets ne se contentent pas de communiquer avec Internet. Ils tentent également de scanner le réseau local afin de rechercher d’autres appareils vulnérables.

Cela peut se traduire par :

  • Des tentatives de connexion vers d’autres appareils de votre réseau
  • Des scans des ports TCP ou UDP
  • Des recherches d’appareils Android avec ADB activé
  • Des tentatives d’accès à des interfaces d’administration

Ce comportement est notamment observé sur certains botnets ciblant les Android TV Box et les objets connectés.

Une activité inhabituelle du processeur ou du réseau

Si un appareil relaie le trafic d’autres utilisateurs, vous pouvez constater :

  • Une utilisation anormalement élevée du processeur
  • Une activité réseau permanente
  • Une augmentation de la consommation électrique
  • Un échauffement inhabituel de l’appareil

Ces symptômes ne sont pas spécifiques aux proxys résidentiels, mais ils peuvent constituer un indice lorsqu’ils apparaissent sans raison apparente.

Des services d’administration exposés

Les appareils les plus vulnérables sont souvent ceux dont les services d’administration restent accessibles.

Vérifiez notamment :

  • Qu’ADB est désactivé sur les Android TV Box
  • Que les mots de passe par défaut ont été remplacés
  • Que le firmware est à jour
  • Que l’interface d’administration n’est pas accessible depuis Internet

Surveiller les connexions réseau

Si vous pensez qu’un appareil est utilisé comme proxy résidentiel, il peut être utile d’analyser son activité réseau.

Vous pouvez notamment :

  • Consulter les journaux de votre routeur ou de votre pare-feu
  • Utiliser un analyseur de trafic comme Wireshark
  • Identifier les appareils qui génèrent le plus de trafic
  • Vérifier les connexions établies vers des serveurs inconnus

À retenir : un appareil utilisé comme proxy résidentiel ne présente pas forcément de symptômes visibles. Dans de nombreux cas, la seule conséquence est une utilisation inhabituelle de votre connexion Internet, tandis que l’appareil continue de fonctionner normalement. C’est ce qui rend ces réseaux particulièrement difficiles à détecter sans surveiller le trafic réseau.

Comment s’en protéger ?

Il est possible de réduire considérablement le risque qu’un appareil soit utilisé comme proxy résidentiel en appliquant quelques bonnes pratiques de sécurité. La plupart des compromissions exploitent des appareils mal sécurisés, des logiciels obsolètes ou des fonctionnalités d’administration laissées actives.

Pour protéger vos appareils connectés :

  • Achetez des appareils provenant de fabricants reconnus, qui publient régulièrement des mises à jour de sécurité.
  • Installez les mises à jour du firmware dès qu’elles sont disponibles.
  • Téléchargez uniquement des applications depuis les boutiques officielles (Google Play, Samsung Store, LG Content Store, etc.).
  • Évitez les Android TV Box et les box IPTV d’origine inconnue, qui sont souvent vendues avec des logiciels modifiés ou des applications préinstallées.
  • Désactivez ADB (Android Debug Bridge) lorsque vous ne l’utilisez pas.
  • Remplacez les mots de passe par défaut des routeurs, caméras IP, NAS et autres objets connectés.
  • N’exposez pas les interfaces d’administration directement sur Internet.
  • Surveillez régulièrement le trafic réseau de vos appareils afin de détecter une activité inhabituelle.
  • Isolez les objets connectés sur un réseau Wi-Fi invité ou un VLAN, lorsque votre routeur le permet.

Il est également recommandé de redémarrer régulièrement vos appareils et de supprimer les applications que vous n’utilisez plus, en particulier sur les téléviseurs connectés et les Android TV Box.

À retenir : les appareils les plus exposés sont souvent ceux qui ne reçoivent plus de mises à jour de sécurité ou qui proviennent de fabricants peu connus. Avant d’acheter un objet connecté, vérifiez que le constructeur assure un suivi logiciel et publie régulièrement des correctifs de sécurité.

Conclusion

Les proxys résidentiels illustrent une évolution majeure de la cybercriminalité. Alors que les anciens botnets ciblaient principalement les ordinateurs Windows pour lancer des attaques DDoS ou envoyer du spam, les cybercriminels s’intéressent désormais à la connexion Internet des particuliers, dont les adresses IP sont beaucoup plus difficiles à détecter et à bloquer.

Aujourd’hui, les appareils les plus exposés sont les objets connectés (IoT), et plus particulièrement ceux fonctionnant sous Android, comme les Android TV Box, les box IPTV, les téléviseurs connectés, mais aussi les caméras IP, les routeurs ou d’autres équipements connectés. Certains sont compromis par un malware, tandis que d’autres peuvent embarquer un firmware vulnérable ou une application contenant un SDK de proxy résidentiel.

Cette évolution montre qu’il n’est plus nécessaire d’infecter un ordinateur pour exploiter la connexion Internet d’une victime. Un simple appareil connecté mal sécurisé peut suffire à intégrer un réseau mondial de proxys résidentiels et à relayer le trafic de tiers à l’insu de son propriétaire.

Pour limiter les risques, privilégiez des appareils de fabricants reconnus, maintenez leur firmware à jour, installez uniquement des applications provenant de sources officielles et surveillez régulièrement l’activité de votre réseau. Les objets connectés doivent aujourd’hui être considérés comme de véritables ordinateurs : ils nécessitent les mêmes précautions de sécurité que votre PC ou votre smartphone.

📖 Ressources utiles et articles liés

L’article Proxy résidentiel : comment les cybercriminels détournent vos appareils connectés est apparu en premier sur malekal.com.

Nouveaux prix Apple, lunettes Meta Glasses et avenir d’Apple Pay en France : le récap tech de la semaine

5 juillet 2026 à 05:30

À la une de la rubrique tech de Numerama cette semaine : Apple augmente ses prix en réaction à la pénurie de composants et dénonce les pratiques des fabricants de RAM. Meta lance des lunettes Meta Glasses sans la marque Ray-Ban, pour attaquer de nouveaux marchés, et le Crédit Agricole s'offre un bad buzz en lançant une application concurrente d'Apple Pay.

Dernier moment pour acheter le MacBook Air M5 à bon prix avant la hausse

4 juillet 2026 à 09:35

[Deal du jour] Le MacBook Air M5, dernier ultraportable d'Apple, est déjà en promotion sur Rakuten. Il passe à 1 109 € au lieu des nouveaux 1 399 € réclamé par la marque, soit une remise de 290 € sur le modèle le plus récent de la gamme.

Plus de place sur votre smartphone ? Cette offre de stockage à vie tombe à pic [Sponso]

Par : humanoid xp
9 juillet 2026 à 15:14

Cet article a été réalisé en collaboration avec pCloud

Parmi les fournisseurs d’espace de stockage en ligne, pCloud est l'un des plus avantageux. Sécurisé et pérenne, il vous permet de stocker « à vie » vos fichiers importants. Jusqu’au 15 juillet, pour célébrer la fête nationale, pCloud propose de très belles réductions sur ses différentes offres. 

Cet article a été réalisé en collaboration avec pCloud

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

Une tour à 15 274 €, deux GPU AMD et aucun abonnement cloud : on a testé l’IA locale à son maximum [Sponso]

Par : humanoid xp
1 juillet 2026 à 09:01

Cet article a été réalisé en collaboration avec AMD

Une tour à 15 274 € posée sous un bureau, deux cartes graphiques AMD, et l'intégralité d'une chaîne de production logicielle qui tourne sans jamais toucher au cloud. On a voulu savoir ce que permet vraiment une machine d'IA en local.

Cet article a été réalisé en collaboration avec AMD

Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.

En savoir plus

SB-mini-II - Il reconstruit un Apple II Plus de zéro

Par : Korben ✨
29 juin 2026 à 19:21

L'Apple II, ce vieux bouzin de 1977, n'a jamais eu le moindre secret pour personne. C'est d'autant plus vrai qu'Apple livrait carrément les schémas électronique de sa machine dans le manuel d'origine et à l'époque, des bouquins entier décortiquant chaque circuit étaient vendus dans le commerce.

C'était fou et ça a bien changé depuis ! Mais surtout c'est grâce à ça que Simon Boak s'est dit qu'il pouvait en refaire un de zéro !

