Acheter sur internet est inévitable de nos jours. Les arnaques pullulant sur la toile, voici comment détecter en un clin d'œil un site frauduleux et éviter de voir son numéro de carte bancaire tomber entre les mains de cybercriminels.
Sponsorisé par Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
Acheter sur internet est inévitable de nos jours. Les arnaques pullulant sur la toile, voici comment détecter en un clin d'œil un site frauduleux et éviter de voir son numéro de carte bancaire tomber entre les mains de cybercriminels.
Sponsorisé par Bitdefender
Il s’agit d’un contenu créé par des rédacteurs indépendants au sein de l’entité Humanoid xp. L’équipe éditoriale de Numerama n’a pas participé à sa création. Nous nous engageons auprès de nos lecteurs pour que ces contenus soient intéressants, qualitatifs et correspondent à leurs intérêts.
À l’occasion du Forum InCyber, Numerama a souhaité approfondir les discussions autour des menaces grandissantes pour les entreprises. Parmi elles, l'automatisation de l'économie souterraine de la cybercriminalité qui a permis de faire drastiquement chuter le délai de revente d'un accès compromis sur le dark web.
À l’occasion du Forum InCyber, Numerama a souhaité approfondir les discussions autour des menaces grandissantes pour les entreprises. Parmi elles, l'automatisation de l'économie souterraine de la cybercriminalité qui a permis de faire drastiquement chuter le délai de revente d'un accès compromis sur le dark web.
Dans la nuit du 30 au 31 mars 2026, deux versions piégées d'Axios ont été publiées sur npm, la plateforme de distribution de code la plus utilisée au monde par les développeurs. Derrière l'attaque, un compte développeur volé, un logiciel espion capable d'infecter Windows, macOS et Linux, et un mécanisme conçu pour effacer toute trace après infection.
Des milliers de faux messages imitant des notifications de sécurité Visual Studio Code ont été postés sur GitHub. Le but : rediriger les développeurs vers un site malveillant qui collecte leurs données système. La méthode est franchement vicieuse.
Une campagne massive sur GitHub Discussions
Les chercheurs en sécurité de Socket viennent de mettre le doigt sur une opération d'ampleur. Des centaines, voire des milliers de messages quasi identiques ont été publiés en quelques minutes sur la section Discussions de nombreux dépôts GitHub.
Chaque message reprend le même modèle : un titre alarmiste du type "Vulnérabilité grave Mise à jour immédiate requise", un faux identifiant CVE pour faire sérieux, et un lien vers une prétendue extension VS Code corrigée hébergée sur Google Drive.
Les comptes utilisés sont soit tout neufs, soit quasi inactifs, mais ils se font passer pour des mainteneurs de projets ou des chercheurs en sécurité. Et comme GitHub envoie des notifications par e-mail aux personnes qui suivent un dépôt ou qui sont taguées, les fausses alertes arrivent directement dans la boîte mail des développeurs. Vous pouvez donc vous faire avoir sans même ouvrir GitHub.
Un système de filtrage avant le malware
Bien sûr, le lien Google Drive ne vous amène pas d'un coup vers un fichier infecté. Il déclenche avant une série de redirections qui vous emmènent inlassablement vers un domaine bien foireux, où un script JavaScript va se charger du sale boulot.
Ce script collecte automatiquement le fuseau horaire, la langue, le système d'exploitation, l'identifiant du navigateur et même des indicateurs d'automatisation. Tout est envoyé vers un serveur de commande sans que vous n'ayez à cliquer sur quoi que ce soit.
L'idée derrière ce dispositif, c'est de trier les visiteurs. Les robots et les chercheurs en sécurité sont écartés, et seuls les vrais humains reçoivent la suite de l'attaque. Les chercheurs de Socket n'ont d'ailleurs pas réussi à capturer le malware de deuxième étape, ce qui montre que le filtrage fonctionne plutôt bien.
Ce n'est pas la première fois
GitHub a déjà été ciblé par ce genre de campagne. En mars 2025, une attaque similaire avait touché 12 000 dépôts avec de fausses alertes de sécurité qui poussaient les développeurs à autoriser une application OAuth malveillante.
Cette fois-là, les pirates obtenaient un accès direct aux comptes GitHub des victimes. En juin 2024, c'était via des commentaires et des demandes de fusion bidon que les attaquants redirigeaient vers des pages d'hameçonnage.
Le procédé est malin. Utiliser les notifications GitHub pour donner une apparence officielle à des messages bidons, c'est le genre d'astuce qui marche bien sur des développeurs pressés.
Bon par contre, un lien Google Drive dans une alerte de sécurité, ça devrait quand même mettre la puce à l'oreille. Si vous recevez ce type de message, vérifiez toujours le CVE sur le site du NVD ou de MITRE avant de cliquer où que ce soit. Et si le lien pointe ailleurs que sur la boutique officielle de VS Code, passez votre chemin.
