Les bug bounty hunters n’ont qu’à bien se tenir car Google va bientôt tenter de les remplacer (comme ils ont déjà remplacé pas mal de créateurs web) grâce à leur nouvelle IA baptisée Big Sleep. En effet, celle-ci vient de prouver qu’elle peut détecter des failles de sécurité que même les meilleurs hackers humains ont loupées. Et je ne vous parle pas de petites vulnérabilités bidons, mais de véritables failles dans des logiciels critiques.

Vous vous souvenez quand je vous parlais de XBOW, cette IA qui était devenue numéro 1 sur HackerOne ? Eh bien Google vient de rentrer dans la danse avec Big Sleep, et visiblement ils ne sont pas venus pour rigoler. L’approche est différente mais tout aussi impressionnante.

Big Sleep, c’est le fruit d’une collaboration entre Google Project Zero (l’équipe d’élite qui trouve des failles zero-day) et DeepMind (les génies derrière AlphaGo). Ensemble, ils ont créé une IA capable d’analyser du code source et de détecter des vulnérabilités de manière autonome. Le nom “Big Sleep” vient d’ailleurs du roman noir de Raymond Chandler (lien affilié), un clin d’œil au côté détective de l’IA.

La première vraie victoire de Big Sleep, c’est donc d’avoir trouvé une vulnérabilité stack buffer underflow dans SQLite, la base de données la plus utilisée au monde. Cette faille était passée sous le radar de tous les outils de fuzzing traditionnels et des chercheurs humains. L’IA a réussi à l’identifier en analysant les patterns de code et en comprenant la logique profonde du programme.

Ce qui est vraiment fou avec Big Sleep, c’est sa capacité à comprendre le contexte et la sémantique du code car contrairement aux outils de fuzzing classiques qui bombardent le programme avec des données aléatoires pour voir s’il crashe, Big Sleep lit et comprend réellement ce que fait le code.

C’est la différence entre un lecteur de Korben.info qui lit l’un de mes articles et qui est content. Et un lecteur de Korben.info (ou pas d’ailleurs) qui lit l’un de mes articles en diagonale (ou juste le titre…lol), qui ne comprend rien et qui part ensuite m’insulter sur les réseaux sociaux ^^.

Google explique que Big Sleep utilise une approche en plusieurs étapes. D’abord, l’IA analyse le code source pour comprendre sa structure et son fonctionnement. Ensuite, elle identifie les zones potentiellement vulnérables en se basant sur des patterns connus mais aussi sur sa compréhension du flux de données. Enfin, elle génère des cas de test spécifiques pour confirmer l’existence de la vulnérabilité.

Les 20 vulnérabilités découvertes touchent différents types de logiciels, des bibliothèques système aux applications web. Google reste discret sur les détails exacts pour des raisons évidentes de sécurité, mais ils confirment que toutes les failles ont été corrigées avant toute exploitation malveillante. C’est le principe du responsible disclosure : on trouve, on prévient, on corrige, et seulement après on communique.

Ce qui différencie Big Sleep de XBOW, c’est surtout l’approche. Là où XBOW excelle dans les bug bounties publics avec une approche plus agressive, Big Sleep semble plutôt orienté vers l’analyse en profondeur de code complexe. Les deux IA sont donc complémentaires et montrent bien que l’avenir de la cybersécurité passera par ces assistants intelligents.

D’ailleurs, Google ne compte pas garder Big Sleep pour lui et l’équipe travaille sur une version open source qui permettra à la communauté de bénéficier de cette technologie. L’idée c’est de démocratiser la recherche de vulnérabilités pour que même les petites entreprises puissent sécuriser leur code.

Mais attention, tout n’est pas rose non plus car que se passera-t-il si des acteurs malveillants mettent la main sur ce genre d’IA ? La course aux armements entre attaquants et défenseurs risque de fortement s’accélérer drastiquement. Google assure avoir mis en place des garde-fous, mais on sait tous que dans le domaine de la sécurité, rien n’est jamais garanti à 100%.

Selon Google, Big Sleep peut analyser en quelques heures ce qui prendrait des semaines à une équipe humaine et contrairement à vous les vacanciers éternels, l’IA ne se fatigue pas, ne fait pas d’erreur d’inattention, et peut traiter des volumes de code monumentaux. Sur les 20 vulnérabilités trouvées, au moins 5 étaient considérées comme critiques avec un score CVSS supérieur à 8.

Pour voir les dernières découvertes de BigSleep c’est par ici.

L’objectif pour Google à terme c’est de créer une IA capable de comprendre non seulement le code, mais aussi l’intention derrière le code, donc si vous êtes développeur ou responsable sécurité, il est temps de prendre ce sujet au sérieux. Les IA comme Big Sleep et XBOW ne sont pas des gadgets, donc commencez à réfléchir à comment intégrer ces outils dans vos processus de développement et surtout, n’attendez pas que les attaquants s’en servent contre vous.

Source

Les emails frauduleux sont aujourd’hui l’un des moyens les plus utilisés par les cybercriminels pour piéger leurs victimes.
Derrière un message bien formulé peut se cacher une tentative de vol d’identifiants, d’injection de malware ou une arnaque visant à vous faire transférer de l’argent.

Ces attaques ne visent pas que les professionnels ou les “gros comptes” : tout le monde peut être ciblé, à partir d’une simple adresse email.

Dans cet article, vous allez apprendre à :

• repérer les signes qui doivent vous alerter (adresse douteuse, lien suspect, pièce jointe piégée, etc.),
• vérifier techniquement un email (affichage complet, en-têtes, liens masqués),
• et surtout quoi faire en cas de doute, sans tomber dans le piège.

Ces bonnes pratiques s’appliquent aussi bien dans un cadre personnel que professionnel, et permettent de réduire considérablement les risques d’attaque.

Les signes qui doivent vous alerter

Tous les emails frauduleux ne sont pas évidents à repérer. Certains sont grossiers, d’autres très bien construits et capables de tromper même des utilisateurs expérimentés.
Voici les principaux éléments à vérifier pour détecter un email potentiellement dangereux :

Une adresse d’expéditeur suspecte ou usurpée

L’un des premiers éléments à vérifier est l’adresse email réelle de l’expéditeur — pas uniquement le nom affiché. Il est facile d’écrire “Amazon Service” ou “Support Impôts” dans l’en-tête d’un mail, mais l’adresse qui se cache derrière en dit souvent long.

Les cybercriminels utilisent souvent des adresses qui ressemblent fortement à des adresses officielles, en jouant sur des variantes :

• utilisation d’un nom de domaine proche : @service-amazon.com, @orange-client.fr
• ajout ou suppression de lettres, tirets ou sous-domaines : @gouvfr.com, @amendes-info.fr, @xxx-gouv.fr

Cette technique s’appelle le typosquatting : elle consiste à enregistrer des noms de domaines qui imitent de vrais domaines (officiels ou connus) pour tromper les victimes.

Exemple réel : des campagnes de phishing ou de SMS frauduleux prétendant provenir de l’ANTAI (Agence nationale de traitement automatisé des infractions) ont utilisé des domaines comme paiement-amendes-gouvfr.com ou antai-securite.info.
À lire : Arnaque au retard d’amende non payé (phishing)

Pour en savoir plus sur cette méthode de tromperie : Combosquatting : inciter à faire confiance à des URL malveillants et Typosquatting : quand les pirates imitent les vrais sites

Un objet ou un contenu trop vague, alarmant ou tentant

Un email frauduleux utilise souvent un ton urgent ou menaçant : “Votre compte sera suspendu”, “Dernier avis avant suppression”, ou “Vous avez gagné un iPhone”.
Parfois, le message reste vague, impersonnel ou vous pousse à cliquer sans explication. Le but est simple : vous faire réagir vite, sans réfléchir.

Vérifier les liens reçus

Avant de cliquer sur un lien, prenez le temps de survoler l’adresse (sans cliquer). Lien affiché et destination réelle peuvent ne pas correspondre. Il arrive aussi que des URL soient raccourcies (bit.ly, tinyurl) ou hébergées sur des domaines obscurs. Si l’adresse semble incohérente ou inconnue, évitez d’y accéder.

Pièces jointes inattendues

Les pièces jointes sont l’un des moyens les plus courants pour diffuser des malwares. Les fichiers dangereux les plus utilisés sont les .exe, .js, .vbs, .scr, ou encore certains documents Office piégés comme les .docm (Word avec macro active).

Mais pour éviter d’être détectés par les antivirus ou éveiller les soupçons, ces fichiers malveillants sont souvent dissimulés dans une archive compressée de type .zip ou .rar.
L’internaute pense ouvrir une pièce jointe banale, mais c’est à l’intérieur que se cache le vrai danger.

L’astuce de la double extension :

Une autre méthode courante consiste à utiliser une double extension. Par exemple, un fichier malveillant peut être nommé facture.pdf.exe ou photo.jpg.scr.
Sur Windows, si les extensions sont masquées (ce qui est le cas par défaut), l’utilisateur ne verra que “facture.pdf” — et pensera à tort qu’il s’agit d’un document.

Voici un exemple où un fichier ZIP de facture, semble être un fichier PDF, mais regardez la colonne Type.

L’attaquant a même pris le soin d’ajouter des espaces pour véritablement cacher l’extension si la colonne est trop petite.

Ainsi, en réalité, c’est un exécutable déguisé. À lire : Extensions de fichiers masquées sur Windows et les problèmes de sécurité

Si vous n’attendez pas de pièce jointe, même venant d’un contact connu, ne l’ouvrez jamais sans vérification préalable. Et surtout :

• n’activez pas les macros dans un document Office,
• passez toujours le fichier dans un outil comme VirusTotal.

Analyser le style du message

Enfin, le style d’écriture peut trahir l’arnaque. Un texte truffé de fautes, des tournures maladroites, des logos pixelisés ou une signature inhabituelle sont autant d’indices.
Les messages sont parfois mal traduits ou générés automatiquement, ce qui les rend faciles à repérer avec un peu d’attention.

Vérifier techniquement un email

Lorsque le contenu d’un email vous semble suspect, il est utile d’aller plus loin que la simple lecture. Quelques vérifications techniques simples permettent de mieux comprendre si un message est frauduleux, sans nécessiter de compétences avancées.

Afficher l’adresse complète de l’expéditeur

Dans de nombreux clients email, seul le nom de l’expéditeur est visible par défaut. Il est important d’afficher l’adresse réelle pour vérifier qu’elle correspond bien à l’entreprise ou au contact supposé.
Par exemple, un message affiché comme « Amazon Support » peut en réalité venir de [email protected].

Sur Outlook, Gmail, Thunderbird ou sur smartphone, il est généralement possible d’appuyer ou de cliquer sur le nom pour voir l’adresse complète.

Survoler les liens sans cliquer

Un lien peut sembler légitime, mais rediriger vers un site piégé.
Avant de cliquer, survolez le lien avec votre souris : l’adresse réelle s’affiche en bas du navigateur ou du client mail. Si elle vous paraît étrange, avec des fautes, des sous-domaines farfelus ou un nom de domaine inconnu, ne cliquez pas.

Examiner l’en-tête de l’email (header)

Chaque email contient des informations techniques appelées en-têtes (headers), qui permettent de retracer son parcours depuis l’expéditeur jusqu’à votre boîte mail.
On y trouve notamment :

• l’adresse IP d’envoi,
• les serveurs utilisés pour la transmission,
• et des indicateurs de sécurité comme SPF, DKIM et DMARC, qui permettent de vérifier si l’expéditeur est bien autorisé à envoyer des mails depuis ce domaine.