Son projet s'appelle le SB-mini-II , et c'est un clone maison de l'Apple II Plus assemblé avec des puces qu'on trouve encore aujourd'hui. Le 65C02 (la version CMOS du fameux 6502) tourne à 1,024 MHz, à un cheveu de l'original qui carburait à 1,023 MHz et au lieu de la DRAM capricieuse d'époque, il lui a collé de la SRAM statique (48 Ko sur une puce et demie de 32 Ko, le surplus part à la poubelle, tant pis).

Et pour atteindre les 64 Ko complets, il enfiche à l'intérieur une carte Saturn 128K dans le slot 0, comme ça c'est réglé.

Mais le plus gros morceau, ça a été la vidéo. Boak a viré toute la "circuiterie" composite de l'Apple II, un vrai sac de nœuds bien connu des anciens, pour la remplacer par une carte Apple II VGA (un projet open source de markadev).

Celui lui a permis d'obtenir une image VGA bien nette sur un écran moderne. Autrement, sans cette carte, y'aurait rien eu à l'écran, malheureusmeent.

Et le clavier suit le même mouvement grâce à un Raspberry Pi Pico qui lui sert d'interface entre un clavier USB et la machine, en générant les mêmes signaux parallèles que le clavier ASCII d'origine. Bonus, Control + Print Screen redémarre le CPU comme aux temps jadis ! Et comme le Pico crache du 3,3V, il cause directement avec la logique 74HC en CMOS, sans le moindre convertisseur de niveau.

Côté fabrication, c'est son premier PCB en 4 couches, avec des plans internes dédiés à l'alimentation. Une entrée 12V passe par un régulateur Pololu pour sortir du 5V, et le tout rentre dans un boîtier imprimé en 3D, vaguement inspiré du vieux disque dur ProFile d'Apple. Les fichiers (schémas, nomenclature, CAO) sont sur GitHub sous licence MIT, si jamais vous voulez vous lancer.

Et ça tourne pour de vrai !! Boak a même posté une capture d'un vrai logiciel Apple II qui démarre dessus.

Je suis nul en soudure, mais si je savais souder, ça me donnerait envie de m'y coller, je pense. D'ailleurs, si le rétro vous chatouille, allez voir aussi ce malade qui fait tourner MS-DOS sur un Apple IIe , ou ce Pico qui émule un Z80 .

Bref, le SB-mini-II, c'est par ici, et c'est entièrement libre.

Source

Récemment augmenté, le MacBook Neo d’Apple tombe en promotion pour les soldes

29 juin 2026 à 16:11

[Deal du jour] Apple a surpris tout le monde avec son MacBook Neo, une machine colorée d'entrée de gamme, avant d'augmenter son prix il y a quelques jours. De temps à autre en promotion, l'ordinateur portable d'Apple est aujourd'hui proposé chez Joybuy pour seulement 638 €, un prix à nouveau attractif.

M6, M7 Pro, M5 Ultra… Accrochez-vous, les prochaines puces d’Apple pourraient sortir dans le désordre

29 juin 2026 à 09:25

Apple préparerait actuellement plusieurs évolutions majeures de ses Mac, dont le fameux MacBook Pro à écran OLED tactile évoqué depuis des mois. Selon Bloomberg, la marque s'appuierait sur une puce M6 unique, sans déclinaison Pro ni Max (les M5 resteraient), avant de passer directement à une génération M7 déclinée en plusieurs versions dès 2027. Une puce M5 Ultra avec une option 768 Go de RAM est aussi dans les tuyaux.

Agacé par un minuscule lag du curseur sur son nouveau MacBook Neo, il trouve un correctif improbable et en fait une application

24 juin 2026 à 16:45

Depuis le lancement du MacBook Neo, de nombreux utilisateurs signalent un bug étrange : le curseur ralentit ou saute près des bords de l’écran, ou à l’ouverture du Terminal. Le problème est mineur au quotidien, mais il alimente les discussions en ligne. Tandis que certains cherchent encore à comprendre la cause du problème, un développeur a trouvé une solution de contournement et en a fait une application.

« Vous m’avez humilié » : furieux contre Microsoft, il dévoile des failles de sécurité aux yeux de tous, avec un timing cruel

11 juin 2026 à 17:16

Quelques heures après que Microsoft a diffusé sa plus grande mise à jour Patch Tuesday, un chercheur en conflit ouvert avec Redmond a publié un nouvel exploit ciblant Microsoft Defender. La faille, baptisée RoguePlanet, permet à un attaquant de prendre le contrôle total d'une machine Windows entièrement à jour.

Toujours plus, SanDisk présente des cartes SD de 4 et 8 To de stockage

Les fabricants ont présenté leurs nouvelles cartes mémoire haute capacité lors du salon taïwanais, avec des disponibilités annoncées pour un avenir proche.

L’article Toujours plus, SanDisk présente des cartes SD de 4 et 8 To de stockage est apparu en premier sur Tom’s Hardware.

full

thumbnail

« Au début, on nous prenait pour des fous » : entretien avec William Méauzoone, co-fondateur du cloud français Leviia

7 juin 2026 à 15:31

Alors que le contexte géopolitique place la souveraineté numérique au cœur des débats et que la doctrine française en matière d'achats numériques priorise désormais clairement les acteurs français et européens, Numerama est allé à la rencontre des dirigeants qui composent l'écosystème tech souverain français pour retracer leurs aventures et analyser les défis actuels.

Windows 11, Microsoft estime que Defender suffit mais les antivirus tiers ont des arguments

3 juin 2026 à 06:47

Microsoft DefenderDefender est une protection suffisante de Windows 11, à condition de conserver les réglages par défaut et les mises à jour actives

Cet article Windows 11, Microsoft estime que Defender suffit mais les antivirus tiers ont des arguments a été publié en premier par GinjFo.

Microsoft veut son ordinateur quantique déployé à grande échelle en 2029 : voici Majorana 2

2 juin 2026 à 20:15

Présentée à l'occasion de Microsoft Build, la puce quantique Majorana 2 marque une nouvelle étape dans la feuille de route quantique de Microsoft. Au point que l'entreprise estime désormais pouvoir atteindre un ordinateur quantique à grande échelle dès 2029.

Malekal Windows Hardener (MWH) : outil gratuit de hardening Windows 11/10

Par : malekalmorte
29 mai 2026 à 05:34

Malekal Windows Hardener (MWH) est un outil gratuit de hardening Windows permettant de renforcer la sécurité de Windows 11/10 en activant plusieurs protections avancées de Microsoft Defender et en réduisant la surface d’attaque du système.

L’outil facilite le durcissement de Windows grâce à des profils automatiques, des fonctions d’audit de sécurité et de nombreuses protections contre les scripts malveillants, LOLBins, ransomwares et attaques PowerShell.

MWH permet notamment de :

  • Renforcer Microsoft Defender
  • Activer les règles ASR (Attack Surface Reduction)
  • Bloquer certains LOLBins utilisés par les malwares
  • Désactiver plusieurs fonctionnalités anciennes et risquées comme SMBv1 ou PowerShell v2
  • Renforcer le pare-feu Windows
  • Réduire la surface d’attaque de Windows

L’objectif est d’améliorer la sécurité du système tout en conservant une configuration réversible et adaptée aussi bien aux utilisateurs classiques qu’aux utilisateurs avancés.

Hardening Windows : renforcer la sécurité de Windows 11/10

Le hardening Windows, aussi appelé durcissement de Windows, consiste à renforcer la sécurité du système afin de réduire les risques d’infection, d’exploitation de vulnérabilités ou de compromission du PC.

L’objectif est de limiter la surface d’attaque de Windows 11/10 en désactivant certaines fonctions sensibles, en renforçant Microsoft Defender et en bloquant des comportements fréquemment utilisés par les malwares et ransomwares.

Le hardening permet notamment de mieux se protéger contre :

  • Les ransomwares
  • Les scripts malveillants
  • Les macros Office malveillantes
  • Les attaques PowerShell
  • Les LOLBins (Living-Off-The-Land Binaries)
  • Les téléchargements malveillants
  • Certaines attaques réseau

Les LOLBins correspondent à des outils Windows légitimes détournés par les attaquants pour exécuter des commandes malveillantes sans installer de logiciel externe.

