Depuis un mois, le site officiel de Daemon Tools distribue un logiciel malveillant \u00e0 l\u2019insu de ses utilisateurs et de ses propres d\u00e9veloppeurs. Des pirates, vraisemblablement li\u00e9s \u00e0 la Chine, ont r\u00e9ussi \u00e0 infiltrer la cha\u00eene de distribution du c\u00e9l\u00e8bre outil Windows. L\u2019op\u00e9ration, d\u00e9tect\u00e9e par Kaspersky, a permis d\u2019infecter des milliers d\u2019ordinateurs dans plus de 100 pays\u2026<\/p>\n
Depuis le 8 avril 2026, le site officiel de Daemon Tools, un logiciel populaire utilis\u00e9 par des millions de personnes pour \u00e9muler des lecteurs de CD\/DVD sur Windows, diffuse un malware \u00e0 l\u2019insu de ses d\u00e9veloppeurs et de ses utilisateurs.\u00a0Comme l\u2019a d\u00e9couvert Kaspersky, des hackers sont parvenus \u00e0 glisser un logiciel espion dans les fichiers d\u2019installation de Daemon Tools. Il s\u2019agit d\u2019une attaque de la cha\u00eene d\u2019approvisionnement\u00a0(supply chain attack). Ce type d\u2019offensive consiste \u00e0 s\u2019en prendre \u00e0 un maillon d\u00e9faillant de la cha\u00eene dans l\u2019espoir d\u2019atteindre de nombreux utilisateurs. Les versions compromises s\u2019\u00e9tendent de la 12.5.0.2421 \u00e0 la 12.5.0.2434, et sont toutes disponibles sur le site officiel.<\/p>\n
Pour passer sous le radar, les cybercriminels se sont servis d\u2019un certificat num\u00e9rique valide d\u2019AVB Disc Soft, l\u2019\u00e9diteur officiel de Daemon Tools, pour signer les fichiers infect\u00e9s. De facto, les logiciels de s\u00e9curit\u00e9 les plus vigilants ne voyaient rien d\u2019anormal lors de l\u2019installation. La signature \u00e9lectronique, cens\u00e9e garantir l\u2019authenticit\u00e9 d\u2019un programme, \u00e9tait authentique. C\u2019est pourquoi la cyberattaque est pass\u00e9e inaper\u00e7ue pendant des semaines.<\/p>\n
\u00c0 lire aussi\u00a0: Ce hacker a pirat\u00e9 des milliers de comptes Facebook, mais il a fait une grosse erreur<\/a><\/p>\n Des milliers de tentatives d\u2019installation de virus <\/p>\n Une fois Daemon Tools install\u00e9, trois fichiers syst\u00e8me essentiels du logiciel ne tardent pas \u00e0 agir de fa\u00e7on malveillante. \u00c0 chaque d\u00e9marrage de l\u2019ordinateur, l\u2019un de ces fichiers envoyait discr\u00e8tement une requ\u00eate \u00e0 un serveur externe contr\u00f4l\u00e9 par les pirates. Le fichier recevait alors une s\u00e9rie d\u2019instructions de la part des hackers. Dans un premier temps, le malware collectait des informations sensibles, comme l\u2019adresse MAC, le nom de l\u2019ordinateur, la liste des logiciels install\u00e9s, le processus en cours d\u2019ex\u00e9cution, et les param\u00e8tres de langue.<\/p>\n Ces donn\u00e9es permettent aux attaquants de d\u00e9terminer quels ordinateurs doivent \u00eatre compromis en priorit\u00e9. En fonction des informations r\u00e9cup\u00e9r\u00e9es, d\u2019autres virus sont t\u00e9l\u00e9charg\u00e9s depuis les serveurs des pirates. Kaspersky a recens\u00e9\u00a0plusieurs milliers de tentatives d\u2019installation de malwares suppl\u00e9mentaires depuis le d\u00e9but du mois d\u2019avril 2026. Le rapport d\u00e9crit notamment l\u2019installation forc\u00e9e d\u2019une porte d\u00e9rob\u00e9e, qui peut aboutir \u00e0 l\u2019injection de charges utiles malveillantes dans certains processus Windows.