Ces technologies ne sont pas toujours visibles à l’utilisateur final, mais les clients mail avancés ou certains outils d’analyse permettent de les inspecter. Voici ce qu’elles signifient :

• SPF (Sender Policy Framework) : vérifie si l’IP d’envoi est autorisée à envoyer des mails au nom du domaine utilisé.
• DKIM (DomainKeys Identified Mail) : ajoute une signature cryptographique pour authentifier le contenu du message.
• DMARC (Domain-based Message Authentication, Reporting and Conformance) : définit comment réagir (accepter, mettre en spam, rejeter) si SPF ou DKIM échoue.

Si l’un ou plusieurs de ces mécanismes échouent, cela peut indiquer un spoofing ou une tentative d’usurpation de domaine.

En général, le Webmail ou le client mail propose une option « Afficher l’original » ou « Afficher l’en-tête« .
Par exemple, lorsque dmarc échoue, on obtient la mention « dmarc=fail« .

Authentication-Results: mail.protonmail.ch; dmarc=fail (p=none dis=none) header.from=malekal.com
Authentication-Results: mail.protonmail.ch; spf=none smtp.helo=[10.88.0.3]
Authentication-Results: mail.protonmail.ch; arc=none smtp.remote-ip=35.233.21.33
Authentication-Results: mail.protonmail.ch; dkim=none

Notez que certains webmail peuvent faire l’effort d’afficher cette information.
Par exemple, ci-dessous, ce mail d’arnaque tente d’envoyer un mail d’erreur et de notice se faisant passer pour @malekal.com (spoofing).
Protonmail indique que l’adresse email de l’expéditeur ne répond pas aux exigences d’authentification du domaine.

L’analyse complète des headers demande un certain niveau technique. Elle est donc plutôt réservée aux utilisateurs avancés, aux administrateurs ou aux analystes en sécurité.
Mais, des outils en ligne peuvent vous aider à les décrypter facilement, comme :

• MXToolbox Email Header Analyzer
• Google Admin Toolbox – Messageheader

Vérifier les liens sans cliquer

Si vous avez un doute sur un fichier ou un lien, vous pouvez le tester sans risque sur un site spécialisé comme VirusTotal.
Ce service analyse le contenu avec plusieurs antivirus simultanément, sans l’ouvrir sur votre machine. Vous pouvez y uploader une pièce jointe ou coller un lien suspect pour voir s’il est reconnu comme dangereux.

Pour vous aider :

• Comment analyser un fichier téléchargé : virus ou sain ?
• Comment vérifier un lien internet : malveillant ou sain ?

Que faire si vous avez un doute ?

Recevoir un email suspect n’est pas rare. Mais ce n’est pas parce qu’un message semble étrange qu’il faut paniquer — ni cliquer pour en avoir le cœur net. Voici les bons réflexes à adopter dès que vous avez le moindre doute.

• Ne cliquez ni sur les liens, ni sur les pièces jointes. Même un simple clic sur un lien peut suffire à vous rediriger vers un site piégé ou lancer un téléchargement automatique.
• Évitez de répondre, même pour dire “je ne suis pas intéressé” ou “est-ce une arnaque ?”. Cela confirme au pirate que votre adresse est active, et peut vous exposer à d’autres attaques.
• Prenez une minute pour relire l’email à froid. Est-ce qu’il contient des fautes ? Une adresse étrange ? Est-ce que le ton est anormalement urgent ? Est-ce une demande logique dans le contexte (par exemple, une facture d’un service que vous n’utilisez pas) ?
• Vérifiez par un autre canal : Si l’email semble provenir d’une personne ou d’un service que vous connaissez, contactez-les directement par un autre moyen (téléphone, SMS, site officiel, etc.) pour confirmer qu’ils vous ont bien envoyé ce message.

Signalez le message. Si vous avez identifié un email frauduleux, vous pouvez :

• le signaler comme spam/phishing dans votre boîte mail,
• le transférer à Signal Spam (signal-spam.fr),
• ou à [email protected]

Enfin, une fois le doute levé, supprimez le message de votre boîte. Vous pouvez aussi vider la corbeille pour éviter de le rouvrir accidentellement plus tard.

Tableau – Les 5 vérifications à faire sur un email suspect

Vérification	Ce qu’il faut observer	À éviter / À faire
Adresse de l’expéditeur	Est-ce un domaine légitime ? (@gouv.fr, @edf.fr)	Méfiez-vous des adresses ressemblantes : @orange-client.fr
Ton du message	Urgence, menace, récompense, relance agressive	Ne vous laissez pas presser. Prenez le temps de réfléchir.
Liens dans le message	Lien visible = lien réel ? Survolez pour vérifier	Ne cliquez pas si l’adresse est étrange ou raccourcie (bit.ly, etc.)
Pièces jointes	Fichier inattendu, extension inhabituelle (.exe, .js, .docm, .zip)	Ne l’ouvrez pas sans vérification via VirusTotal
Orthographe et mise en forme	Fautes, traduction automatique, logo flou, format étrange	Un message mal écrit est un bon signal d’alerte

Comment protéger son PC des virus par E-mail

Pour aller plus loin, voici un guide pour vous protéger concrètement contre ce type de menaces informatiques.
Vous y découvrirez :

• les méthodes utilisées pour piéger les internautes par email,
• les techniques de dissimulation des virus (ZIP, .js, macros…),
• et les bons réflexes à adopter pour ne pas tomber dans le piège.

L’article comment vérifier si un mail est frauduleux est apparu en premier sur malekal.com.

On croit souvent qu’installer un antivirus suffit à protéger son PC. En réalité, la sécurité informatique ne dépend pas uniquement d’un logiciel, mais avant tout de vos comportements et de votre vigilance.

Les cybercriminels ne ciblent pas seulement les failles techniques, mais exploitent surtout les erreurs humaines : téléchargements de cracks, clics sur des liens douteux, logiciels non à jour, programmes installés sans attention…

Dans cet article, vous découvrirez les véritables causes d’infection, les profils les plus exposés, et surtout, les bonnes pratiques à adopter pour sécuriser efficacement votre ordinateur au quotidien — bien au-delà de l’antivirus.

Introduction : la sécurité, ce n’est pas (que) l’antivirus

Quand on parle de sécurité informatique, beaucoup pensent qu’il suffit d’installer un antivirus pour être protégé. C’est une idée reçue largement répandue… et pourtant, loin de suffire.

Aujourd’hui, les cybercriminels n’utilisent plus seulement des virus classiques. Ils s’appuient sur l’erreur humaine, l’ignorance technique ou la naïveté de l’utilisateur pour infecter les systèmes :
faux logiciels, cracks piégés, fausses mises à jour, extensions malveillantes, pièges par email ou publicité…

Autrement dit : ce n’est pas parce que vous avez un antivirus actif que vous êtes protégé.
Le risque d’infection dépend davantage de votre comportement que du logiciel que vous utilisez.

L’objectif de cet article est de remettre les bases en place, et de vous expliquer concrètement :

• pourquoi les infections surviennent ;
• quels types d’utilisateurs sont les plus exposés ;
• et notamment, comment vraiment éviter les malwares au quotidien, même sans logiciel miracle.

Vous verrez qu’il n’existe pas une solution unique à appliquer, mais plutôt une hygiène numérique à adopter.
Et, c’est bien cette attitude qui fait la différence entre un utilisateur infecté… et un autre qui ne l’est jamais.

Pourquoi les malwares vous ciblent

Les malwares (virus, chevaux de Troie, logiciels espions…) ne sont pas créés “au hasard” pour nuire gratuitement. Aujourd’hui, le principal moteur des cyberattaques est l’argent.
Chaque PC infecté peut générer du profit pour les pirates, de différentes manières :

• En l’intégrant à un botnet (réseau de machines zombies utilisées à distance)
• En affichant des publicités non désirées (adwares) ou en volant des données personnelles
• En forçant l’utilisateur à payer (faux antivirus, ransomwares)
• En revendant les accès ou informations collectées sur le marché noir

C’est ce qu’on appelle le business des malwares.

Pour maximiser leurs gains, les cybercriminels cherchent donc à infecter un maximum de machines.
Et, pour y arriver, ils exploitent les failles humaines, techniques et comportementales des utilisateurs ordinaires.

Les vecteurs d’infection les plus courants

Chaque jour, des milliers de nouvelles variantes de malwares sont mises en ligne, souvent conçues pour passer temporairement sous les radars des antivirus. Durant cette fenêtre de temps, vous êtes vulnérable, même si votre antivirus est à jour.

La majorité des infections ne viennent pas d’un “virus qui traîne sur internet”, mais d’un comportement à risque de l’utilisateur, souvent sans qu’il en ait conscience.

Voici les principaux vecteurs d’infection rencontrés au quotidien :

• Téléchargements douteux : cracks, keygens, logiciels piratés, faux lecteurs vidéo, etc. Ces fichiers sont souvent piégés avec des malwares ou programmes parasites.
• Sites web infectés ou compromis : publicités malveillantes (malvertising), redirections, exploits de failles dans le navigateur ou les plugins (Drive-by-download).
• Emails ou messages piégés : pièces jointes malveillantes, liens de phishing, fausses mises à jour ou services factices.
• Programmes installés sans vérification : bundles douteux, installateurs modifiés, logiciels attrayants mais trompeurs.

Dans tous ces cas, l’utilisateur reste le maillon faible, notamment lorsqu’il télécharge, clique ou installe sans vérifier la fiabilité de la source.

Pour un tour d’horizon complet des méthodes utilisées par les cybercriminels, consultez notre article détaillé : Les Virus et Trojan : comment ils infectent les PC

Les profils les plus exposés (et pourquoi)

Tous les utilisateurs ne courent pas le même risque d’infection. En sécurité informatique, tout est une affaire de probabilité, et certains profils sont statistiquement plus vulnérables que d’autres.

Voici les cas les plus courants :

Utilisateurs jeunes, peu expérimentés… ou personnes âgées

• Téléchargent facilement des cracks, jeux, extensions, émoticônes, « programmes utiles » sans en vérifier la provenance
• Acceptent ou exécutent des fichiers simplement parce qu’un ami, un site ou une notification leur suggère
• Manquent de recul face aux promesses trop belles pour être vraies, ou aux interfaces piégées
• Ne comprennent pas toujours les alertes ou les comportements suspects d’un système infecté

Les personnes âgées sont particulièrement ciblées par des formes de social engineering :

• Fausse assistance technique par téléphone (« Microsoft vous appelle… »)
• Fenêtres de blocage avec numéro à appeler (« Votre PC est infecté ! Appelez le support ») – Les arnaques de support téléphonique
• Messages alarmants de faux antivirus ou de mises à jour critiques
  • scarewares : faux message de virus ou erreur (arnaques)
  • Les fausses alertes indiquant que vous êtes infecté
• Usurpation d’identité (faux technicien, faux conseiller, arnaque au remboursement)

Ces attaques ne reposent pas sur une faille technique, mais sur la peur, l’urgence et la confiance naïve dans l’autorité. Elles peuvent aboutir à une prise de contrôle à distance, au vol de données bancaires, ou à l’installation de programmes malveillants.