Par exemple :

Le hardening Windows ne remplace pas un antivirus, mais vient compléter les protections de sécurité déjà présentes dans Windows comme :

  • Microsoft Defender
  • SmartScreen
  • BitLocker
  • HVCI
  • Secure Boot
  • Les règles ASR (Attack Surface Reduction)

Le but n’est pas de rendre Windows “invulnérable”, mais de compliquer fortement l’exécution des techniques utilisées par les malwares modernes.

Malekal Windows Hardener (MWH) : outil gratuit de hardening Windows 11/10

Télécharger et lancer Malekal Windows Hardener (MWH)

Téléchargez l’archive de Malekal Windows Hardener (MWH) puis décompressez le contenu dans un dossier de votre choix.

L’outil ne nécessite pas d’installation et fonctionne directement depuis les scripts PowerShell fournis dans l’archive.

Pour lancer MWH :

  • Ouvrez le dossier du programme
  • Faites un clic droit sur Start-MWH.cmd
  • Cliquez sur Exécuter en tant qu’administrateur

Des droits administrateur sont nécessaires afin de pouvoir modifier les paramètres de sécurité Windows et appliquer les protections de hardening.

Executer MWH  en administrateur

Lors du premier lancement, Windows SmartScreen peut éventuellement afficher un avertissement de sécurité. Dans ce cas :

  • Cliquez sur Informations complémentaires
  • Puis sur Exécuter quand même

Une fois lancé, MWH affiche le menu principal permettant d’accéder aux profils automatiques, audits de sécurité et protections avancées Windows.

Enfin au premier démarrage, vous devez lire et accepter le Dislaimer en appuyant sur la touche Y et en validant par Entrée.

Dislaimer de MWH

Présentation de l’interface de MWH

L’interface de Malekal Windows Hardener (MWH) a été conçue pour simplifier le durcissement de Windows 11/10 tout en conservant une vue claire de l’état de sécurité du système.

Le menu principal regroupe les différentes catégories de protections et fonctionnalités de sécurité Windows dans une interface en ligne de commandes structurée.

Chaque protection affiche un état :

  • ON : protection active
  • OFF : protection désactivée
  • PARTIAL : protection partiellement configurée

Cela permet d’identifier rapidement les protections manquantes ou les éléments nécessitant une attention particulière.

Présentation de l’interface de MWH

MWH propose également plusieurs profils automatiques afin d’appliquer rapidement un ensemble de protections adaptées au niveau de sécurité souhaité :

  • Recommended : profil recommandé pour la majorité des utilisateurs
  • Strict : profil plus agressif destiné aux utilisateurs avancés

Le menu principal permet notamment d’accéder :

MenuFonction
Audit de sécuritéVérifie les protections importantes de Windows et le niveau de sécurité du système
Microsoft DefenderActive et configure plusieurs protections Defender et ASR
Pare-feu WindowsRenforce le pare-feu et bloque certains LOLBins utilisés par les malwares
Hardening WindowsDésactive plusieurs fonctions risquées ou anciennes de Windows
LOLBinsBloque certains outils Windows souvent détournés par les malwares
SmartScreenRenforce les protections contre les téléchargements et applications malveillantes
RéseauApplique certaines protections réseau Windows
Profils automatiquesApplique rapidement un ensemble de protections Recommended ou Strict
Sauvegarde et restaurationPermet de restaurer les paramètres de sécurité précédents
Logs et rapportsAffiche les journaux et informations de configuration du système

L’outil affiche également un score de sécurité global afin d’évaluer rapidement le niveau de protection actuel du système.

Avant de modifier la configuration de Windows, je vous conseille de créer un point de restauration système.
Pour cela, suivez ce guide : Windows 11/10 : créer un point de restauration système (auto/manuel)

Auditer la sécurité de Windows 11/10

Malekal Windows Hardener (MWH) intègre une fonction d’audit permettant d’évaluer rapidement le niveau de sécurité actuel de Windows 11/10.

L’outil vérifie automatiquement plusieurs protections et fonctionnalités de sécurité importantes afin d’identifier les paramètres désactivés ou insuffisamment configurés.

L’audit permet notamment de contrôler :

  • Microsoft Defender
  • SmartScreen
  • Secure Boot
  • TPM
  • BitLocker
  • HVCI / Isolation du noyau
  • Les protections PowerShell
  • Les règles ASR
  • Le pare-feu Windows
  • Les paramètres de hardening système

Chaque élément affiche un état :

  • ON : protection active
  • OFF : protection désactivée
  • PARTIAL : configuration incomplète ou partiellement sécurisée

Le score de sécurité affiché par MWH permet d’obtenir une vue globale du niveau de protection actuel du système.

Cet audit est particulièrement utile pour :

  • Identifier les protections désactivées
  • Vérifier rapidement la sécurité du PC
  • Contrôler la configuration après une installation Windows
  • Auditer un poste avant hardening
  • Détecter certaines mauvaises configurations de sécurité

Le score reste toutefois indicatif et ne garantit pas qu’un système soit totalement protégé contre toutes les menaces.

Renforcer Microsoft Defender

Malekal Windows Hardener (MWH) permet de renforcer Microsoft Defender en activant plusieurs protections de sécurité recommandées afin d’améliorer la protection de Windows 11/10 contre les malwares et ransomwares.

L’outil facilite l’activation des principales fonctionnalités de sécurité souvent désactivées par défaut ou peu connues des utilisateurs.

MWH peut notamment renforcer :

ProtectionRôle
PUA ProtectionBloque les logiciels potentiellement indésirables
Cloud ProtectionAnalyse les menaces via les services cloud Microsoft
Controlled Folder Access (CFA)Protège les dossiers contre les ransomwares
Network ProtectionBloque certaines connexions et sites malveillants
SmartScreenFiltre les téléchargements et applications suspectes
Tamper ProtectionEmpêche la désactivation non autorisée de Defender

MWH permet également d’activer plusieurs règles ASR (Attack Surface Reduction) afin de limiter les techniques utilisées par les malwares modernes.

Ces règles permettent notamment de :

  • Bloquer certains scripts malveillants
  • Limiter les attaques PowerShell
  • Réduire les abus de LOLBins
  • Bloquer certaines macros Office dangereuses
  • Empêcher certaines exécutions suspectes

Le renforcement de Microsoft Defender permet ainsi d’améliorer significativement la sécurité Windows sans installer de solution antivirus supplémentaire.

Renforcer Microsoft Defender avec MWH

Renforcer le pare-feu Windows contre les malwares

Malekal Windows Hardener (MWH) permet également de renforcer le pare-feu Windows afin de limiter certaines techniques fréquemment utilisées par les malwares et ransomwares.

L’outil peut notamment bloquer plusieurs LOLBins (Living-Off-The-Land Binaries) souvent exploités par les attaquants pour télécharger ou exécuter du code malveillant à l’aide d’outils Windows légitimes.

MWH peut par exemple appliquer des restrictions sur :

  • powershell.exe
  • mshta.exe
  • rundll32.exe
  • wscript.exe
  • certutil.exe

Ces protections permettent de limiter :

  • Le téléchargement de malwares
  • L’exécution de scripts malveillants
  • Les attaques PowerShell
  • Les macros Office malveillantes
  • Certaines techniques de post-exploitation

👉Ces règles correspondent essentiellement à celle du tutoriel du site :

Le renforcement du pare-feu Windows permet ainsi de réduire fortement certaines attaques utilisant les outils intégrés de Windows pour contourner les protections de sécurité classiques.

Renforcer le pare-feu Windows contre les malwares avec MWH

Durcir Windows et réduire la surface d’attaque

Malekal Windows Hardener (MWH) permet de renforcer la sécurité de Windows 11/10 en désactivant plusieurs fonctionnalités anciennes ou fréquemment utilisées par les malwares pour compromettre le système.

L’objectif est de réduire la surface d’attaque de Windows et limiter l’exécution de scripts ou composants potentiellement dangereux.

MWH peut bloquer ou neutraliser plusieurs types de fichiers sensibles :

FonctionDescriptionPourquoi cela renforce la sécurité
Windows Script Host (WSH)Moteur d’exécution des scripts VBS et JSLimite l’exécution de scripts malveillants
PowerShell v2Ancienne version de PowerShell obsolèteRéduit certaines techniques d’attaque et contournements
SMBv1Ancien protocole de partage réseau WindowsÉvite certaines attaques réseau et ransomwares
AutoRunLancement automatique des médias amoviblesEmpêche l’exécution automatique de malwares USB
Extensions sensiblesNeutralisation de certains types de fichiers dangereuxRéduit les risques d’exécution accidentelle
LOLBins WindowsBlocage de certains outils Windows détournésLimite les attaques Living-Off-The-Land
Comment les malwares utilisent les scripts pour infecter votre PC

👉Les tutoriels du site en lien :

Ces protections permettent de limiter plusieurs techniques utilisées par les ransomwares, scripts malveillants et attaques Living-Off-The-Land.