<\/p>\n La grande majorit\u00e9 des victimes sont des particuliers, mais environ 10\u00a0%\u00a0des infections concernent des syst\u00e8mes d\u2019entreprises. Les victimes proviennent d\u2019une centaine de pays diff\u00e9rents, dont la Russie, le Br\u00e9sil, la Turquie, l\u2019Espagne, l\u2019Allemagne, la France, l\u2019Italie et la Chine.<\/p>\n \u00c0 lire aussi\u00a0: Faille chez Microsoft \u2013 une cyberattaque chinoise frappe la s\u00e9curit\u00e9 nucl\u00e9aire des \u00c9tats-Unis<\/a><\/p>\n Une op\u00e9ration d\u2019espionnage chinoise <\/p>\n Apr\u00e8s enqu\u00eate, Kaspersky estime que les hackers derri\u00e8re l\u2019attaque sont vraisemblablement d\u2019origine chinoise. Les chercheurs pensent que les pirates op\u00e8rent sous les ordres du gouvernement chinois. Ils ont en effet d\u00e9couvert des similitudes techniques avec des campagnes d\u2019espionnage pr\u00e9c\u00e9demment attribu\u00e9es \u00e0 des groupes criminels financ\u00e9s par P\u00e9kin. C\u2019est pourquoi la majorit\u00e9 des organisations touch\u00e9es par les installations de portes d\u00e9rob\u00e9es se situe en Russie, en Bi\u00e9lorussie et en Tha\u00eflande.<\/p>\n \u00ab\u00a0La porte d\u00e9rob\u00e9e n\u2019a infect\u00e9 qu\u2019une douzaine de machines au sein d\u2019organismes gouvernementaux, d\u2019institutions scientifiques et d\u2019entreprises manufacturi\u00e8res, ainsi que dans des commerces de d\u00e9tail en Russie, en Bi\u00e9lorussie et en Tha\u00eflande\u00a0\u00bb, pr\u00e9cise Kaspersky.<\/p>\n Tout porte \u00e0 croire que les hackers chinois ont lanc\u00e9 une op\u00e9ration \u00e0 grande \u00e9chelle dans l\u2019espoir de parvenir \u00e0 pirater des cibles strat\u00e9giques. En d\u2019autres termes, les internautes lambda n\u2019\u00e9taient pas la v\u00e9ritable cible de la cyberattaque.<\/p>\n Des fichiers v\u00e9rol\u00e9s toujours en ligne <\/p>\n Apr\u00e8s sa d\u00e9couverte, Kaspersky a alert\u00e9 AVB Disc Soft, l\u2019\u00e9diteur de Daemon Tools. Contact\u00e9 par TechCrunch<\/a>, l\u2019\u00e9diteur indique que ses \u00e9quipes sont \u00ab\u00a0au courant du rapport et enqu\u00eatent actuellement sur la situation\u00a0\u00bb. AVB Disc Soft ajoute que son \u00ab\u00a0\u00e9quipe traite cette affaire comme une priorit\u00e9 absolue et travaille activement \u00e0 l\u2019\u00e9valuation et \u00e0 la r\u00e9solution du probl\u00e8me\u00a0\u00bb.<\/p>\n \u00ab\u00a0\u00c0 ce stade, nous ne sommes pas en mesure de confirmer les d\u00e9tails sp\u00e9cifiques mentionn\u00e9s dans le rapport. Nous prenons n\u00e9anmoins toutes les mesures n\u00e9cessaires pour rem\u00e9dier aux risques potentiels et garantir la s\u00e9curit\u00e9 de nos utilisateurs\u00a0\u00bb, d\u00e9clare l\u2019entreprise lettone.<\/p>\n Au moment de la publication du rapport de Kaspersky, l\u2019offensive est toujours en cours, et les fichiers d\u2019installation pi\u00e9g\u00e9s sont toujours disponibles. Si vous utilisez Daemon Tools sur Windows, on vous recommande de d\u00e9sinstaller imm\u00e9diatement le logiciel et de lancer une analyse compl\u00e8te de votre ordinateur avec un antivirus. Seule la version Windows semble \u00eatre concern\u00e9e.<\/p>\n \ud83d\udc49\ud83c\udffb Suivez l\u2019actualit\u00e9 tech en temps r\u00e9el\u00a0: ajoutez 01net \u00e0 vos sources sur Google<\/a>, et abonnez-vous \u00e0 notre canal WhatsApp<\/a>.<\/p>\n