Utilisateurs de P2P, de streaming illégal ou de logiciels piratés

• Téléchargent des fichiers depuis des sources non vérifiées : films, jeux, logiciels, clés d’activation
• Recherchent et exécutent des cracks, keygens, patchs ou activations trouvés sur des forums, sites douteux ou plateformes P2P
• Pensent contourner une limitation logicielle… mais installent en réalité des malwares, adwares, voire des chevaux de Troie
• Exécutent des fichiers sans se poser de questions (setup.exe, patch.bat, fake installateurs)

Les auteurs de malwares ciblent massivement ce profil, car il est facile à piéger. Un crack sur deux est infecté, modifié ou lié à une offre déguisée (faux site, installateur piégé, bundle).
Et au moment où l’utilisateur s’en rend compte… il est souvent déjà trop tard.

Utilisateurs peu vigilants

• N’appliquent pas les mises à jour de Windows ou des logiciels installés
• Acceptent toutes les fenêtres, installateurs ou demandes sans lire
• Ne savent pas identifier une source fiable ou un site douteux
• Installent un logiciel simplement parce que « le site est joli » ou « quelqu’un l’a partagé »

Ce profil est victime non pas d’ignorance technique, mais de naïveté comportementale.

Quelles protections adopter en 2025 ?

On entend souvent la question : “Quel antivirus faut-il installer ?”
Mais comme expliqué depuis le début de ce guide, la sécurité informatique ne dépend pas uniquement d’un logiciel.
C’est avant tout une affaire de comportement, de vigilance, et de compréhension des risques.

Même avec un bon antivirus, vous pouvez vous faire piéger.
À l’inverse, un utilisateur attentif, même équipé d’un antivirus basique, réduira considérablement ses risques d’infection.

Comprendre que l’antivirus ne suffit pas

L’antivirus est un filet de sécurité, pas un pare-feu infaillible.
Il peut :

• bloquer des fichiers malveillants connus,
• détecter certains comportements suspects,
• vous avertir après une infection…

Mais, il n’empêche pas l’utilisateur de faire des erreurs :
installer un programme piégé, désactiver sa protection, ouvrir une pièce jointe douteuse, ou donner ses identifiants sur une fausse page.

C’est pourquoi même un antivirus performant ne protège pas de tout, surtout face aux nouvelles menaces (malwares inédits, phishing bien conçu, attaques ciblées, etc.).

• Quel est le meilleur antivirus pour Windows 10/11 ?
• Les antivirus gratuits : quel est le meilleur ?

Bonnes pratiques à appliquer au quotidien

Voici les principales règles simples à appliquer pour se protéger efficacement en 2025, avec ou sans antivirus :

• Téléchargez uniquement depuis des sources fiables : éditeurs officiels, sites reconnus. Évitez les cracks, keygens, installateurs douteux, etc.
• Maintenez Windows et vos logiciels à jour (navigateur, PDF, Java, pilotes, etc.).
  Les mises à jour corrigent des failles exploitées par les malwares.
• Ne cliquez pas sur n’importe quel lien reçu par email, SMS ou messagerie.
  Et ne croyez pas aveuglément les alertes de type “votre PC est infecté”.
• Vérifiez ce que vous installez : lisez les écrans d’installation, refusez les logiciels additionnels, décochez les cases inutiles.
• Créez un compte utilisateur non administrateur pour un usage quotidien.
  Cela limite fortement l’impact potentiel d’un malware.
• Sauvegardez régulièrement vos données. Une clé USB ou un disque externe vous protège contre la perte totale en cas d’infection ou de ransomware.
• Renseignez-vous. Mieux, vous comprenez les risques, mieux, vous saurez les éviter.

En liens :

• Comment protéger son PC des virus et des pirates ?
• Sécuriser son PC en Windows 11 ou Windows 10 : 18 astuces

Conclusion : la sécurité est un comportement

On cherche souvent la bonne solution de sécurité : un antivirus, un logiciel miracle, une « astuce » pour éviter les infections.

Mais, la réalité est simple : la meilleure protection, c’est vous.

Il n’existe pas de configuration magique, ni de protection parfaite. Même avec un antivirus réputé, un pare-feu renforcé ou un système à jour, vous pouvez être infecté si vous adoptez de mauvaises habitudes.

La sécurité ne repose pas uniquement sur les outils, mais sur votre comportement :

• votre capacité à reconnaître les risques,
• à vous méfier des propositions trop faciles,
• à garder votre système propre et à jour,
• et à ne pas cliquer sans réfléchir.

La majorité des infections se produisent par négligence, naïveté ou automatisme.
Ce sont les petites habitudes du quotidien qui font toute la différence : un peu de recul, un peu de méfiance, un minimum de bon sens informatique… et vous évitez 95 % des menaces.

En cybersécurité, il vaut mieux être un utilisateur moyen, mais attentif, qu’un utilisateur confiant avec des outils puissants cependant mal utilisés.

L’article La sécurité de son PC, c’est quoi ? est apparu en premier sur malekal.com.

On imagine souvent les malwares comme des virus “créés pour nuire”, sans but précis. En réalité, les infections informatiques sont aujourd’hui le moteur d’un immense écosystème criminel qui brasse des millions d’euros chaque année.

Derrière chaque PC infecté, chaque popup de publicité ou chaque ransomware se cache un modèle économique bien rodé, avec ses outils, ses services, ses clients… et ses profits.
Le malware n’est plus un simple programme malveillant : c’est un vecteur de revenus, utilisé par des groupes organisés qui exploitent la naïveté des internautes et les failles du Web.

Dans cet article, nous vous dévoilons comment les cybercriminels gagnent de l’argent grâce aux malwares :

• botnets, adwares, ransomwares, phishing, PUPs,
• plateformes d’affiliation, infrastructures spécialisées,
• et même des faux blogs de sécurité ou des offres d’emploi frauduleuses.

Ce dossier vous montre que derrière chaque infection, il y a un business — et souvent, plusieurs intermédiaires qui en profitent.

Pourquoi infecter un PC rapporte de l’argent ?

Infecter un ordinateur n’est pas une fin en soi : c’est un moyen lucratif. Aujourd’hui, la majorité des malwares sont conçus pour générer du profit, pas simplement pour “casser des systèmes”.

Chaque machine compromise représente une ressource exploitable pour un cybercriminel :
elle peut afficher des publicités, envoyer du spam, miner de la cryptomonnaie, servir de relais pour des attaques, ou simplement devenir une porte d’entrée vers des données personnelles ou bancaires.

Plus un malware est installé sur de nombreux PC, plus il peut :

• multiplier les revenus (popups, ransomwares, affiliations)
• relayer des opérations malveillantes en masse (botnets, hameçonnage, arnaques)
• collecter ou revendre des données (emails, comptes, numéros de carte, identifiants de jeux)

L’infection devient alors un investissement rentable dans un véritable écosystème souterrain.
À grande échelle, un réseau de PC infectés (botnet) peut rapporter des milliers d’euros par jour à son opérateur, avec très peu de frais techniques.

Dans les prochaines sections, nous allons passer en revue les principales méthodes utilisées pour monétiser les infections, et comprendre comment ce business s’est structuré autour de l’exploitation des utilisateurs.

Méthodes de monétisation des PC infectés

Botnets : attaques, spam, location de machines

Un botnet est un réseau de machines infectées (PC, serveurs, objets connectés), contrôlées à distance sans que leurs propriétaires ne s’en aperçoivent. Ces machines zombifiées sont utilisées comme armée numérique silencieuse, et peuvent être exploitées à des fins très lucratives.

Que permet un botnet ?

• Lancer des attaques DDoS (déni de service) : inonder un site web ou un service en ligne de requêtes jusqu’à le rendre inaccessible.
  → Ce type d’attaque peut être vendu comme service à d’autres groupes, à des concurrents ou utilisé à des fins de chantage.
• Envoyer du spam en masse : un botnet peut expédier des millions d’emails de phishing ou de publicité non sollicitée, souvent via les adresses IP des machines infectées pour contourner les filtres anti-spam.
• Cacher l’origine d’attaques : les cybercriminels peuvent utiliser les machines d’un botnet comme relais pour mener d’autres actions malveillantes (vols de données, scans de vulnérabilités, etc.).

Un modèle économique bien établi

Certains opérateurs de botnets ne les utilisent même pas eux-mêmes. Ils les louent à d’autres groupes pour une durée donnée, avec une interface en ligne, des statistiques d’utilisation, un support client, etc.
On parle alors de botnet-as-a-service, un modèle similaire à celui du cloud computing.

Un botnet de quelques dizaines de milliers de machines peut être loué pour plusieurs centaines d’euros par jour, selon ses capacités (puissance réseau, stabilité, géolocalisation des machines, etc.).
Et pour alimenter ces réseaux, des kits de création et de gestion de botnet circulent dans les cercles underground, vendus avec documentation, mises à jour et même support technique.

Cette annonce propose de constituer un botnet en quelques heures pour 30 BTC.

Ou encore cette autre annonce :

Publicité : adwares, popups, redirections

Un autre moyen courant de monétiser les infections consiste à afficher de la publicité non désirée sur les ordinateurs infectés. Ce modèle repose sur l’installation de programmes publicitaires (adwares) qui injectent du contenu promotionnel directement dans le système de l’utilisateur.

Comment ça fonctionne ?

Une fois l’adware installé, il peut :

• Ouvrir des popups publicitaires de façon aléatoire ou à intervalles réguliers
• Modifier les résultats de recherche (ex. : détourner les recherches Google vers des moteurs frauduleux)
• Ajouter des bannières ou faux boutons sur les sites visités
• Rediriger les clics vers des pages affiliées ou des pages malveillantes

Chaque interaction (affichage, clic, redirection) génère des revenus pour l’auteur du malware, généralement via des plateformes d’affiliation ou des régies publicitaires peu regardantes.

Pourquoi c’est rentable ?

Les campagnes d’adware sont peu coûteuses à mettre en place et peuvent toucher des dizaines de milliers d’utilisateurs en peu de temps.
Chaque clic ou affichage peut rapporter quelques centimes, mais multipliés par le volume, cela devient rapidement une source de revenus passive et massive.

L’auteur d’un adware bien diffusé peut générer plusieurs centaines d’euros par jour sans voler de données, ni bloquer la machine.
C’est aussi l’un des modèles les plus durables, car il laisse le système fonctionnel, rendant l’utilisateur moins méfiant — voire incapable d’identifier la cause réelle du problème.

Cryptomonnaie : exploiter la puissance de calcul pour miner de la cryptomonnaie

Une autre méthode de monétisation des machines infectées consiste à utiliser leur puissance de calcul pour miner de la cryptomonnaie (Bitcoin, Monero, etc.).

Plutôt que d’afficher des publicités ou de voler des données, certains malwares installent un mineur de cryptomonnaie discret sur la machine. Ce dernier utilise les ressources CPU ou GPU de l’ordinateur à l’insu de l’utilisateur pour générer des unités de monnaie virtuelle.

Lorsque cette activité est répartie sur des milliers de PC infectés dans un botnet, elle peut générer des revenus significatifs sans éveiller de soupçons immédiats (à part des lenteurs ou une surchauffe de la machine).

Cette technique est particulièrement utilisée avec des cryptos comme Monero, qui sont conçues pour être résistantes au traçage et exploitables par CPU (contrairement au Bitcoin, devenu moins rentable à petite échelle).

Scawares/Rogues et ransomwares : arnaques à la peur

Les cybercriminels exploitent aussi la peur pour pousser les utilisateurs à agir dans la précipitation — et à payer. Deux méthodes sont particulièrement efficaces dans ce domaine :
les rogues (faux antivirus) et les ransomwares.

Scawares/Rogues (faux antivirus)

Un rogue est un faux logiciel de sécurité qui imite un antivirus classique. Il affiche de fausses alertes alarmantes pour faire croire à l’utilisateur que son PC est gravement infecté, puis lui propose une solution immédiate… payante.