Dans un article de blog publié le 19 mars 2026, les chercheurs de Gen Threat Labs mettent en lumière les nouvelles capacités de VoidStealer, un infostealer vendu sur le dark web depuis décembre 2025, qui a récemment développé une technique inédite pour contourner le chiffrement renforcé de Google Chrome.
Dans un rapport, les chercheurs du Google Threat Intelligence Group décrivent comment un kit d'exploitation vendu à plusieurs acteurs, étatiques et commerciaux, a permis de compromettre des iPhone en Arabie saoudite, en Turquie, en Malaisie et en Ukraine.
La société Aikido Security a découvert une campagne de malware baptisée Glassworm qui utilise des caractères Unicode invisibles pour dissimuler du code malveillant.
Plus de 150 dépôts GitHub, des paquets npm et des extensions VS Code sont touchés, et le malware utilise la blockchain Solana comme serveur de commande. L'objectif : voler les identifiants de portefeuilles crypto.
Des caractères invisibles qui cachent du code
Le principe est assez fourbe. Les attaquants utilisent des caractères Unicode dits PUA (Private Use Area), qui ne s'affichent pas du tout à l'écran, mais qui contiennent quand même des valeurs exploitables.
Dit plus simplement, chaque caractère invisible correspond à un point de code que le décodeur extrait, reconstruit en payload, puis exécute via eval(). Le code malveillant est là, sous vos yeux, mais vous ne le voyez pas.
Aikido Security a découvert que cette campagne avait eu lieu entre le 3 et le 9 mars derniers. Plus de 150 dépôts GitHub ont été compromis, mais aussi des paquets npm comme @aifabrix/miso-client et @iflow-mcp/watercrawl-watercrawl-mcp.
Si on regarde du côté de VS Code, l'extension quartz-markdown-editor et 72 extensions sur Open VSX ont été touchées. Les attaquants ont aussi utilisé des LLM pour générer des commits de couverture parfaitement crédibles, et passer ainsi sous les radars des reviewers.
La blockchain Solana impliquée
Ce qui rend Glassworm encore plus fourbe, c'est son infrastructure. Au lieu d'utiliser un serveur classique facile à bloquer, le malware récupère ses instructions de commande sur la blockchain Solana. Ce qui veut dire qu'il n'y a pas de serveur central à couper : les instructions sont inscrites dans la blockchain, accessibles à tous et quasi impossibles à supprimer.
L'objectif final est le vol de données liées aux portefeuilles crypto. Le malware cible 49 extensions de navigateur, dont MetaMask, Coinbase Wallet et Phantom. Il récupère les identifiants stockés localement et les exfiltre vers les serveurs des attaquants.
Côté attaquants, c'est du beau travail. Cacher du code dans des caractères que personne ne voit, utiliser une blockchain comme canal de commande et se servir d'IA pour maquiller les commits, c'est bien ficelé.
Le problème, c'est que ça expose un angle mort assez gênant dans la confiance qu'on accorde à l'open source : on installe des paquets et des extensions sans forcément lire chaque ligne de code, et quand le code malveillant est carrément invisible, ça devient compliqué à détecter.
Dans la nuit du 10 au 11 mars 2026, Stryker, géant américain du matériel médical, a subi une attaque destructrice qui a mis hors ligne des dizaines de milliers de systèmes dans le monde entier. Une opération menée en représailles à l'opération militaire menée par les États-Unis en Iran.
Un ver JavaScript capable de se propager automatiquement a été utilisé pour vandaliser des milliers de pages Wikipédia. Il est resté actif pendant 23 minutes.
Un processus inconnu dans le Gestionnaire des tâches, un nom étrange, une forte utilisation CPU ou une activité réseau inhabituelle peuvent susciter des inquiétudes.
Sous Windows 11/10, des dizaines de processus légitimes s’exécutent en arrière-plan. Mais un malware peut se dissimuler derrière un nom trompeur pour passer inaperçu.
Pour déterminer si un processus est légitime ou malveillant, il faut analyser plusieurs éléments : son emplacement, sa signature numérique, son comportement, sa persistance et son éventuelle détection par des antivirus.
Ce guide vous donne une méthode claire pour vérifier un processus suspect sans supprimer par erreur un composant système légitime.
Comment identifier un processus suspect sous Windows 11/10
Un virus ou un autre logiciel malveillant s’exécute généralement sous la forme d’un processus actif en arrière-plan. Examiner les processus en cours d’exécution sous Windows 11/10 est donc une étape essentielle pour déterminer si votre PC est infecté.
L’objectif est d’identifier un programme inhabituel, mal nommé ou incohérent avec votre utilisation.