Durcir Windows et réduire la surface d’attaque avec MWH

Bloquer les extensions de fichiers dangereuses

Certaines extensions de fichiers sont régulièrement utilisées pour diffuser des malwares ou exécuter des scripts malveillants.

MWH peut bloquer ou neutraliser plusieurs types de fichiers sensibles :

ExtensionRisque
.vbsScripts VBS malveillants
.jsScripts JavaScript malveillants
.htaApplications HTML malveillantes
.scrFaux économiseurs d’écran
.ps1Scripts PowerShell
.batScripts batch Windows

Ces protections permettent de limiter l’exécution accidentelle de fichiers dangereux téléchargés depuis Internet ou reçus par e-mail.

Lors de l’exécution d’un fichier avec ces extensions, cela peut générer un message d’erreur.

Bloquer les extensions de fichiers dangereuses de Windows avec MWH

Utiliser les profils de hardening automatiques

Malekal Windows Hardener (MWH) propose plusieurs profils automatiques permettant d’appliquer rapidement un ensemble de protections de sécurité adaptées au niveau de durcissement souhaité.

Ces profils simplifient la configuration du hardening Windows sans devoir activer manuellement chaque protection.

Profil Recommended : sécurité équilibrée

Le profil Recommended est le profil conseillé pour la majorité des utilisateurs.

Il applique un ensemble de protections équilibrées afin de renforcer significativement la sécurité de Windows 11/10 tout en conservant une bonne compatibilité logicielle.

Ce profil active notamment :

  • Les protections Microsoft Defender recommandées
  • Plusieurs règles ASR
  • Certaines protections LOLBins
  • Le durcissement de fonctionnalités anciennes ou obsolètes
  • Les protections SmartScreen et réseau

Le profil Recommended est conçu pour :

  • Un usage quotidien
  • Les PC personnels
  • Les utilisateurs non techniques
  • Réduire les risques d’infection sans trop impacter Windows

Profil Strict : hardening renforcé

Le profil Strict applique des protections plus agressives afin de réduire encore davantage la surface d’attaque du système.

Ce profil peut notamment :

  • Bloquer davantage de LOLBins
  • Restreindre certaines fonctions PowerShell
  • Désactiver des composants Windows supplémentaires
  • Renforcer plusieurs règles ASR avancées

Le mode Strict s’adresse plutôt :

  • Aux utilisateurs avancés
  • Aux environnements sensibles
  • Aux postes fortement exposés aux risques
  • Aux utilisateurs recherchant un hardening maximal

Attention aux risques de compatibilité

Certaines protections de hardening peuvent provoquer des incompatibilités avec certains logiciels ou scripts.

Cela peut notamment concerner :

  • Les outils d’administration système
  • Certains logiciels professionnels
  • Les scripts PowerShell
  • Les macros Office
  • Les outils réseau
  • Certains logiciels anciens

Avant d’utiliser le profil Strict, il est recommandé :

  • De tester progressivement les protections
  • De créer un point de restauration système
  • De vérifier le fonctionnement des logiciels importants
  • De commencer par le profil Recommended

MWH reste toutefois réversible et permet de restaurer les paramètres d’origine si nécessaire.

Restaurer les paramètres Windows d’origine

Malekal Windows Hardener (MWH) permet de revenir facilement aux paramètres de sécurité Windows d’origine en désactivant les protections appliquées précédemment.

Cette fonctionnalité est utile lorsqu’une protection provoque un problème de compatibilité avec :

  • Un logiciel
  • Un script PowerShell
  • Un outil d’administration
  • Une macro Office
  • Un périphérique ou service Windows

Depuis les menus de MWH, vous pouvez :

  • Désactiver certaines protections individuellement
  • Restaurer les extensions de fichiers neutralisées
  • Réactiver certaines fonctionnalités Windows
  • Revenir à une configuration plus souple

L’outil conserve également plusieurs informations de configuration afin de faciliter le retour arrière et le diagnostic des protections appliquées.

Avant d’appliquer un hardening important, il est recommandé :

  • De créer un point de restauration système
  • De tester progressivement les protections
  • De vérifier le fonctionnement des logiciels importants

MWH a été conçu pour rester réversible afin d’éviter de bloquer durablement certaines fonctionnalités Windows.

Alternatives et aller plus loin pour sécuriser Windows

Malekal Windows Hardener (MWH) permet de renforcer rapidement la sécurité de Windows 11/10 grâce à plusieurs protections de hardening et de réduction de la surface d’attaque.

Il existe également d’autres outils spécialisés permettant de compléter ou renforcer davantage la sécurité du système selon vos besoins.

👉Parmi les solutions populaires de hardening Windows :

👉Pour aller plus loin dans la protection de Windows 11/10, vous pouvez également consulter ces guides complets de sécurisation du système :

Ces guides expliquent comment renforcer la sécurité de Windows contre les malwares, ransomwares, scripts malveillants, attaques réseau et tentatives de piratage.

Protéger son PC des virus, pirates et menaces : le guide complet

L’article Malekal Windows Hardener (MWH) : outil gratuit de hardening Windows 11/10 est apparu en premier sur malekal.com.

Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware

Par : malekalmorte
25 mai 2026 à 05:56

De faux CAPTCHA circulent actuellement sur de nombreux sites web et servent à infecter les ordinateurs avec des malwares.

Ces pages frauduleuses imitent des services connus comme :

  • Google reCAPTCHA
  • Cloudflare
  • hCaptcha

afin de pousser l’utilisateur à exécuter une action dangereuse sur son PC.

Les victimes sont généralement invitées à :

  • Ouvrir la fenêtre Exécuter avec Windows + R
  • Copier/coller une commande PowerShell
  • Autoriser des notifications navigateur
  • Télécharger un script malveillant

Dans ce guide, découvrez comment reconnaître un faux CAPTCHA, comprendre le fonctionnement de cette arnaque et protéger votre PC contre ces attaques.

Qu’est-ce qu’un faux CAPTCHA malveillant

Les faux CAPTCHA sont des pages frauduleuses imitant les systèmes de vérification humaine utilisés sur internet, comme :

  • Google reCAPTCHA
  • Cloudflare Turnstile
  • Vérifications anti-bot

Leur objectif n’est pas de vérifier que vous êtes humain, mais de vous pousser à exécuter une action dangereuse sur votre ordinateur afin d’infecter le PC avec un malware.

Contrairement à un vrai CAPTCHA, ces fausses pages demandent souvent :

  • D’ouvrir la fenêtre Exécuter avec Windows + R
  • De copier/coller une commande PowerShell
  • D’autoriser des notifications navigateur
  • Ou d’exécuter un script malveillant

Les cybercriminels utilisent cette technique pour contourner les protections de sécurité et faire exécuter eux-mêmes le malware par l’utilisateur.

A lire :

Comment fonctionne l’arnaque des faux CAPTCHA

Le scénario est généralement le suivant :

ÉtapeAction frauduleuse
1L’utilisateur arrive sur une page compromise ou malveillante
2Un faux CAPTCHA ou faux Cloudflare apparaît
3La page demande d’effectuer une manipulation Windows
4Une commande PowerShell ou script est exécuté
5Le malware est téléchargé et lancé silencieusement

Ces attaques utilisent souvent :

  • PowerShell
  • JavaScript
  • Scripts téléchargés à distance
  • Commandes encodées
  • Chargeurs de malware (“loaders”)
  • Afficher des publicités en bas à droite de l’écran
Faux captcha et malware : schéma explicatif de l'arnaque

Pourquoi les faux CAPTCHA piègent facilement les utilisateurs

Cette arnaque fonctionne très bien car :

  • Les utilisateurs connaissent les CAPTCHA
  • Les faux messages semblent légitimes
  • Les pages imitent des services connus
  • Les victimes pensent résoudre un problème de sécurité ou anti-bot
Exemples d'une victime qui a infecté son PC par un faux captcha

👉Ce guide montre aussi un autre type d’arnaque assez similaire :

À quoi ressemble une page de faux CAPTCHA

Les faux CAPTCHA imitent les systèmes de vérification utilisés par des services connus comme :

  • Google reCAPTCHA
  • Cloudflare
  • hCaptcha
  • Vérifications anti-bot

L’objectif est de donner l’impression qu’il s’agit d’une vérification de sécurité légitime afin de pousser l’utilisateur à effectuer une action dangereuse.