Exemples de comportements :

• Alertes envahissantes sur l’écran indiquant des “infections critiques”
• Blocage de certaines fonctions système (explorateur, navigateur…)
• Incitation à acheter une licence pour “nettoyer” le PC

Ci-dessous, un rogue sous la forme d’un faux antivirus qui affiche des détections et alertes exagérées
En réalité, ces programmes ne nettoient rien : ils sont souvent eux-mêmes à l’origine des dysfonctionnements.

Ces arnaques reposent sur le modèle PPC / CPC (Pay Per Click / Conversion) : le cybercriminel est rémunéré à chaque installation ou achat déclenché par son faux logiciel.

À lire :

• scarewares : faux message de virus ou erreur (arnaques)
• Les fausses alertes indiquant que vous êtes infecté

Ransomwares

Les ransomwares sont aujourd’hui l’un des modèles les plus lucratifs du cybercrime. Ils chiffrent les fichiers de l’utilisateur (documents, photos, etc.) et affichent un message réclamant une rançon en cryptomonnaie pour les déverrouiller.

Caractéristiques :

• Chiffrement fort (AES, RSA) rendant les fichiers inutilisables
• Blocage complet ou partiel de l’accès au système
• Montant de la rançon : souvent entre 100 € et 1000 €, selon le profil ciblé

Contrairement aux rogues, les ransomwares ne simulent pas une infection, ils en causent une réelle. Et dans la plupart des cas, payer ne garantit rien.

Le ransomware peut également être utilisé pour la double extorsion : vol de données + chiffrement, avec menace de publication si la rançon n’est pas versée.

Ransomware / Rançongiciel chiffreur de fichiers

Arnaques à l’installation : Pay-Per-Install (PPI)

Le modèle Pay-Per-Install (PPI) repose sur un principe simple : être payé à chaque fois qu’un programme est installé sur une machine, qu’il soit utile… ou non. Dans le monde des malwares, ce modèle est détourné pour distribuer des logiciels indésirables, publicitaires, voire malveillants, à grande échelle.

Comment ça fonctionne ?

Des groupes créent ou distribuent des programmes douteux (rogues, adwares, browser hijackers, etc.) et recrutent des “affiliés” pour en assurer la diffusion.
Ces affiliés sont rémunérés à chaque installation réussie sur un ordinateur.

Les canaux de diffusion sont variés :

• Sites de téléchargement louches (ou même certains grands portails peu modérés)
• Crackers, keygens ou jeux modifiés distribués via le P2P
• Faux lecteurs vidéo, mises à jour Flash ou Java sur des sites de streaming
• Installateurs bundlés qui proposent plusieurs logiciels lors de l’installation d’un seul

Exemple : vous téléchargez un lecteur multimédia gratuit, mais l’installateur vous propose en parallèle une “barre d’outils”, un VPN douteux, un antivirus gratuit, etc. Si vous cliquez trop vite, vous installez tout sans vous en rendre compte.

Par exemple, ci-dessous, une vidéo de crack pour Adobe Acrobat DC qui est en réalité un malware.

Pourquoi ça rapporte ?

Chaque installation peut rapporter quelques centimes à quelques euros à l’affilié. Sur des campagnes massives (sites piratés, spam, torrents), cela peut générer des centaines voire des milliers d’euros par jour.

Ce système a permis à de nombreux groupes de monétiser sans avoir à développer leurs propres malwares. Ils se contentent de diffuser ceux des autres, via des campagnes ciblées.

Le PPI est souvent à l’origine de PUPs (programmes potentiellement indésirables) qu’on retrouve sur les PC ralentis, surchargés de fenêtres, de faux outils d’optimisation, ou de VPN imposés.

Vols d’informations : bancaire, identifiants, jeux en ligne

Une autre forme très rentable de monétisation des infections consiste à voler des données sensibles sur les machines compromises. Ces informations sont ensuite revendues, utilisées pour des fraudes ou exploitées dans des campagnes ciblées.

Vols de données bancaires

Certains malwares sont conçus pour intercepter des informations bancaires :

• identifiants de connexion à votre banque en ligne
• numéros de carte bancaire
• données personnelles (adresse, téléphone, RIB, etc.)

Les malwares spécialisés dans ce domaine sont appelés trojans bancaires (ex. : Zbot, Emotet, Dridex).
Ils peuvent se cacher en mémoire, injecter du code dans votre navigateur, ou rediriger vos connexions vers de fausses pages imitant votre banque.

Une fois les données récupérées, elles sont soit revendues sur des marchés noirs, soit utilisées directement pour des achats frauduleux ou des virements non autorisés.

Les Trojans Banker et Trojan Stealer : le malware qui vole des données

Vols de comptes de jeux en ligne

Certains malwares ciblent spécifiquement les comptes de jeux vidéo (Steam, Battle.net, Epic, etc.).
Ces comptes ont souvent une valeur financière réelle (jeux achetés, objets virtuels, monnaies in-game) et peuvent être revendues ou vidés.

Certains pirates ciblent même des comptes très spécifiques, avec des objets rares ou des skins à forte valeur.

Keyloggers, stealer, fichiers exportés

Des malwares plus généraux, appelés stealers ou keyloggers, enregistrent :

• tout ce que vous tapez (mots de passe, recherches…)
• les fichiers ouverts
• les sessions de messagerie
• les cookies ou jetons de session

Tous ces éléments sont régulièrement exportés vers un serveur distant contrôlé par l’attaquant, qui les trie, revend ou exploite selon leur valeur.

Ce type de vol est discret et difficile à détecter : l’utilisateur ne remarque rien jusqu’à ce que ses comptes soient compromis, ses mails utilisés ou ses jeux volés.

Les keylogger ou enregistreur de frappes clavier

Annonce pour louer iSpy Premium :

Campagnes de phishing, scams et fraudes diverses

En plus des malwares techniques, les cybercriminels exploitent aussi des méthodes plus “sociales” pour gagner de l’argent : le phishing, les scams (arnaques), les fraudes en ligne. Ces techniques reposent principalement sur la crédulité ou la panique de la victime.

Phishing : hameçonnage classique mais toujours rentable

Le phishing consiste à envoyer un message (email, SMS, réseau social…) se faisant passer pour un service légitime (banque, impôts, opérateur, etc.) afin de récupérer des identifiants ou des données personnelles.

Exemples de messages :

• “Une tentative de connexion suspecte a été détectée sur votre compte…”
• “Votre colis est en attente de paiement…”
• “Votre compte sera suspendu si vous ne confirmez pas vos informations…”

Le lien contenu dans le message redirige vers une fausse page qui imite parfaitement le site officiel. Si la victime entre ses identifiants, ceux-ci sont immédiatement envoyés au pirate.

Ces données sont ensuite revendues ou utilisées pour accéder à des services (et dans certains cas, détourner de l’argent ou voler des comptes).

Scam, arnaques à la carte bancaire et à la romance

On retrouve également :

• les arnaques nigérianes (scam 419) : promesse d’un héritage, d’un gain, d’un virement bloqué
• les arnaques à la romance : séduction à distance, puis demande d’argent
• les faux supports techniques : message bloquant, numéro à appeler, prise de contrôle du PC

Tous ces scénarios sont conçus pour pousser la victime à effectuer un virement, payer une rançon, ou transmettre volontairement ses données bancaires.

Fraudes par email et campagnes automatisées

Certains groupes spécialisés proposent même des services de mailing frauduleux, à la demande.
Un cybercriminel peut acheter un lot d’adresses ciblées (ex : francophones, utilisateurs d’un certain site) et payer un prestataire pour envoyer massivement ses messages piégés.

Ces campagnes sont souvent liées à d’autres formes de monétisation (phishing bancaire, faux antivirus, arnaques crypto…).

Le phishing et les scams sont des attaques sans infection technique, mais tout aussi dangereuses. Ils exploitent la confiance, l’urgence, et l’ignorance — et continuent de faire chaque jour de nombreuses victimes.

L’économie souterraine (Underground)

Le modèle de “cybercriminalité à la chaîne” fonctionne comme une entreprise… à ceci près qu’elle est illégale.

Cette économie souterraine a démocratisé le cybercrime : plus besoin d’être un développeur expérimenté pour infecter des machines, voler des données ou générer de l’argent. Il suffit de payer les bons outils, et parfois d’un simple hébergement pour commencer.

Chaque acteur joue un rôle précis, ce qui permet une efficacité maximale :
celui qui développe ne s’occupe pas de la diffusion, celui qui distribue ne gère pas les paiements, etc.

Achat de kits, malwares, exploits prêts à l’emploi

Le développement et la diffusion de malwares ne sont plus réservés à quelques experts. Aujourd’hui, tout se vend sur des forums underground ou des places de marché spécialisées : virus “clé en main”, kits de phishing, exploit packs, crypters, services d’hébergement, etc.

Kits de malwares et exploit packs

Un exploit kit est un outil permettant d’infecter automatiquement les visiteurs d’un site web en exploitant les failles de leurs navigateurs ou plugins (PDF, Flash, Java, etc.). Ces kits incluent souvent :

• un panneau d’administration (avec statistiques de réussite)
• des modules mis à jour selon les failles disponibles
• la possibilité de rediriger selon le pays ou l’horaire

Ces kits s’achètent sur commande ou par abonnement, comme un logiciel classique. Leur but : maximiser le taux d’infection sur des sites compromis ou piégés.

Voici un exemple d’interface graphique du WebExploitKit BlackHole très actif autour de 2011.
Le type d’exploits, le taux de chargement réussi, les versions de Windows, pays et informations sur le navigateur internet sont fournis.

Voici un autre exemple, ce groupe propose la vente d’un outil « Multisploit tool » qui permet de créer des macros malveillantes visant Office.
Un autre groupe peut l’utiliser pour diffuser son malware ou un malware acheté.

Crypters, binders, packers : contourner les antivirus

Un crypter permet de rendre un malware indétectable temporairement par les antivirus.
Les créateurs de malwares s’en servent pour “emballer” leur code malveillant de manière à échapper aux signatures classiques.

Certains services proposent même des crypters en version premium, avec options de test automatique contre plusieurs antivirus (FUD – Fully Undetectable).

Ce marché permet à des utilisateurs sans grande compétence technique de diffuser des malwares qui passent sous les radars, au moins pendant quelques jours.

Phishing packs et fausses pages

Les “phishing packs” contiennent :

• une fausse page de connexion à une banque, un service de messagerie, ou un réseau social
• un script de collecte de données
• un tutoriel de mise en ligne

Le tout est prêt à être déployé, vendu à l’unité ou en bundle.

Groupes spécialisés et services à la carte

Contrairement à l’image du “pirate solitaire”, la majorité des cybercriminels opèrent en groupe, avec une répartition claire des rôles. Chaque groupe peut se spécialiser dans une partie de la chaîne : développement, distribution, infection, exploitation ou support technique.

Développement de malwares

Certains groupes créent des malwares sur mesure :

• trojans bancaires
• stealers (vols de mots de passe)
• ransomwares
• bots pour réseaux sociaux ou plateformes de jeux

Une fois développés, ces malwares sont revendus ou loués à d’autres groupes.

Distribution et infection

D’autres groupes sont spécialisés dans la diffusion des malwares. Ils :

• achètent ou infectent des sites web
• intègrent les malwares à des faux cracks ou torrents
• utilisent des réseaux publicitaires pour diffuser des pièges (malvertising)
• organisent des campagnes de spam ou de phishing

Ils sont souvent rémunérés selon le nombre d’installations réussies (PPI).