Examiner les processus avec le Gestionnaire des tâches
Puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
Ouvrez l’onglet Processus
Cliquez sur Plus de détails si nécessaire
Vérifiez :
Les programmes que vous ne reconnaissez pas
Une utilisation CPU ou disque anormalement élevée
Un nom étrange ou mal orthographié
Un processus consommant beaucoup de ressources alors que vous n’utilisez aucun logiciel lourd peut être suspect.
Identifier le processus exact (onglet Détails)
Pour une analyse plus précise :
Ouvrez l’onglet Détails
Notez le nom exact du processus
Vérifiez le PID si nécessaire
Les malwares utilisent parfois un nom proche d’un processus système légitime (ex : svch0st.exe au lieu de svchost.exe).
Vérifier l’emplacement du fichier
Pour contrôler où se trouve le programme :
Faites un clic droit sur le processus
Cliquez sur Ouvrir l’emplacement du fichier
Un fichier situé dans :
C:\Windows\System32
C:\Program Files
est généralement légitime.
En revanche, un exécutable placé dans :
AppData
Temp
Un dossier au nom aléatoire
mérite une analyse approfondie.
Vérifier la signature numérique
Pour savoir si un fichier est signé :
Faites un clic droit sur le fichier
Cliquez sur Propriétés
Ouvrez l’onglet Signatures numériques
Une signature valide provenant de Microsoft ou d’un éditeur reconnu est rassurante. L’absence de signature n’est pas forcément malveillante, mais elle doit inciter à la prudence.
Si un processus vous semble suspect (nom inhabituel, forte utilisation CPU, comportement étrange), vous pouvez analyser son fichier exécutable avec VirusTotal, un service en ligne qui vérifie un fichier à l’aide de dizaines de moteurs antivirus.
Pour analyser un processus :
Faites un clic droit sur le processus dans le Gestionnaire des tâches
Cliquez sur Ouvrir l’emplacement du fichier
Copiez le fichier exécutable
Téléversez-le sur VirusTotal
VirusTotal affiche un résultat du type :
0/70 → Aucun moteur ne détecte le fichier 5/70 → 5 moteurs signalent un problème
Plus le nombre de détections est élevé, plus le risque est important.
Attention : une ou deux détections isolées peuvent correspondre à des faux positifs. Il est important d’interpréter le score avec prudence.
Analyser automatiquement les processus avec VirusTotal via Process Explorer
Plutôt que de vérifier manuellement chaque fichier suspect, vous pouvez utiliser Process Explorer (outil Microsoft Sysinternals) pour analyser automatiquement les processus actifs via VirusTotal.
Process Explorer est un gestionnaire des tâches avancé qui permet notamment :
D’afficher l’arborescence complète des processus
De vérifier les signatures numériques
D’analyser automatiquement les exécutables en ligne
Un processus malveillant ne se contente pas d’être actif. Il tente généralement de se relancer automatiquement après un redémarrage.
Si vous suspectez un processus précis, vous devez vérifier s’il est configuré pour démarrer automatiquement.
Vérifier si le processus est présent au démarrage
Ouvrez le Gestionnaire des tâches
Cliquez sur l’onglet Démarrage
Recherchez le nom exact du processus suspect
S’il apparaît dans la liste avec un statut Activé, cela peut indiquer une tentative de persistance.
Vérifier les tâches planifiées liées au processus
Appuyez sur Windows + R
Tapez taskschd.msc
Recherchez une tâche qui lance le même fichier exécutable
Ouvrez la tâche et vérifiez le chemin du programme exécuté.
Si la tâche lance précisément le fichier suspect, cela confirme une persistance programmée.
Vérifier s’il est installé comme service
Appuyez sur Windows + R
Tapez msconfig
Allez dans l’onglet Services
Cochez « Masquer tous les services Microsoft«
Vérifier si un service inconnu ou suspicieux est présent
Analyser un processus avec Process Explorer et Autoruns
Le Gestionnaire des tâches de Windows 11/10 permet une première analyse, mais il reste limité. Pour examiner en profondeur un processus suspect ou détecter une persistance cachée, il est recommandé d’utiliser des outils avancés de Microsoft Sysinternals.
Deux outils sont particulièrement utiles : Process Explorer et Autoruns.
Analyser un processus en détail avec Process Explorer
Process Explorer est un gestionnaire des tâches avancé qui fournit beaucoup plus d’informations que l’outil intégré à Windows.
Il permet notamment de :
Voir l’arborescence complète des processus
Identifier le processus parent
Vérifier la signature numérique en temps réel
Consulter les DLL chargées
Interroger automatiquement VirusTotal
Pour l’utiliser :
Téléchargez et lancez Process Explorer
Recherchez le processus suspect
Vérifiez la colonne Verified Signer
Activez l’option Check VirusTotal.com dans le menu Options
Un processus non signé, situé dans un dossier inhabituel et signalé par VirusTotal mérite une analyse approfondie.