Exemple d'arnaque de faux captcha

Les éléments typiques des faux CAPTCHA

Élément affichéObjectif des cybercriminels
“Je ne suis pas un robot”Inspirer confiance avec une interface connue
Faux logo Cloudflare ou GoogleFaire croire à une protection officielle
Message “Vérification humaine requise”Créer un sentiment d’urgence ou de sécurité
Demande d’utiliser Windows + RFaire exécuter une commande malveillante
Copier/coller une commandeLancer PowerShell ou un script malware
Demande d’autoriser les notificationsEnvoyer ensuite du spam ou des arnaques
Faux message de sécurité navigateurFaire croire à un blocage légitime

Exemples de faux messages CAPTCHA malveillants

Les faux CAPTCHA utilisent souvent des phrases comme :

  • “Cliquez sur Autoriser pour vérifier que vous êtes humain”
  • “Appuyez sur Windows + R puis collez cette commande”
  • “Cloudflare Security Check”
  • “Votre navigateur nécessite une vérification”
  • “Confirmez que vous n’êtes pas un robot”

Certaines pages affichent également :

  • Une fausse animation de chargement
  • Un faux scan de sécurité
  • Un faux blocage navigateur
  • Des alertes de sécurité alarmantes
Faux captacha Cloudflare qui demande à copier/coller une commande

Quels malwares sont diffusés par les faux CAPTCHA

Les faux CAPTCHA sont aujourd’hui utilisés pour diffuser de nombreux types de malwares. Une fois la commande exécutée ou la permission accordée, le malware peut être téléchargé discrètement sur le PC sans que l’utilisateur s’en aperçoive immédiatement.

Les cybercriminels utilisent souvent :

Voici les principales menaces diffusées via ces faux CAPTCHA :

Type de menaceObjectif du malwareConséquences possibles
InfostealerVoler les mots de passe, cookies et données navigateurComptes Google, Microsoft, Discord, Steam ou réseaux sociaux compromis
Cheval de Troie (Trojan)Ouvrir un accès distant au PCContrôle à distance et installation d’autres malwares
RansomwareChiffrer les fichiers du PCDemande de rançon et perte de données
Malware bancaireIntercepter les données bancairesVol de comptes ou paiements frauduleux
Loader / DownloaderTélécharger d’autres malwaresInfection silencieuse du système
CryptominerUtiliser le PC pour miner de la cryptomonnaiePC lent, forte utilisation CPU/GPU
Notifications navigateur malveillantesEnvoyer du spam, publicités ou fausses alertesPopups, arnaques, redirections dangereuses
AdwareAfficher des publicités ou modifier le navigateurNavigation perturbée et risques supplémentaires

Les faux CAPTCHA et les notifications navigateur malveillantes

De nombreux faux CAPTCHA demandent également :

  • De cliquer sur Autoriser
  • Ou d’accepter les notifications navigateur

Une fois autorisées, ces notifications peuvent ensuite afficher :

  • Des publicités frauduleuses
  • De faux antivirus
  • De fausses alertes Windows
  • Des arnaques au support technique
  • Des liens vers d’autres malwares

Même sans installer de malware directement, ces notifications peuvent devenir très envahissantes et dangereuses.

👉Supprimer les publicités en bas à droite et notification sur Chrome, Firefox, Opera ou Smartphone :

SPAM Publicitaire en bas à droite : comment cela fonctionne

Pourquoi les faux CAPTCHA sont dangereux

Les faux CAPTCHA sont particulièrement efficaces car :

  • L’utilisateur exécute lui-même la commande
  • Certains antivirus détectent difficilement l’attaque au départ
  • L’infection peut rester silencieuse plusieurs heures ou jours

Dans certains cas, les données volées sont revendues ou utilisées très rapidement après l’infection.

Comment reconnaître un faux CAPTCHA

Les faux CAPTCHA cherchent à imiter les systèmes de vérification légitimes afin de pousser l’utilisateur à exécuter une action dangereuse. Certains indices permettent toutefois de repérer rapidement une tentative d’arnaque.

Les signes d’un faux CAPTCHA malveillant

Élément suspectPourquoi c’est dangereux
Demande d’utiliser Windows + RUn vrai CAPTCHA ne demande jamais d’ouvrir la fenêtre Exécuter
Copier/coller une commande PowerShellTechnique utilisée pour lancer un malware
Demande d’exécuter une commande systèmeAucun service légitime ne demande cela via une page web
Faux message Cloudflare ou GoogleLes cybercriminels imitent souvent des services connus
Bouton “Autoriser” pour les notificationsPeut déclencher du spam navigateur et des arnaques
Message alarmant ou urgentTechnique de manipulation pour pousser à agir rapidement
URL étrange ou inconnueLes faux CAPTCHA utilisent souvent des domaines suspects
Téléchargement automatiqueUn CAPTCHA ne doit jamais télécharger un fichier
Page plein écran bloquéeSouvent utilisée pour empêcher l’utilisateur de quitter la page

Les faux CAPTCHA imitent des services connus

Les cybercriminels copient souvent :

  • Google reCAPTCHA
  • Cloudflare
  • hCaptcha
  • Vérifications anti-bot

Les pages peuvent sembler très crédibles avec :

  • Logos officiels
  • Animations de chargement
  • Messages de sécurité
  • Interface proche des vrais CAPTCHA

L’objectif est de donner confiance afin que l’utilisateur :

  • Exécute une commande
  • Autorise des notifications
  • Télécharge un script malveillant

Que faire si vous avez exécuté une commande d’un faux CAPTCHA

Si vous avez exécuté la commande demandée par le faux CAPTCHA, il est possible que le PC ait été infecté par un malware, même si aucun fichier visible n’a été téléchargé.

Dans ce cas, il est recommandé d’agir rapidement afin de limiter les risques :

  • Déconnectez le PC d’internet
  • Fermez le navigateur
  • Lancez une analyse antivirus complète
  • Vérifiez les extensions du navigateur
  • Changez les mots de passe importants depuis un appareil sain
  • Contrôlez les sessions Google, Microsoft, Steam ou réseaux sociaux

Même si le PC semble fonctionner normalement, une infection peut rester discrète pendant plusieurs heures ou jours.

👉 Guide complet pour supprimer un virus et désinfecter le PC :

Comment éviter les faux CAPTCHA et les pages malveillantes

Les faux CAPTCHA exploitent principalement la méfiance limitée des utilisateurs et les poussent à exécuter eux-mêmes des actions dangereuses. Quelques bonnes pratiques permettent toutefois d’éviter la grande majorité de ces arnaques.

Les règles de sécurité contre les faux CAPTCHA

Bonne pratiquePourquoi c’est important
Ne jamais exécuter une commande depuis une page webUn vrai CAPTCHA ne demande jamais cela
Ne jamais utiliser Windows + R à la demande d’un siteTechnique fréquemment utilisée pour lancer des malwares
Refuser les notifications suspectesÉvite le spam navigateur et les arnaques
Vérifier l’adresse du site webLes faux CAPTCHA utilisent souvent des domaines suspects
Maintenir Windows et le navigateur à jourCorrige les failles de sécurité exploitées par les pirates
Utiliser un antivirus à jourPermet de bloquer certaines attaques et scripts malveillants
Utiliser un bloqueur de publicités ou scriptsRéduit les risques de redirections vers des pages frauduleuses
Se méfier des messages alarmantsLes cybercriminels utilisent souvent l’urgence pour manipuler les victimes

👉Pour aller plus loin :

Ce qu’un vrai CAPTCHA ne fera jamais

Un vrai CAPTCHA ne demandera jamais :

  • D’ouvrir PowerShell
  • D’utiliser Windows + R
  • De copier/coller une commande
  • De télécharger ou installer un logiciel
  • De désactiver l’antivirus
  • D’autoriser des notifications pour continuer

Si une page web demande ce type d’action, il s’agit presque toujours d’une tentative d’infection ou d’arnaque visant à exécuter un malware sur votre PC

Sécuriser Windows et son navigateur contre les faux CAPTCHA

Pour limiter les risques :

  • Maintenez Windows Update actif
  • Utilisez Microsoft Defender ou un antivirus fiable
  • Vérifiez régulièrement les extensions navigateur
  • Désactivez les notifications suspectes
  • Utilisez un navigateur à jour

👉 Guide complet :


📖 Ressources utiles et articles liés

L’article Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware est apparu en premier sur malekal.com.

MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié

Par : malekalmorte
18 mai 2026 à 10:23

Un nouveau zero-day Windows baptisé « MiniPlasma » vient d’être publié publiquement avec un exploit Proof of Concept (PoC). La vulnérabilité permettrait à un utilisateur disposant déjà d’un accès local limité d’obtenir les privilèges SYSTEM, soit le niveau d’accès le plus élevé sous Windows.

Cette nouvelle faille a été révélée par le chercheur « Chaotic Eclipse », déjà à l’origine des récents PoC BlueHammer, RedSun, UnDefend et YellowKey visant différentes protections de Windows et BitLocker.

MiniPlasma exploite le Planificateur de tâches Windows

Selon les premières analyses, MiniPlasma cible le service Windows Task Scheduler (Planificateur de tâches).

Le PoC exploiterait une mauvaise gestion des liens symboliques et des permissions de certains fichiers utilisés pendant l’exécution de tâches système. L’attaquant pourrait alors détourner ce mécanisme pour exécuter du code avec les privilèges SYSTEM.

Concrètement, un utilisateur standard pourrait :

  • créer certains liens symboliques
  • manipuler des chemins de fichiers spécifiques
  • déclencher une tâche système
  • obtenir une élévation de privilèges complète

Le PoC publié permettrait d’obtenir un shell SYSTEM en quelques secondes sur certaines versions de Windows.

Schéma explicatif de la vulnérabilité MiniPlasma qui permet une élévation de privilèges dans Windows

Une faille locale mais très dangereuse

MiniPlasma ne permet pas une compromission à distance directe via Internet. L’attaquant doit déjà disposer :

  • d’un accès local
  • ou d’un malware exécuté avec des droits utilisateur classiques

Mais ce type de faille reste extrêmement critique dans les chaînes d’attaque modernes.

En pratique, les cybercriminels utilisent souvent ce genre d’élévation de privilèges après :

  • un phishing
  • une exécution de malware
  • une faille navigateur
  • une compromission RDP
  • une infection initiale limitée

L’objectif est ensuite d’obtenir les privilèges SYSTEM afin de :

  • désactiver Microsoft Defender
  • contourner certaines protections
  • installer des rootkits
  • accéder à davantage de données
  • persister dans le système

Une ancienne faille Google Project Zero toujours exploitable ?

Selon le chercheur Chaotic Eclipse, MiniPlasma ne serait pas une vulnérabilité entièrement nouvelle. Le problème toucherait en réalité le pilote système cldflt.sys, utilisé par Windows pour les fonctionnalités Cloud Filter liées notamment à OneDrive et aux fichiers à la demande.

La faille se situerait plus précisément dans la routine HsmOsBlockPlaceholderAccess.

Le plus surprenant est que cette vulnérabilité avait déjà été signalée à Microsoft en septembre 2020 par le chercheur James Forshaw de Google Project Zero. À l’époque, elle avait reçu l’identifiant CVE-2020-17103 et Microsoft avait annoncé un correctif déployé en décembre 2020.

Mais selon Chaotic Eclipse, le problème serait toujours exploitable aujourd’hui.

Le chercheur affirme que :

  • soit le correctif initial n’a jamais complètement résolu le problème
  • soit une modification ultérieure de Windows aurait réintroduit silencieusement la faille

Encore plus inquiétant, il explique que le PoC original publié par Google fonctionnerait toujours sans modification majeure.

BleepingComputer a d’ailleurs testé l’exploit sur un système Windows 11 Pro entièrement à jour avec les mises à jour Patch Tuesday de mai 2026.

Dans leur test :

  • un simple compte utilisateur standard a été utilisé
  • l’exploit a été exécuté localement
  • une invite de commande avec les privilèges SYSTEM a été obtenue immédiatement

Cela montre que la vulnérabilité reste exploitable même sur des systèmes Windows 11 récents et entièrement patchés.

Un nouveau PoC publié avant correctif Microsoft

Comme pour les précédentes vulnérabilités publiées par Chaotic Eclipse, Microsoft n’aurait pas encore publié de correctif officiel au moment de la publication du PoC.

Le chercheur accuse une nouvelle fois Microsoft d’avoir ignoré ou retardé le traitement de certains rapports de sécurité.

Ces derniers mois, plusieurs PoC similaires ont été publiés publiquement avant correction :

  • BlueHammer
  • RedSun
  • UnDefend
  • YellowKey
  • GreenPlasma

Certaines de ces vulnérabilités ont finalement été corrigées discrètement dans les Patch Tuesday suivants après médiatisation.

Pour aller plus loins sur le sujet :

Les protections Windows modernes ne suffisent pas toujours

Même avec :

Windows reste vulnérable aux élévations de privilèges locales lorsque certains composants historiques du système sont mal protégés.

Le problème est que Windows conserve encore énormément de mécanismes hérités pour :

  • la compatibilité logicielle
  • les services système
  • les tâches planifiées
  • les composants Win32 historiques

Le Planificateur de tâches Windows est notamment une cible régulière des chercheurs sécurité car il fonctionne avec des privilèges très élevés et interagit avec de nombreux composants système sensibles.

Microsoft pourrait corriger discrètement la faille

Pour le moment, Microsoft n’a pas communiqué officiellement sur MiniPlasma.

Mais au vu des précédents cas récents, il est probable que :

  • un correctif soit préparé
  • une CVE soit attribuée plus tard
  • la correction arrive dans un futur Patch Tuesday

Les administrateurs système et utilisateurs sensibles doivent donc :

  • surveiller les prochaines mises à jour Windows
  • éviter l’exécution de programmes non fiables
  • limiter les comptes administrateurs locaux
  • maintenir Microsoft Defender actif

L’article MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié est apparu en premier sur malekal.com.

Qu’est-ce que le cache disque sous Windows et Linux

Par : malekalmorte
13 mai 2026 à 08:02

Sous Windows et Linux, les SSD, disques durs et périphériques USB utilisent un cache disque afin d’améliorer les performances des lectures et écritures.

Le cache d’écriture permet notamment d’accélérer les copies de fichiers, mais peut aussi provoquer des pertes de données ou des corruptions de fichiers en cas de coupure électrique ou de débranchement USB brutal.

Dans ce guide, vous apprendrez comment fonctionne le cache disque et le cache d’écriture sous Windows et Linux, leurs avantages, leurs risques et comment éviter les corruptions disque.

✋
De manière générale, si vous souhaitez comprendre le principe du cache, consultez ce guide annexe : Qu’est-ce qu’un cache (en informatique).
Du côté de Windows, consultez aussi ce guide : Cache d’écriture Windows : suppression rapide ou meilleures performances

Cache disque : ce qu’il faut retenir

  • ✔ Le cache disque améliore les performances
  • ✔ Les données sont temporairement stockées en mémoire RAM
  • ✔ Le cache d’écriture accélère les copies de fichiers
  • ⚠ Une coupure électrique ou un retrait USB brutal peut provoquer une corruption de données
  • ✔ Sous Windows, le mode “Suppression rapide” limite les risques sur les clés USB

Le cache disque est utile, mais nécessite d’utiliser correctement l’éjection sécurisée USB.

Qu’est-ce que le cache disque

Le cache disque est une mémoire temporaire utilisée par le système d’exploitation ou le périphérique de stockage afin d’accélérer les lectures et écritures sur un disque dur, un SSD ou une clé USB.

Lorsqu’un fichier est lu ou écrit :

  • Les données peuvent être temporairement stockées en mémoire
  • Puis écrites plus tard sur le disque physique
  • Ou conservées afin d’accélérer les accès suivants

Le cache disque permet ainsi :

  • D’améliorer les performances
  • Réduire les accès physiques au disque
  • Accélérer les copies de fichiers
  • Limiter les temps d’attente

Le tableau ci-dessous résume les principaux types de cache disque.