Services sur commande

De nombreux services sont proposés à la carte :

• Location de botnets
• Envoi massif d’emails piégés
• Création de faux sites de téléchargement
• Hébergement « bulletproof » (tolérant les activités malveillantes)
• Test de détection antivirus

Certains groupes proposent même un support client via Telegram, forums ou messageries chiffrées.

Hébergement, domaines, serveurs : le support invisible

Pour qu’un malware puisse être distribué, exécuté ou contrôlé à distance, il lui faut une infrastructure technique fiable : serveurs, hébergement web, noms de domaine, panneaux de contrôle… Autant d’éléments souvent négligés dans l’analyse, mais essentiels au fonctionnement du cybercrime.

Noms de domaine et hébergement “bulletproof”

Les cybercriminels utilisent des hébergeurs ou registrars peu regardants (souvent situés hors d’Europe ou dans des juridictions laxistes) pour :

• héberger leurs pages piégées (phishing, faux téléchargements…)
• déployer des serveurs de commande et contrôle (C&C)
• enregistrer des noms de domaine à rotation rapide

Ces hébergements “bulletproof” sont spécialement conçus pour résister aux demandes de fermeture, même en cas de signalement.
Certains forums underground proposent des offres d’hébergement spécifiquement “compatibles malwares”, avec support technique 24h/24.

Infrastructure redondante et dynamique

Les campagnes d’infection s’appuient souvent sur des systèmes dynamiques :

• changement automatique d’adresse IP ou de domaine (Fast flux)
• redirection selon l’horaire, la géolocalisation ou la langue
• infrastructure décentralisée (parfois hébergée chez des particuliers à leur insu)

Cela rend les campagnes plus difficiles à bloquer ou à démanteler.

Le jeu du chat et de la souris

Chaque jour, les éditeurs d’antivirus ou les CERT ferment ou blacklistent des centaines de domaines et serveurs malveillants.
Mais, de nouveaux apparaissent aussitôt : le coût de création est faible et l’efficacité d’une campagne dépend souvent de sa durée de vie (quelques heures ou jours suffisent à générer des gains).

Réseaux d’affiliation (Trafic Management Systems)

Pour maximiser la diffusion de leurs malwares, certains groupes cybercriminels mettent en place des réseaux d’affiliation, appelés “Trafic Management Systems” (TMS).
Leur principe est simple : tout utilisateur qui réussit à infecter d’autres machines est rémunéré, selon le volume généré ou le type de victime ciblée.

Le fonctionnement d’un TMS

• Un affilié s’inscrit sur une plateforme TMS.
• Il reçoit un lien personnalisé (ex. : http://malware-domain.com/in.cgi?user123)
• Chaque clic sur ce lien redirige l’utilisateur vers une page contenant un exploit ou un malware
• Si l’infection réussit, l’affilié touche une commission (PPI, CPA ou revenu au clic)

Ces systèmes permettent de sous-traiter la distribution des malwares à une armée d’intermédiaires :
webmasters, influenceurs, administrateurs de forums, hackers, ou même de simples utilisateurs motivés par le gain.

Optimisation dynamique

Les TMS disposent souvent de fonctionnalités avancées :

• Redirection vers différents malwares selon la géolocalisation, l’heure, le système d’exploitation
• Rotation automatique des domaines pour échapper aux blacklists
• Suivi des performances (tableau de bord, taux d’infection, revenus générés)

Cela permet des campagnes flexibles, résistantes aux blocages, et hautement rentables.
De plus, une interface avec des statistiques est souvent proposée.

Exemples d’intégration

• Sites pornographiques ou de streaming : insertion de liens TMS dans les pages ou les lecteurs vidéos (ex : faux codecs)
• Sites piratés : inclusion de redirections via iframe ou JavaScript
• Publicités : intégration dans les bannières ou via des régies peu scrupuleuses

L’implication indirecte de certains acteurs du Web

Régies publicitaires et programmes douteux

De nombreuses infections passent aujourd’hui par la publicité — ce qu’on appelle le malvertising.
Des cybercriminels paient des régies pour diffuser :

• des bannières menant à des faux codecs ou des faux antivirus
• des redirections vers des sites piégés exploitant des failles
• des offres trompeuses pour des logiciels douteux

Certaines régies ne contrôlent pas suffisamment les annonces qu’elles diffusent, permettant ainsi à des contenus malveillants d’être affichés sur des sites parfaitement légitimes.
Chaque clic génère des revenus, pour le pirate comme pour la régie. Tant que cela rapporte, la modération reste souvent laxiste.

Registrars, hébergeurs laxistes ou complices

Le nom de domaine et l’hébergement sont essentiels pour faire fonctionner un malware (commandes à distance, redirections, serveurs de collecte…).
Certains hébergeurs ou registrars (souvent situés hors juridiction européenne) se montrent particulièrement :

• lents à répondre aux signalements
• peu regardants sur le contenu hébergé
• permissifs avec les abus

Ils deviennent ainsi des piliers logistiques involontaires de nombreuses campagnes malveillantes.

Exemples historiques : EastDomains, TodayNIC, BIZCN, Intercage/McColo…

Sites de téléchargement ou portails logiciels

Certains grands sites de téléchargement “gratuits” ont pu, par le passé, héberger ou relayer des installateurs contenant des PUPs (logiciels indésirables) voire des adwares ou des malwares déguisés.
Même s’ils ne créent pas ces menaces, ils en assurent la distribution massive, via des “bundles” intégrés à leurs installeurs.

Groupes de cybercrminels : une organisation en rôles bien distincts

Les groupes de cybercriminels les plus actifs ne fonctionnent pas seuls. Ils opèrent comme de véritables entreprises illégales, avec des équipes spécialisées selon les compétences, réparties autour de 4 pôles principaux.

Les développeurs et packers

Ces membres conçoivent les malwares eux-mêmes : trojans bancaires, ransomwares, stealers…
Ils créent également des packers et crypters pour rendre les malwares indétectables par les antivirus.
Ils utilisent des services de test (multi-antivirus ou sandbox) pour s’assurer que le malware passe sous les radars le plus longtemps possible.

Comment les malwares se cachent des antivirus

Les diffuseurs (distributeurs)

Ils s’occupent de propager les malwares à grande échelle, via :

• des campagnes de phishing,
• des malvertising,
• des sites compromis,
• ou des réseaux d’affiliation (PPI/TMS).

Leur objectif : infecter le plus de machines possible, rapidement.

Les administrateurs réseau

Ils assurent la mise en place et la maintenance de l’infrastructure :

• serveurs C&C (commandes à distance),
• hébergements “bulletproof”,
• rotation de domaines et IP,
• protection contre les blocages et les interruptions.

Ils travaillent souvent dans l’ombre, mais sans eux, aucune opération ne peut tenir sur la durée.

Les mules financières

Ce sont des individus chargés de récupérer l’argent volé, souvent sans comprendre l’ampleur de l’opération.
Ils sont recrutés par des campagnes de phishing ou d’arnaques à l’emploi (“travailler depuis chez vous”, “assistant de transfert de fonds”, etc.).

Une fois recrutés, ils reçoivent de l’argent sur leur compte, qu’ils doivent ensuite retransférer vers d’autres comptes ou retirer en espèces — contre une commission.
Ce système permet de dissiper la traçabilité des flux financiers.

Conclusion : professionnalisation, argent, et banalisation

Les malwares ne sont plus des blagues de hackers. Ils sont devenus les outils d’une économie parallèle bien réelle, structurée autour d’un objectif unique : gagner de l’argent.

Botnets, ransomwares, scarewares, adwares, phishing, vol de données… tous ces mécanismes ont été industrialisés, automatisés et intégrés à un écosystème criminel sophistiqué. Aujourd’hui, n’importe qui peut acheter un kit de malware, louer un service de distribution, et monétiser les infections — sans compétence technique particulière.

Ce phénomène s’est banalisé, au point que des entreprises légitimes en bénéficient indirectement :
régies publicitaires, hébergeurs peu regardants, revendeurs de données, et parfois même des éditeurs de logiciels opportunistes.

Ce qu’il faut retenir :

• Le business du malware n’est pas une exception, c’est une industrie rentable.
• Les victimes sont souvent des utilisateurs ordinaires, ciblés pour leur naïveté, leur passivité ou leur absence de vigilance.
• La sécurité ne repose pas uniquement sur des logiciels, mais sur une bonne compréhension des risques numériques.

L’article Le business des malwares : comment les cybercriminels gagnent de l’argent avec les infections est apparu en premier sur malekal.com.

Parmi les nombreuses menaces qui circulent sur Internet, le Trojan Downloader se distingue par sa discrétion et sa dangerosité indirecte. À lui seul, ce malware n’endommage pas immédiatement votre système ni vos fichiers. Pourtant, il joue un rôle crucial dans les attaques informatiques modernes : il est chargé de télécharger et d’installer d’autres malwares plus destructeurs, comme des ransomwares, chevaux de Troie bancaires, spyware ou logiciels d’accès à distance.

Souvent diffusé par pièces jointes piégées, logiciels piratés ou publicités malveillantes, le Trojan Downloader s’exécute silencieusement en arrière-plan, établit une connexion avec un serveur distant, et livre les charges malveillantes choisies par les cybercriminels. Il constitue ainsi le premier maillon d’une chaîne d’infection, et l’un des plus critiques.

Dans cet article, vous allez découvrir :

• Ce qu’est un Trojan Downloader et comment il fonctionne,
• Les exemples les plus connus ayant marqué l’actualité,
• Pourquoi il est si redouté par les spécialistes en cybersécurité,
• Et surtout, comment s’en protéger efficacement.

Qu’est-ce qu’un Trojan Downloader ?

Un Trojan Downloader (ou cheval de Troie téléchargeur) est un type de malware spécialisé dans le téléchargement et l’installation d’autres logiciels malveillants sur l’ordinateur infecté. Contrairement à un cheval de Troie classique qui peut être conçu pour voler des données ou contrôler la machine directement, le downloader agit comme un “agent de livraison” silencieux. Son rôle principal est de préparer le terrain pour des menaces plus graves, comme des ransomwares, des spywares, des chevaux de Troie bancaires ou des logiciels d’accès à distance (RAT).

Souvent de petite taille, il passe inaperçu à l’installation et reste actif en arrière-plan. Une fois lancé, il établit une connexion avec un serveur distant (C2) pour récupérer les charges utiles, qui seront ensuite exécutées automatiquement sur le système, sans intervention de l’utilisateur.

Il fait partie des malwares les plus utilisés dans les campagnes de phishing ou dans les chaînes d’infection complexes. Le Trojan Downloader est souvent le premier maillon d’une attaque plus large, et c’est pourquoi il est particulièrement redouté : il ne fait “rien de visible” à première vue, mais ouvre la porte à tout le reste.

Fonctionnement technique d’un Trojan Downloader

Le Trojan Downloader agit de manière furtive et méthodique. Son objectif principal est de télécharger puis exécuter d’autres malwares sur la machine infectée, le plus souvent à l’insu de l’utilisateur. Voici les principales étapes de son fonctionnement :

Infection initiale

Le Trojan Downloader est généralement distribué via des vecteurs classiques :

• Phishing : pièce jointe malveillante (les virus Office, archive ZIP),
• Téléchargement de logiciels piratés (cracks, keygens),
• Publicités piégées (malvertising) ou faux installateurs,
• Exécutables déguisés (fichier invoice.exe présenté comme une facture, par exemple).

→ Les Virus et Trojan : comment ils infectent les PC

Une fois que l’utilisateur ouvre le fichier, le trojan s’exécute discrètement en arrière-plan.