Si vous suspectez qu’un processus malveillant se relance automatiquement, Autoruns est l’outil le plus complet pour analyser les mécanismes de démarrage.
Il affiche :
Les programmes au démarrage
Les services
Les tâches planifiées
Les pilotes
Les extensions navigateur
Les clés de registre liées au lancement automatique
Autoruns permet d’identifier des éléments que le Gestionnaire des tâches ne montre pas.
Pour analyser :
Lancez Autoruns
Recherchez le nom du processus suspect
Vérifiez le chemin du fichier
Contrôlez la signature numérique
Un élément au nom étrange, non signé et situé dans AppData ou Temp doit être examiné avec prudence.
Un processus inconnu ne signifie pas automatiquement qu’il est malveillant. Windows 11/10 exécute de nombreux services en arrière-plan, dont certains portent des noms peu explicites. Il est donc important de ne pas paniquer au premier doute.
En revanche, certains signaux doivent réellement vous alerter, surtout lorsqu’ils se cumulent.
Combinaison de plusieurs indicateurs suspects
Vous devez commencer à vous inquiéter si le processus présente plusieurs des caractéristiques suivantes :
Indicateur
Niveau d’alerte
Nom proche système
Élevé
Absence signature
Moyen
Dossier Temp
Élevé
Score VirusTotal élevé
Critique
Persistance automatique
Critique
Un seul critère isolé ne suffit généralement pas. C’est la combinaison de plusieurs éléments qui doit attirer votre attention.
Le processus réapparaît après suppression
Si vous tentez de :
Terminer le processus
Supprimer le fichier
Désactiver son démarrage
et qu’il réapparaît automatiquement, cela peut indiquer :
Une persistance installée (tâche planifiée, service, clé registre)
Une infection plus avancée
Un malware actif en mémoire
Dans ce cas, une analyse plus poussée est nécessaire.
Modifications système associées
Un processus devient particulièrement suspect s’il s’accompagne de :
Désactivation de l’antivirus
Modification des paramètres proxy
Ajout d’un compte administrateur
Redirections navigateur
Ces comportements sont plus caractéristiques d’un malware que d’un simple programme mal configuré.
Signes complémentaires d’infection
Vous devez également vous inquiéter si le processus suspect est lié à :
Des fichiers chiffrés (ransomware)
Une activité réseau constante au repos
L’impossibilité d’accéder à des sites de sécurité
Des messages d’erreur inhabituels au démarrage
Que faire si le processus est malveillant ?
Si vos vérifications confirment qu’un processus est réellement malveillant sous Windows 11/10, il est important d’agir avec méthode. Supprimer un fichier au hasard ou forcer l’arrêt d’un processus sans analyse peut rendre le système instable.
Voici les étapes à suivre.
Isoler temporairement le PC du réseau
Si le processus communique vers l’extérieur :
Déconnectez le Wi-Fi
Débranchez le câble Ethernet
Cela limite les communications avec un serveur distant (exfiltration de données, réception d’instructions).
Mettre fin au processus suspect
Dans un premier temps :
Ouvrez le Gestionnaire des tâches
Sélectionnez le processus
Cliquez sur Fin de tâche
Si le processus refuse de se fermer ou se relance immédiatement, cela peut indiquer une persistance active.
Dans un article de blog publié le 19 février 2026, les chercheurs en cybersécurité d'ESET mettent en lumière un nouveau malware baptisé PromptSpy. Point d'intérêt majeur ? La façon dont ce logiciel malveillant intègre l'IA dans son fonctionnement.
En abusant du système d'Artefacts de Claude et de Google Ads, les pirates cherchent à piéger les utilisateurs de macOS dans le cadre d'attaques ClickFix.
Le spyware ZeroDayRAT cible les smartphones Android et iOS : une fois un appareil infecté, les pirates peuvent le contrôler à distance (caméra, GPS, SMS, etc.).
Des chercheurs en cybersécurité ont remonté la piste d'une nouvelle plateforme malveillante visant les environnements Linux. Baptisée VoidLink, cette boîte à outils sophistiquée est pensée pour infiltrer durablement des environnements cloud et s'adapter en fonction de l'infrastructure ciblée.
Dans un article de blog publié le 5 janvier 2026, les chercheurs de l’entreprise de cybersécurité Securonix mettent en lumière une nouvelle campagne cybercriminelle visant en particulier les établissements hôteliers européens. Baptisée PHALT#BLYX, cette opération dissimule son piège derrière un faux écran bleu de la mort de Windows.
Connexion