Type de cacheFonction
Cache en lectureAccélère l’ouverture des fichiers fréquemment utilisés
Cache en écritureStocke temporairement les écritures avant transfert sur le disque
Cache matériel du disqueMémoire intégrée au SSD ou disque dur
Cache système Windows/LinuxCache géré par le système d’exploitation

Sous Windows et Linux, le cache disque est utilisé :

  • Sur les SSD
  • Les disques durs HDD
  • Les clés USB
  • Les disques externes
Même si le cache améliore les performances, il peut aussi provoquer :
  • Une perte de données
  • Une corruption du système de fichiers
  • Des erreurs disque

si le périphérique est débranché brutalement avant la fin des écritures.

À quoi sert le cache disque ?

Le cache disque permet d’améliorer les performances des périphériques de stockage en réduisant les accès directs au disque dur, SSD ou périphérique USB.

Sans cache disque :

  • Chaque lecture ou écriture serait effectuée directement sur le support physique
  • Les performances seraient beaucoup plus faibles
  • Les temps d’accès augmenteraient fortement

Le cache disque sert principalement à :

  • Accélérer les lectures de fichiers
  • Améliorer les vitesses d’écriture
  • Réduire les accès physiques au disque
  • Limiter les temps d’attente
  • Optimiser les performances du système

Le tableau ci-dessous résume les principaux avantages du cache disque.

Fonction du cache disqueAvantage
Mise en mémoire des données fréquemment utiliséesAccès plus rapide aux fichiers
Regroupement des écritures disqueMeilleures performances d’écriture
Réduction des accès physiques au disqueMoins de sollicitations du périphérique
Optimisation des transferts de fichiersCopies plus rapides
Utilisation de la RAM comme tamponRéduction des temps de latence

Le cache disque est utilisé :

  • Par Windows et Linux
  • Les SSD
  • Les disques durs HDD
  • Les clés USB
  • Les disques externes

Par exemple :

  • Lors d’une copie de fichiers
  • Les données peuvent être d’abord écrites dans le cache RAM
  • Puis transférées ensuite sur le disque physique

C’est pour cette raison qu’un périphérique USB peut sembler avoir terminé une copie alors que certaines écritures sont encore en attente en arrière-plan.

Qu’est-ce que le cache disque et le cache d’écriture

Comment fonctionne le cache disque sous Windows et Linux ?

Le cache disque fonctionne comme une mémoire tampon entre le système d’exploitation et le périphérique de stockage.

Au lieu d’écrire ou lire directement chaque donnée sur le disque physique :

  • Windows ou Linux stocke temporairement les données dans le cache
  • Puis les transfère ensuite vers le SSD, disque dur ou périphérique USB

Cela permet :

  • D’accélérer les accès disque
  • Réduire les temps de latence
  • Limiter les accès physiques au disque
  • Améliorer les performances générales

Le cache disque peut fonctionner :

  • En lecture
  • En écriture
  • Ou les deux

Cache en lecture

Le cache en lecture conserve temporairement les fichiers ou données récemment utilisés afin d’accélérer les accès suivants.

Par exemple :

  • Lorsqu’un programme ou fichier est ouvert plusieurs fois
  • Les données peuvent être relues directement depuis le cache RAM
  • Sans accéder de nouveau au disque physique

Cela améliore :

  • Les temps de chargement
  • La réactivité du système
  • Les performances des applications

Cache en écriture

Le cache en écriture stocke temporairement les données avant leur écriture réelle sur le disque.

Par exemple :

  • Lors d’une copie de fichiers
  • Windows écrit d’abord les données en mémoire
  • Puis les transfère ensuite vers le périphérique de stockage

Cette méthode permet :

  • D’accélérer les copies
  • Réduire les accès disque
  • Améliorer les performances USB et SSD
Tant que les données restent dans le cache :
  • Elles ne sont pas encore totalement enregistrées sur le disque
  • Une coupure électrique ou un débranchement USB peut provoquer une corruption de fichiers

Différence entre write-back et write-through

Le tableau ci-dessous résume les deux principales stratégies de cache d’écriture.

Mode de cacheFonctionnement
Write-backLes données sont d’abord écrites dans le cache puis plus tard sur le disque
Write-throughLes données sont écrites immédiatement sur le disque physique

Le mode write-back :

  • Offre de meilleures performances
  • Mais augmente les risques de perte de données

Le mode write-through :

  • Est plus sécurisé
  • Mais légèrement moins performant

Sous Windows, les stratégies :

  • Suppression rapide
  • et Meilleures performances

utilisent justement ces mécanismes de cache disque.

Différence entre cache disque et mémoire RAM

Le cache disque et la mémoire RAM sont liés, mais ils ne jouent pas exactement le même rôle sous Windows ou Linux.

La mémoire RAM sert à stocker temporairement :

  • Les programmes en cours d’exécution
  • Les données utilisées par le système
  • Les applications ouvertes

Le cache disque, lui, utilise souvent une partie de la RAM afin d’accélérer les accès au disque dur, SSD ou périphérique USB.

Le tableau ci-dessous résume les principales différences.

ÉlémentRôle
Mémoire RAMStocker temporairement les programmes et données en cours d’utilisation
Cache disqueAccélérer les lectures et écritures disque
Cache en lectureConserver les fichiers récemment utilisés
Cache en écritureStocker temporairement les écritures avant transfert sur le disque

Par exemple :

  • Lors d’une copie de fichiers
  • Windows peut d’abord écrire les données dans le cache RAM
  • Puis transférer les données ensuite sur le disque physique

C’est pour cette raison :

  • Qu’un transfert peut sembler terminé alors que le disque travaille encore
  • Ou qu’un périphérique USB peut rester actif après une copie
La mémoire RAM est volatile : Son contenu disparaît après un redémarrage ou une coupure électrique

C’est pourquoi :

  • Une coupure brutale
  • Ou un débranchement USB pendant une écriture

peut provoquer :

  • Une perte de données
  • Une corruption du système de fichiers
  • Des erreurs disque.

Cache disque sur SSD, HDD et périphériques USB

Le cache disque est utilisé sur la plupart des périphériques de stockage :

  • Disques durs HDD
  • SSD
  • Clés USB
  • Disques externes USB

Mais son fonctionnement et son importance peuvent varier selon le type de support utilisé.

Le tableau ci-dessous résume les principales différences.

PériphériqueUtilisation du cache disque
Disque dur HDDTrès utilisé pour réduire les accès mécaniques
SSDUtilisé pour améliorer les performances d’écriture
Clé USBCache souvent limité mais toujours présent
Disque externe USBDépend des paramètres Windows et du périphérique

Cache des disques durs HDD

Les disques durs mécaniques utilisent fortement le cache disque afin de :

  • Réduire les mouvements de la tête de lecture
  • Accélérer les accès aux fichiers
  • Améliorer les performances générales

Les HDD possèdent aussi :

  • Un cache matériel intégré
  • Généralement de quelques Mo à plusieurs centaines de Mo

Cache des SSD

Les SSD utilisent également le cache disque, mais de manière différente.

Le cache permet notamment :

  • D’accélérer les écritures
  • Réduire l’usure des cellules mémoire
  • Optimiser les performances du SSD

Certains SSD utilisent aussi :

  • Un cache DRAM
  • Ou un cache SLC

afin d’améliorer les vitesses de transfert.

Cache des clés USB et disques externes

Sous Windows, les clés USB et disques externes utilisent souvent :

  • Le cache système Windows
  • Les stratégies :
    • Suppression rapide
    • Meilleures performances

Avec :

  • Suppression rapide
    • Windows limite fortement le cache d’écriture
  • Meilleures performances
    • Les performances sont meilleures
    • Mais l’éjection sécurisée devient fortement recommandée
Débrancher brutalement un périphérique USB pendant une écriture peut provoquer :
  • Une corruption de fichiers
  • Une perte de données
  • Des erreurs du système de fichiers

Pourquoi le cache disque peut provoquer une perte de données

Le cache disque améliore les performances des SSD, disques durs et périphériques USB, mais il peut aussi provoquer une perte de données lorsque les écritures ne sont pas encore totalement enregistrées sur le disque physique.