Connexion au serveur distant

Après s’être lancé, le Trojan Downloader établit une connexion sortante avec un serveur de commande (C2) contrôlé par l’attaquant. Cette communication peut se faire :

• en HTTP/HTTPS (requêtes classiques vers des URLs codées ou dynamiques),
• en protocole personnalisé (plus difficile à détecter),
• parfois via réseaux P2P pour éviter les coupures de serveur.

Le trojan peut récupérer une liste de malwares à télécharger depuis son serveur C2, avec les URLs, signatures ou instructions associées. Dans certains cas, l’adresse du fichier à télécharger est déjà contenue dans le code du trojan : elle peut être codée en dur ou générée dynamiquement à l’exécution, par exemple via une fonction de construction d’URL.

Téléchargement de la charge utile (payload)

Le Trojan Downloader télécharge ensuite un ou plusieurs fichiers malveillants depuis le serveur distant :

• ransomware,
• spyware,
• keylogger,
• cheval de Troie bancaire,
• outil d’accès à distance (RAT),
• ou une nouvelle version de lui-même (mise à jour).

Ces fichiers sont souvent chiffrés ou compressés pour éviter la détection par les antivirus.

Exécution et installation

Une fois les fichiers récupérés, le downloader les exécute immédiatement ou les installe via :

• des scripts temporaires (PowerShell, VBS…),
• l’injection dans un processus système,
• ou en copiant les fichiers dans des dossiers système avec un point de chargement (autorun) pour la persistance (Run/RunOnce, services, tâches planifiées…).

Le downloader peut ensuite s’effacer lui-même pour masquer son rôle dans la chaîne d’infection.

Exemples concrets de Trojan Downloaders connus

Plusieurs Trojan Downloaders célèbres ont été massivement utilisés dans des attaques à grande échelle, souvent comme première étape avant le déploiement d’un ransomware ou d’un malware bancaire.

Upatre (2013–2016)

L’un des premiers Trojan Downloaders largement utilisés dans des campagnes de malspam. Il était souvent distribué via des pièces jointes .ZIP contenant des exécutables déguisés, et servait principalement à télécharger le cheval de Troie bancaire Zeus ou le ransomware CryptoLocker.

Gamarue / Andromeda (2011–2017)

Utilisé dans des kits d’exploitation ou campagnes de spam, Gamarue était un downloader modulaire qui pouvait installer divers malwares selon le profil de la victime. Il a été démantelé en 2017 lors d’une opération conjointe entre Microsoft et le FBI.

Kovter (2014–2020)

Évoluant du simple adware au trojan downloader furtif, Kovter utilisait des techniques de persistance dans le registre Windows uniquement (sans fichier sur disque), rendant sa détection complexe. Il servait à télécharger des ransomwares ou des logiciels publicitaires à grande échelle.

Smoke Loader (depuis 2011 – actif en 2025)

Toujours en activité, Smoke Loader est utilisé dans des campagnes massives de malspam, souvent couplé à d’autres malwares. Il se distingue par sa légèreté et sa capacité à enchaîner les téléchargements de charges utiles (ransomware, RAT, miner…).

Emotet (2014–2021, réapparu brièvement en 2022)

Initialement un trojan bancaire, Emotet est rapidement devenu l’un des downloaders les plus puissants et distribués au monde. Il infectait les victimes via des documents Word piégés, et téléchargeait des malwares comme TrickBot, Qbot, ou des ransomwares comme Ryuk. Son infrastructure a été démantelée début 2021 par Europol, mais des variantes ont refait surface.

Trojan JavaScript / VBS : simple, discret, efficace

En parallèle des exécutables .exe ou des fichiers macro, les trojans écrits en JavaScript (.js) ou en VBScript (.vbs) sont encore aujourd’hui très utilisés dans les campagnes de phishing. Leur force réside dans leur simplicité d’exécution et leur capacité à contourner certains filtres de messagerie, surtout quand ils sont compressés dans des archives .ZIP.

Comment ils fonctionnent :

• L’utilisateur reçoit un e-mail avec un objet générique du type « Facture », « Document important », ou « Relance de paiement ».
• La pièce jointe est souvent une archive .zip contenant un fichier document.js ou fichier.vbs.
• Dès l’ouverture, le script télécharge en arrière-plan un exécutable depuis un serveur distant (fréquemment via wget, bitsadmin, ou powershell Invoke-WebRequest).
• Il lance ensuite automatiquement l’exécutable téléchargé, qui peut être un ransomware, un RAT ou un autre downloader.

Ces scripts ne nécessitent aucune élévation de privilèges et s’exécutent simplement si l’utilisateur double-clique, ce qui les rend extrêmement efficaces, notamment dans des environnements peu protégés.

Pourquoi un Trojan Downloader est-il dangereux ?

Le Trojan Downloader est souvent sous-estimé, car, à lui seul, il ne vole pas directement vos données, ne chiffre pas vos fichiers et ne prend pas le contrôle de votre webcam. Pourtant, il représente une menace majeure dans la chaîne d’infection, comme il ouvre la porte à des malwares bien plus destructeurs.

Voici pourquoi il est particulièrement dangereux.

Il agit en toute discrétion :

Un Trojan Downloader est généralement léger, silencieux, et sans effets visibles immédiats. Il peut s’exécuter en arrière-plan sans ralentir le système ni provoquer d’alerte. De nombreux utilisateurs ne se rendent compte de sa présence qu’après l’installation du vrai malware (ransomware, cheval de Troie bancaire, etc.).

Il installe des menaces bien plus graves :

Son rôle est de télécharger et exécuter d’autres malwares, ce qui signifie qu’une seule infection peut entraîner en cascade :

• le vol de données confidentielles (mots de passe, fichiers),
• l’installation d’un ransomware qui chiffre tout le système,
• l’espionnage via un RAT (Remote Access Trojan),
• ou l’intégration à un botnet utilisé pour des attaques DDoS ou du spam massif.

Il peut réinjecter des malwares après nettoyage :

Certains downloaders restent résidents ou se réinstallent via une tâche planifiée ou un point de démarrage. Résultat : même après avoir supprimé les malwares visibles, le downloader peut réinstaller la menace au redémarrage suivant.

Il est difficile à détecter :

• Il utilise souvent des techniques de dissimulation : noms de fichiers trompeurs, répertoires système, extensions masquées…
• Il peut employer un chiffrement ou une obfuscation de son code ou de ses communications avec le serveur.
• Les antivirus ne le détectent pas toujours s’il est scripté (JavaScript, VBS) ou personnalisé pour une campagne ciblée.

Il peut adapter son comportement à la cible :

Certains Trojan Downloaders avancés sont capables de collecter des informations sur la machine infectée (langue, localisation, type de système, présence d’un antivirus…) avant de choisir quelle charge malveillante installer. Cette approche dynamique rend leur action plus efficace et ciblée.

Comment se protéger d’un Trojan Downloader

Comme le Trojan Downloader agit en amont de l’infection principale, le bloquer à temps permet souvent d’éviter tout le reste de la chaîne d’attaque : ransomware, espionnage, vol de données… Voici les meilleures pratiques à adopter pour s’en protéger efficacement.

• Vigilance face aux e-mails et pièces jointes :
  • Ne jamais ouvrir de pièce jointe inattendue, même si l’expéditeur semble connu.
  • Se méfier des fichiers .zip, .js, .vbs, .lnk, .docm, .xlsm : ce sont des formats classiques pour les malwares.
  • Désactiver l’exécution automatique des macros dans Microsoft Office.
  • Toujours afficher les extensions de fichiers dans l’Explorateur Windows pour repérer les noms trompeurs (Facture.pdf.exe, etc.).
• Filtrer les connexions sortantes suspectes :
  • Activer et configurer un pare-feu efficace (Windows Firewall ou solution tierce).
  • Surveiller les connexions sortantes anormales vers des domaines inconnus (à l’aide de logiciels comme GlassWire, TCPView ou Wireshark).
  • En entreprise : utiliser un proxy ou un filtre DNS (ex. NextDNS, Quad9, OpenDNS avec filtrage) pour bloquer les domaines C2 connus.
• Utiliser une protection antivirus/EDR à jour
• Maintenir le système et les logiciels à jour pour combler failles logicielles
• Faire une analyse complète du système avec votre antivirus une fois par semaine.

L’article Comprendre le Trojan Downloader : rôle, fonctionnement, exemples, protection est apparu en premier sur malekal.com.

Parmi les menaces les plus avancées et les plus difficiles à détecter, le bootkit occupe une place à part. Ce type de malware s’attaque à une phase critique du système : le démarrage de l’ordinateur, avant même que Windows ne soit chargé. En infectant le MBR (Master Boot Record) ou le firmware UEFI, un bootkit peut prendre le contrôle du PC dès l’allumage, cacher d’autres malwares et désactiver les protections de sécurité, tout en restant pratiquement invisible pour les antivirus classiques.

Dans cet article, nous allons vous expliquer :

• ce qu’est un bootkit et comment il fonctionne,
• pourquoi il est si difficile à détecter et à supprimer,
• quels sont les exemples les plus connus (TDL4, BlackLotus, Petya…),
• et comment vous protéger efficacement, notamment grâce au Secure Boot et à l’UEFI.

J’ai donc synthétisé pour vous tout ce qu’il faut savoir dans ce guide complet qui vous donnera une vue complète sur cette menace extrêmement furtive, mais bien réelle.

Qu’est-ce qu’un bootkit ?

Un bootkit (contraction de bootloader et rootkit) est un type de malware qui s’infiltre dans la phase de démarrage du système, bien avant que Windows ou tout autre OS ne soit complètement chargé. Il cible généralement :

• le secteur de démarrage (MBR) sur les anciens systèmes,
• ou le bootloader UEFI (EFI/ESP) sur les machines modernes.

Une fois installé, le bootkit peut dissimuler d’autres malwares, prendre le contrôle total du système, et intercepter des fonctions système critiques, tout en restant pratiquement invisible.

Comment fonctionne un bootkit et pourquoi sont-ils si difficiles à détecter ?

Un bootkit agit dès le démarrage de l’ordinateur, avant même que l’antivirus ou le noyau de Windows ne soient actifs. Il s’insère dans la chaîne de démarrage et charge un code malveillant en mémoire, qui peut ensuite :

• injecter des composants malveillants dans le noyau (kernel),
• contourner les contrôles d’intégrité,
• cacher des fichiers, processus ou connexions réseau.

Ce fonctionnement bas-niveau permet au bootkit de prendre la main avant que les protections du système ne soient en mesure de le détecter. Il est donc très difficile à repérer et encore plus compliqué à supprimer sans un accès direct au firmware ou un environnement de secours.

Ainsi, les bootkits ne s’exécutent pas dans le cadre normal du système d’exploitation. Cela signifie que :

• les outils antivirus classiques ne peuvent pas les analyser, puisqu’ils sont actifs avant leur propre lancement,
• certains bootkits utilisent des signatures numériques valides, leur permettant de contourner Secure Boot,
• ils peuvent survivre à un formatage ou à une réinstallation de l’OS, si le secteur de démarrage ou le firmware n’est pas réinitialisé.

Que peut faire un bootkit ?

Les capacités d’un bootkit varient selon les cas, mais elles incluent généralement :

• l’espionnage (keylogger, interception de trafic, vol d’identifiants),
• le contrôle total du système, y compris l’élévation de privilèges,
• la persistance extrême, même après un formatage classique,
• l’installation silencieuse d’autres malwares (trojans, ransomwares…),
• la manipulation de fonctions système, rendant la machine instable ou totalement compromise.

Certains de ces bootkits visaient le vol d’informations (TDL4, Rovnix), d’autres étaient conçus pour un impact destructif (Petya, NotPetya), tandis que les plus récents (BlackLotus, CosmicStrand) visent à cacher leur présence tout en servant de base à d’autres malwares (ransomware, spyware, etc.).

Exemples de bootkits connus

En MBR

Le MBR (Master Boot Record) était historiquement plus vulnérable aux attaques de bootkits pour plusieurs raisons techniques et structurelles :

• Absence de vérification d’intégrité : Le BIOS (ancien firmware des PC) chargeait le MBR sans vérifier sa légitimité. Il n’existait ni signature cryptographique, ni système de validation par le constructeur
• Facilité d’écriture pour un malware : Un malware pouvait utiliser des commandes système simples (\\.\PhysicalDrive0) pour écrire directement dans le MBR, sans besoin de privilèges élevés, ni alerte sécurité
• Pas de Secure Boot à l’époque du MBR

De ce fait, de nombreux boookits ont vu le jour à partir de 2010.

TDL4 (Alureon) est un des bootkits les plus répandus dans les années 2010. Il infectait le MBR pour charger un rootkit au démarrage, permettant de cacher des fichiers, détourner le trafic réseau et désactiver les protections système. TDL4 représentait une menace durable sur Windows XP et Windows 7.

Rovnix est une autre menace de ce type modulaire découvert vers 2012. Il injectait du code dans le MBR et utilisait des techniques de persistance avancées. Il ciblait principalement les données bancaires, en interceptant les sessions de navigation.

Un cas très particulier : Petya est avant tout un ransomware, mais sa particularité est qu’il modifiait le MBR pour bloquer l’accès au système dès le démarrage. Plutôt que de chiffrer les fichiers individuellement, il remplaçait le bootloader Windows par un faux écran de vérification de disque, puis chiffrer la table MFT (Master File Table) du disque.
Même si ce n’est pas un bootkit classique (car il ne se cache pas et ne cherche pas à persister), Petya utilise les techniques des bootkits pour prendre le contrôle avant Windows, et en cela, il représente un cas hybride.

En UEFI

L’UEFI ajoute des mécanismes de sécurité qui visent à rendre l’installation de bootkit plus difficile.
Toutefois, des bootkits UEFI existent.

LoJax a été découvert en 2018 par les chercheurs d’ESET. Il s’agit du premier malware UEFI observé à l’état sauvage, utilisé dans une campagne ciblée d’espionnage attribuée au groupe de cyberespionnage APT28 (Fancy Bear), lié à la Russie.
LoJax ne s’attaquait pas au système Windows directement, mais au firmware UEFI, en modifiant le contenu de la partition système EFI (ESP).

Le bootkit CosmicStrand, découvert dans le firmware de cartes mères modifiées, ce bootkit UEFI injecte un malware en mémoire lors du boot. Il prouve que les pirates peuvent compromettre un PC dès le firmware, même si le disque est remplacé ou Windows réinstallé.

Puis BlackLotus , l’un des bootkits UEFI les plus redoutés. Il exploite une faille (CVE-2022-21894) pour désactiver Secure Boot, bypasser BitLocker, et installer une charge persistante dès le démarrage. Il fonctionne même sur des machines modernes entièrement à jour. Il s’agit d’un malware vendu à l’origine sur les forums underground, signalant un tournant dans la sophistication des bootkits UEFI.

Comment s’en protéger ?

La meilleure défense contre les bootkits repose sur une combinaison de bonnes pratiques, de paramétrage firmware et de technologies modernes.

Activer Secure Boot

Les bootkits tirent leur force du fait qu’ils s’exécutent avant le système d’exploitation, en s’insérant dans le processus de démarrage (MBR ou UEFI). Pour contrer cette menace, Microsoft a introduit, à partir de Windows 8, deux mécanismes complémentaires : Secure Boot et ELAM (Early Launch Anti-Malware). Ensemble, ils forment une chaîne de confiance conçue pour empêcher tout code non autorisé de s’exécuter au démarrage.

Secure Boot est une fonctionnalité de l’UEFI qui vérifie, au moment du démarrage, que chaque composant chargé (bootloader, noyau, drivers critiques) est signé numériquement par un éditeur approuvé (Microsoft ou OEM).
Si un fichier EFI a été modifié ou s’il ne possède pas de signature valide, le firmware bloque son exécution (Security Violated).
Cela vise notamment à corriger le problème d’absence de vérification d’intégrité présent dans MBR.

ELAM (Early Launch Anti-Malware) est un pilote antivirus spécial lancé avant les pilotes tiers lors du démarrage de Windows.
Son rôle est de scanner les pilotes qui se chargent très tôt (y compris ceux injectés par un bootkit) et de bloquer ceux qui sont malveillants ou suspects.
Même si un bootkit contourne Secure Boot ou s’insère plus loin dans la chaîne de démarrage, ELAM peut intercepter son action au moment où il tente d’injecter un composant malveillant dans le noyau de Windows.

C’est une défense essentielle pour empêcher le chargement de code non autorisé au démarrage.
Cela fait partie de la stratégie de Microsoft pour rendre son OS plus sûr.
Plus de détails : Windows 11 et 10 : évolutions des protections de sécurité intégrées contre les virus et malwares
Enfin, à lire : Qu’est-ce que le Secure boot la protection des PC UEFI et comment ça marche ?

Maintenir le firmware à jour

Les fabricants de cartes mères publient régulièrement des mises à jour UEFI/BIOS pour corriger des failles exploitables par des bootkits.

Il est donc recommandé de :

• Maintenir à jour le BIOS est donc essentiel
• Installez les mises à jour de sécurité de Windows. Microsoft peut publier des mises à jour du firmware EFI via Windows Update
• Installez les mises à jour proposées dans les outils des fabricants de PC OEM

Utiliser un antivirus avec protection UEFI

Certains antivirus avancés (comme ESET, Kaspersky, Bitdefender ou Windows Defender sur machines compatibles) scannent le firmware UEFI pour détecter d’éventuelles modifications.

Éviter les ISO ou installeurs non vérifiés

Les bootkits peuvent être installés via des supports compromis : clés USB modifiées, ISO piégés, ou systèmes pré-infectés.
Le risque notamment est lorsque l’on installe une version modifiée de Windows.
Vous n’êtes pas certains que l’auteur y a inséré un malware et notamment un bootkit.

Toujours utiliser des sources officielles.

Utiliser des outils spécialisés de détection

Des outils comme UEFItool, CHIPSEC, ou des antivirus à démarrage sécurisé (bootables) peuvent analyser l’intégrité du firmware.

Comment supprimer un bootkit ?

La suppression d’un bootkit est complexe et dépend du type de système infecté :

• Pour les anciens systèmes MBR : réinitialiser le MBR, puis formater complètement le disque.
• Pour les systèmes UEFI : réinitialiser le BIOS/UEFI aux paramètres d’usine, flasher le firmware si nécessaire, puis réinstaller l’OS avec Secure Boot actif.

Dans certains cas, utilisez des outils de secours bootables, comme :

• Microsoft Defender Offline,
• ESET SysRescue Live,
• ou un LiveCD Linux spécialisé dans l’analyse firmware.

Rootkit et bootkit : quelle est la différence ?

Un rootkit est un malware furtif qui s’exécute dans le système d’exploitation, souvent au niveau noyau (kernel mode), et qui sert à masquer d’autres fichiers, processus ou connexions. Il se charge après Windows.
Au tour des années 2007, il fallait utiliser des outils comme GMER ou TDSKiller de Kaspersky pour détecter ce type de malware.
De son côté, un bootkit, lui, est une extension du rootkit, mais encore plus bas niveau : il s’infiltre dans le processus de démarrage, avant Windows, ce qui lui donne un contrôle total sur la machine dès l’allumage.

Critère	Rootkit	Bootkit
Emplacement	Noyau de Windows, pilotes, services, registre	MBR, secteur de démarrage, firmware UEFI
Moment d’exécution	Après le démarrage du système (post-boot)	Avant ou pendant le démarrage du système (pre-boot)
Objectif principal	Cacher d’autres malwares, manipuler le système	Contrôler la phase de boot, injecter du code très tôt
Mode d’action	Injection dans des processus ou des pilotes	Remplacement ou modification du bootloader
Furtivité	Très élevée, mais dépend de la version de l’OS	Extrême : le malware agit avant que le système ne se charge
Persistance	Persistant jusqu’à nettoyage ou désactivation	Peut survivre à un formatage de disque
Détection	Possible avec outils avancés (antirootkits, EDR)	Très difficile sans analyse firmware ou scan UEFI

L’article Bootkit : malware du démarrage, comment il fonctionne et comment s’en protéger est apparu en premier sur malekal.com.

Lorsque votre antivirus signale une menace, il affiche souvent un nom technique comme Trojan.GenericKD, PUA:Win32/Presenoker ou encore Backdoor.Win32.Agent. Ces noms peuvent sembler obscurs, mais ils reflètent le type exact de menace détectée, son comportement ou sa méthode d’infection. Chaque éditeur antivirus (Microsoft Defender, Kaspersky, Bitdefender, Malwarebytes, etc.) utilise sa propre nomenclature, parfois générique, parfois très précise.
Cela peut aussi être le cas à la suite d’une analyse sur VirusTotal.

Ce guide regroupe et classe les exemples de détections les plus courantes, organisées en tableaux clairs par type de menace :

• Trojans chevaux de Troie téléchargeurs et voleurs de données,
• Backdoors à accès distant,
• PUP/PUA (logiciels potentiellement indésirables),
• Adwares injectant des publicités ou des redirections,
• Scripts malveillants (JavaScript, macros Office), etc.

L’objectif de cet article est de vous aider à identifier rapidement la nature d’une alerte, comprendre si elle est sérieuse, et prendre les bonnes décisions en cas de détection.
Que vous soyez simple utilisateur ou technicien, ce récapitulatif vous offre une vue concrète des menaces détectées en 2025 par les principales solutions de sécurité.

En parallèle, vous pouvez lire ce guide pour mieux comprendre les types de menaces informatiques : Liste des menaces informatiques : Virus, Trojan, Backdoor, Adware, Spywares, etc

Détections de PUP/PUA (logiciels potentiellement indésirables)

Les PUP sont souvent installés en bundle avec des programmes gratuits, via des installateurs modifiés ou douteux.
Il peut aussi s’agir de logiciel classé comme indésirable (optimiseur système, collecte de données).
Ils ne sont pas toujours dangereux, mais peuvent nuire à la performance ou manipuler la navigation.

Exemple de détection	Exemples	Antivirus
PUA:Win32/XXXXX	PUA:Win32/Presenoker PUA:Win32/InstallCore	Microsoft Defender
PUP.Optional.XXXX PUA.Optional.BundleInstaller	PUA.Optional.BundleInstaller PUP.Optional.DriverUpdate	Malwarebytes
PUA.XXXXX Generic.PUA.2FileDownload.A	PUA.systemcheckup	Bitdefender
Not-a-virus:HEUR:AdWare.Win32.XXXX	Not-a-virus:HEUR:AdWare.Win32.Searcher	Kaspersky
Win32:XXXX-X [PUP]	Win32:UnwRAP-X [PUP]	Avast/AVG
PUA/XXXXX	PUA/InstallCore.Gen	ESET

Scénario possible : votre antivirus détecte un Setup qui se trouve dans votre dossier de Téléchargement.
Autre cas, vous avez installé un logiciel peu fiable détecté comme tel.