Avec le cache en écriture :

  • Les données sont d’abord stockées temporairement en mémoire
  • Puis écrites ensuite sur le disque

Tant que cette écriture n’est pas terminée :

  • Les fichiers ne sont pas encore totalement sauvegardés
  • Une interruption peut corrompre les données

Le tableau ci-dessous présente les situations les plus fréquentes.

SituationRisque
Débranchement brutal d’une clé USBCorruption de fichiers
Coupure électriquePerte des données en cache
Crash Windows ou LinuxSystème de fichiers corrompu
Redémarrage forcé du PCÉcritures interrompues
Déconnexion d’un disque externe pendant une copieFichiers incomplets
Cache write-back actifRisque accru de perte de données

Les symptômes les plus fréquents sont :

  • Fichiers corrompus
  • Erreurs NTFS ou EXT4
  • Messages CHKDSK ou fsck
  • Partition inaccessible
  • Clé USB non reconnue
  • Linux ou Windows qui refuse de démarrer

Risques avec les périphériques USB

Les clés USB et disques externes sont particulièrement sensibles :

  • Lors des copies de fichiers importantes
  • Avec le mode Meilleures performances
  • Si le périphérique est retiré sans éjection sécurisée

Même si Windows 11/10 utilise souvent : Suppression rapide

il reste conseillé :

  • D’attendre la fin des copies
  • D’éviter les débranchements brutaux
  • D’utiliser l’éjection sécurisée pour les disques externes importants

Limiter les risques de corruption disque

Pour éviter les pertes de données :

  • Utilisez l’éjection sécurisée USB
  • Évitez les coupures électriques
  • Utilisez un onduleur sur PC fixe
  • Sauvegardez régulièrement les fichiers importants
  • Vérifiez l’état de santé du disque

Les systèmes d’exploitations fournissent des utilitaires de réparation du système de fichiers :

👉Il est important de s’assurer que vos disques n’ont pas de défaillance matériel via SMART :

Cache d’écriture sous Windows : suppression rapide ou meilleures performances

Sous Windows 11/10, le cache d’écriture disque est utilisé afin d’améliorer les performances des SSD, disques durs et périphériques USB.

Windows utilise principalement deux stratégies pour les périphériques USB :

  • Suppression rapide
  • Meilleures performances

Le mode Suppression rapide réduit fortement l’utilisation du cache d’écriture afin de limiter les risques de corruption lors du retrait d’une clé USB.

Le mode Meilleures performances utilise davantage le cache disque afin d’améliorer :

  • Les copies de fichiers
  • Les transferts USB
  • Les performances des SSD externes
Avec ce mode :
  • L’éjection sécurisée devient fortement recommandée
  • Un débranchement brutal peut provoquer :
    • Une perte de données
    • Une corruption du système de fichiers

👉 Guide complet :

Différence entre suppression rapide et meilleures performances sous Windows 11/10

Cache disque sous Linux et écritures différées

Comme Windows, Linux utilise un cache disque afin d’améliorer les performances des SSD, disques durs et périphériques USB.

Sous Linux :

  • Les lectures et écritures disque peuvent être temporairement stockées en mémoire RAM
  • Puis transférées ensuite vers le disque physique

Le cache disque Linux permet notamment :

  • D’accélérer les accès aux fichiers
  • Réduire les accès physiques au disque
  • Améliorer les performances du système
  • Optimiser les écritures SSD et HDD

Le tableau ci-dessous résume les principaux mécanismes utilisés sous Linux.

Fonction LinuxRôle
Page CacheCache des fichiers et données utilisés récemment
Buffer CacheCache des opérations disque bas niveau
Write-back cacheÉcritures différées vers le disque
SyncForce l’écriture immédiate des données sur le disque

Écritures différées sous Linux

Sous Linux, les écritures ne sont pas toujours immédiatement enregistrées sur le disque. Lors d’une copie de fichiers, les données peuvent rester temporairement en mémoire avant d’être écrites sur le disque physique.

C’est pour cette raison qu’un périphérique USB peut continuer à travailler après la fin apparente d’une copie et qu’un débranchement brutal peut provoquer une corruption du système de fichiers EXT4.

Vider le cache disque Linux

Linux permet de forcer l’écriture des données en attente avec :

sync

Cette commande demande au système :

  • D’écrire immédiatement les données du cache vers le disque

Elle peut être utile :

  • Avant de retirer une clé USB
  • Après une copie importante
  • Lors d’un dépannage Linux

Risques de corruption sous Linux

Comme sous Windows, une coupure électrique, un crash système ou un débranchement USB brutal peuvent provoquer une corruption du système de fichiers EXT4, une perte de données ou encore des erreurs disque sous Linux.

Comment vérifier ou modifier le cache disque sous Windows

Windows 11/10 permet de modifier la stratégie de cache d’écriture des SSD, disques durs et périphériques USB depuis le Gestionnaire de périphériques.

Vous pouvez notamment choisir entre :

  • Suppression rapide
  • Meilleures performances

👉 Guide complet :

Faut-il désactiver le cache disque

Dans la majorité des cas, il n’est pas recommandé de désactiver complètement le cache disque, car celui-ci améliore fortement les performances des SSD, disques durs et périphériques USB.

Le cache disque permet notamment :

  • D’accélérer les copies de fichiers
  • Réduire les accès physiques au disque
  • Améliorer les performances générales du système

Toutefois, dans certaines situations, réduire ou désactiver le cache d’écriture peut être utile :

  • Pour limiter les risques de corruption USB
  • Sur certains périphériques externes instables
  • En cas de problèmes d’éjection USB
  • Lors de coupures électriques fréquentes

Le tableau ci-dessous résume les avantages et inconvénients.

ConfigurationAvantagesInconvénients
Cache disque activéMeilleures performancesRisque de perte de données en cas de coupure
Cache disque réduitPlus sûr pour les périphériques USBPerformances légèrement inférieures
Meilleures performancesCopies plus rapidesÉjection sécurisée fortement recommandée
Suppression rapideRetrait USB simplifiéDébits parfois plus faibles

Le cache disque est-il dangereux ?

Non, le cache disque améliore fortement les performances des SSD, HDD et clés USB.
Les risques apparaissent surtout lors :

  • d’une coupure électrique
  • d’un retrait USB brutal
  • d’un crash système

Sous Windows 11/10, le mode Suppression rapide est souvent activé par défaut sur les périphériques USB, ce qui limite déjà fortement les risques de corruption lors du retrait d’une clé USB ou d’un disque externe.

Dans la majorité des cas, il est préférable de conserver le cache disque activé et d’utiliser correctement l’éjection sécurisée USB afin de profiter de meilleures performances tout en limitant les risques de perte de données.

Désactiver totalement le cache disque peut parfois :
  • Réduire fortement les performances
  • Augmenter les temps de copie
  • Ralentir certains SSD ou disques externes

Bonnes pratiques pour éviter les corruptions disque

Une corruption du système de fichiers peut provoquer :

  • Des fichiers endommagés
  • Des erreurs disque
  • Une clé USB illisible
  • Des erreurs NTFS ou EXT4
  • Un Windows ou Linux qui ne démarre plus

Le tableau ci-dessous résume les principales bonnes pratiques permettant de limiter les risques de corruption disque.

Bonne pratiquePourquoi
Éjecter correctement les périphériques USBÉviter les écritures interrompues
Attendre la fin des copies de fichiersGarantir que les données sont bien écrites
Éviter les coupures électriquesLimiter les corruptions du système de fichiers
Utiliser un onduleurProtéger les SSD et disques durs
Vérifier régulièrement l’état du disqueDétecter une panne avant perte de données
Sauvegarder les fichiers importantsPrévenir une perte de données
Vérifier les erreurs disque avec CHKDSK ou fsckCorriger rapidement les incohérences
Éviter les débranchements brutaux USBRéduire les risques de corruption

Utiliser l’éjection sécurisée USB

Même avec le mode :

  • Suppression rapide

il reste conseillé d’éjecter correctement :

  • Les disques externes
  • Les SSD USB
  • Les clés USB importantes

👉 Comment éjecter une clé USB ou un disque externe sous Windows :

Vérifier régulièrement l’état du disque

Un disque défaillant peut provoquer :

  • Des corruptions répétées
  • Des erreurs NTFS ou EXT4
  • Des pertes de données
📖 Ressources utiles et articles liés

L’article Qu’est-ce que le cache disque sous Windows et Linux est apparu en premier sur malekal.com.

❌
❌