Détections d’adwares (publicité intrusive)

Les adwares (logiciels publicitaires) sont des programmes qui affichent de la publicité de manière intrusive sur votre système ou dans votre navigateur. Ils peuvent se manifester par des pop-ups, des redirections automatiques vers des sites sponsorisés, ou l’injection de bannières dans des pages web normales. Bien qu’ils ne soient pas nécessairement classés comme malveillants, leur présence perturbe souvent l’expérience utilisateur, ralentit le système, et peut poser des risques de confidentialité.

Détection	Exemple de détection	Antivirus
Adware:Win32/XXXX Adware:JS/XXXXX.A	Adware:Win32/FusionCore Adware:JS/Adposhel.A Adware:JS/FakeAlert	Microsoft Defender
Adware.XXXXX	Adware.SwiftBrowse Adware.Elex	Malwarebytes
Adware.GenericKD.###		Bitdefender
Adware.Win32.Agent	Adware.Agent.BYI	Kaspersky
Adware.Generic.XXXX	Adware.Generic.279974	ESET

Scénario possible : identique au PUP, sauf dans le cas où l’adware est déjà actif dans le système.

Scripts JavaScript malveillants (injections, redirections, crypto-jacking)

Ces scripts sont souvent injectés dans des pages compromises ou des publicités frauduleuses afin d’infecter les PC des internautes.
Ces scripts injectés dans des pages (publicités, iframe, JavaScript à distance) sont souvent bloqués par le filtrage web, avant même que l’antivirus n’intervienne au niveau fichier.

Détection	Exemple/Description	Antivirus
Trojan:HTML/Phish.XXX!YYY Trojan:HTML/Redirector.XXX	Trojan:HTML/Phish.JA!MTB Trojan:HTML/Redirector.NY	Microsoft Defender
JS:Downloader-XXX [Trj] HTML:Script-Inf Trojan.Script.Heuristic-JS JS:ScriptPE-inf [Trj]	Script JavaScript d’obfuscation menant à une infection	Avast/AVG
JS:Miner-C [Trj] HTML:CoinMiner-EM [Trj]	Script JavaScript injecté pour miner des cryptomonnaies	Avast/AVG
Trojan.JS.Redirector Trojan.JS.Agent.XXXX JS:Trojan.XXXX.YYYY Trojan.JS.Miner.gen	JS:Trojan.Cryxos.4572 Trojan.JS.Agent.fpu	Bitdefender
HEUR:Trojan.Script.Generic HEUR:Trojan.Script.Redirector HEUR:Trojan.Script.Miner.gen		Kaspersky

Scénario possible : vous avez visité un site piraté et l’antivirus bloque le script malveillant placé par le cybercriminel. Autre cas, vous avez téléchargé une pièce jointe malveillante depuis un email.
Dans le premier cas, la détection peut cibler le cache internet du navigateur, et donc l’infection n’est pas active.
Vérifiez l’emplacement de la détection. Vider le cache internet ou réinitialiser son navigateur WEB peut aider à arrêter ces détections.

Trojan Downloader (chargement de payload à distance)

Cette détection désigne un fichier malveillant conçu pour télécharger et installer d’autres malwares à partir d’un serveur distant, sans l’accord de l’utilisateur. Il s’agit d’une détection générique utilisée lorsqu’un comportement de type « downloader » est observé (par exemple, un script ou exécutable qui établit une connexion vers une URL externe et tente de récupérer un second fichier malveillant).

Détection	Exemple	Antivirus
Trojan:Win32/XXXXX	Trojan:Win32/Emotet.A Trojan:Win32/Occamy.AA	Microsoft Defender
Trojan.Downloader.Generic Trojan.Agent.Downloader MalPack.Downloader.###		Malwarebytes
JS:Downloader-XXX	JS:Downloader.PB JS:Downloader-LQB [Trj]	Avast/AVG
Trojan.Downloader.Gen Trojan.GenericKD.Downloader		Bitdefender
Downloader.Agent!gen2		McAfee
Win32/TrojanDownloader.Agent Trojan.Downloader.XXXX	Trojan.Downloader.Small.BM	ESET

Scénario possible : vous avez téléchargé un crack et l’antivirus le bloque. Autre cas, un malware est déjà actif dans le système ou vous avez exécuté un fichier qui tente de l’installer.

Chevaux de Troie avec exfiltration ou backdoor (C2)

Ces menaces permettent un accès distant, la surveillance.

Détection générique	Exemple	Antivirus
Backdoor:Win32/XXXXXBladabindi	Backdoor:Win32/Bladabindi	Microsoft Defender
Backdoor.XXXX Backdoor.Bot.Gen (détection générique)	Backdoor.Qbot Backdoor.Agent.NOIP Glupteba.Backdoor.Bruteforce.DDS	Malwarebytes
Backdoor.Win32.XXXX	Backdoor:Win32/Remcos.GZZ!MTB (Famille Remcos) Backdoor.Win32.Agent.bla (plus générique)	Kaspersky
Backdoor.GenericKD.###	Backdoor.GenericKD.64149272	Bitdefender

Voici maintenant des détections de type Trojan.Stealer.
Soit donc en général, un cheval de Troie capable de donner l’accès à distance courant, permettant aux attaquants de prendre le contrôle, exfiltrer des données, déclencher des captures écran, des keyloggers, etc.
Ils sont conçus pour voler des informations personnelles, identifiants, mots de passe, cookies, données système, etc.

Détection	Exemple	Antivirus
TrojanSpy:Win32/Agent (La mention Spy n’est pas obligatoire)	Trojan:Win32/RedLine!MSR	Microsoft Defender
Trojan.Agent.Stealer Trojan.MalPack.Stealer Trojan.Generic.MSILStealer Spyware.PasswordStealer		Malwarebytes
Trojan.GenericKD.###		Bitdefender
Stealer.XXXXX JS/Spy.Agent.XXX	Stealer.Agent/Gen JS/Spy.Agent.AH	ESET
Infostealer	Infostealer.Gampass – cible les jeux Infostealer.RedLine (Famille RedLine)	Norton

Fichiers HTML/Office infectés (pièces jointes ou pages piégées)

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.

Ces fichiers exploitent souvent l’ingénierie sociale ou les vulnérabilités Office.
Exemple de détection	Antivirus	Description
Trojan:O97M/Agent.XXX	Microsoft Defender	Macro malveillante dans un document Word/Excel
HTML/Phishing.Agent.AB	ESET	Fichier HTML visant à voler des identifiants
DOC:Exploit.CVE-2017-11882	Avast	Exploitation d’une faille Office via fichier Word piégé

Scénario possible : la détection porte sur une pièce jointe malveillante.

Que signifient les noms de détection antivirus (Trojan.Agent, Generic, etc.)

Les noms de détection antivirus varient selon les éditeurs. Certains utilisent des appellations très générales, comme Generic, Agent ou Script, tandis que d’autres emploient des noms plus spécifiques, souvent basés sur la famille du malware ou son comportement.

Il faut également savoir que les antivirus modernes adaptent leurs détections en fonction du contexte et de l’analyse en temps réel. Un fichier peut d’abord être détecté de manière heuristique, puis reclassé plus précisément après passage en sandbox ou analyse via des systèmes d’intelligence cloud (Threat Intelligence).

Malwarebytes

Chez Malwarebytes, la nomenclature des détections est généralement plus descriptive que hiérarchisée, mais elle suit néanmoins une logique basée sur le type de menace, sa famille comportementale, et parfois sa technique d’obfuscation ou son objectif.

Une détection typique peut ressembler à : Trojan.Agent, Trojan.MalPack.Stealer, ou encore Adware.Generic.####

Ce qui donne :

• Préfixe : indique la catégorie de la menace
  Exemples :
  • Trojan. → cheval de Troie (accès à distance, stealer, downloader…)
  • Adware. → logiciel injectant de la publicité ou modifiant le navigateur
  • PUP. → programme potentiellement indésirable
  • Malware. ou MalPack. → détection générique basée sur le comportement
• Nom central : identifie le comportement ou la famille
  • Agent → désignation générique utilisée lorsqu’aucune famille précise n’est reconnue, ou que le comportement est modulaire
  • Stealer → indique un voleur d’informations
  • Downloader → menace qui télécharge un autre malware
  • Injector → injection de code dans des processus légitimes
• Suffixe éventuel : identifiant numérique ou indication d’analyse comportementale
  • Generic, Heur, ou un numéro de variante (Trojan.Agent.EDX)
  • Peuvent aussi signaler une détection basée sur un empaquetage (MalPack) ou une obfuscation avancée

Exemples concrets :

• Trojan.Agent → fichier présentant un comportement trojan, sans attribution de famille spécifique.
• Trojan.MalPack.Downloader → fichier compressé/obfusqué qui agit comme un téléchargeur distant.
• PUP.Optional.DriverUpdate → logiciel potentiellement indésirable proposant des mises à jour de pilotes, souvent classé comme trompeur.

Microsoft (Windows Defender)

Chez Microsoft Defender, les noms de détection suivent une structure relativement standardisée, permettant de comprendre en un coup d’œil le type de menace, sa plateforme cible et sa classification. Un nom de détection typique se présente sous la forme :

<type>:<plateforme>/<nom>.<variante>

Microsoft utilise aussi d’autres préfixes selon la nature de la menace :

• Backdoor: pour les accès à distance non autorisés,
• Ransom: pour les ransomwares,
• PUA: pour les applications potentiellement indésirables (Potentially Unwanted Applications),
• Exploit: pour les fichiers qui exploitent une vulnérabilité système,
• HackTool: pour les outils légitimes détournés à des fins malveillantes.

Par exemple : Trojan:Win32/Agent.WXYZ

• Trojan désigne le type de menace (ici un cheval de Troie),
• Win32 indique la plateforme ciblée, en l’occurrence Windows 32 bits (même si cela s’applique aussi à 64 bits par compatibilité),
• Agent est un nom générique de famille, souvent utilisé lorsque la menace est modulaire, indéterminée ou fait partie d’une classe connue de malwares,
• WXYZ est une variante, une signature spécifique ou un identifiant unique interne.

Enfin, certains noms se terminent par un suffixe comme !MTB, !ml ou !bit, indiquant une détection basée sur :

• !MTB → Machine-learned Threat Based (détection par IA / modèle comportemental),
• !ml → Machine Learning,
• !bit → détection basée sur une signature hash/statique.

Que faire après une détection

Pour neutraliser la menace :

• Mettre en quarantaine et supprimer les menaces. Compléter l’analyse de votre ordinateur avec MBAM. Plus de détails :
• Surveiller le comportement du système. Par exemple, vérifier les connexions réseau (via netstat / outils tiers)
• Réaliser une analyse secondaire avec VirusTotal ou un autre scanner
• Réinitialiser les navigateurs si adware/PUP

Pour vous aider :

• Supprimer les virus et désinfecter son PC
• Menace détectée par Windows Defender : que faire ?
• Supprimer les menaces (virus, trojan, PUA) détectées par Windows Defender de Windows 10, 11
• Se faire désinfecter son PC gratuitement sur le forum : Comment demander de l’aide sur le forum

Une fois l’ordinateur désinfecté :

• Créer un point de restauration si non infecté
• Modifier vos mots de passe. À lire : Que faire après une attaque de virus informatique
• Sécuriser son PC, pour cela, aidez-vous de ce guide : Comment protéger son PC des virus et des pirates ?

L’article Liste des détections antivirus : exemples de malwares, trojans, PUP, adwares (2025) est apparu en premier sur malekal.com.