● 01net 📅 02/04/2026 à 14:01

Windows en danger : les pirates peuvent désactiver l'antivirus « sans déclencher d'alerte »

Cybersécurité 👤 Florian Bayard
Illustration
© Microsoft Pour faire sauter l’antivirus de votre ordinateur Windows, les cybercriminels se servent de plus en plus d’outils d’administration légitimes. Ces outils permettent aux hackers d’agir sans se faire repérer. Les chercheurs de Seqrite ont découvert que des cybercriminels exploitent des outils légitimes de Windows pour orchestrer des attaques par ransomware. Selon les experts, les pirates ont trouvé le moyen de désactiver l’antivirus d’un ordinateur pour arriver à leurs fins sans se retrouver face à un mur. Parmi les outils qui sont massivement détournés par les hackers, on trouve des logiciels d’administration, essentiellement destinés aux équipes IT. Ils servent notamment à gérer des processus, débloquer des fichiers ou intervenir sur le système. Le rapport de Seqrite évoque par exemple Process Hacker, IOBit Unlocker, PowerRun, AuKill, YDArk ou encore TDSSKiller. Des « utilitaires autrefois considérés comme fiables sont désormais devenus certains des facilitateurs les plus dangereux d’attaques informatiques », explique Seqrite. À lire aussi : Lockbit est de retour en force avec une 5e version de son ransomware Comment les rois du ransomware exploitent des outils Windows légitimes ? Selon les investigations menées par Seqrite, plusieurs géants du ransomware, comme LockBit 3.0, BlackCat, Dharma, Phobos ou MedusaLocker, ont pris l’habitude de détourner les outils d’administration de Windows. Les pirates vont même jusqu’à inclure les outils, initialement légitimes, dans leurs kits de piratage prêts à l’emploi. Ces kits sont vendus aux hackers par le biais d’abonnements. Les cybercriminels suivent généralement un plan en plusieurs étapes pour pirater un système. Ils commencent par faire du repérage : ils regardent comment l’entreprise est configurée, où les mots de passe sont les plus faibles, et quels logiciels de sécurité sont mal réglés ou pas à jour. Ensuite, ils vont désarmer les protections de la machine , en particulier l’antivirus, « sans déclencher d’alerte ». Ils vont se servir d’outils comme IOBit Unlocker ou TDSSKiller pour supprimer les fichiers des solutions de sécurité et désactiver tous les composants qui tournent en arrière‑plan. En faisant le ménage dans les fichiers et les composants de l’antivirus, ils vont l’empêcher de se relancer au prochain démarrage de la machine. « Des outils créés pour résoudre des problèmes peuvent tout aussi bien devenir des armes idéales pour démanteler la sécurité, sans déclencher la moindre alerte », déclarent les chercheurs. Une fois les défenses tombées, ils passent à la deuxième phase du plan. Les pirates vont voler les mots de passe dans la mémoire et implanter des virus au plus bas niveau de Windows pour passer sous le radar. In fine, ils sont en mesure de déployer le ransomware sur la machine sans alerter l’antivirus. En « neutralisant ces protections, les attaquants créent une zone silencieuse où le ransomware peut tourner sans être détectés ». Avant de partir, ils nettoient les journaux et les traces techniques, afin de compliquer le travail des enquêteurs et de rendre l’attaque plus difficile à comprendre. L’utilisation de plus en plus massive d’outils légitimes dans les attaques par ransomware complique fortement la tâche des experts en sécurité et des antivirus. La plupart des outils d’administration exploités passent en effet sous les radars des politiques de sécurité classiques. C’est pourquoi les pirates s’en servent de plus en plus pour arriver à leurs fins. Pour lutter contre la tendance, les chercheurs de Seqrite recommandent aux solutions de sécurité de traquer les comportements anormaux, plutôt que de se concentrer sur l’identification de logiciels. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : Seqrite cyberattaqueransomwarewindows Florian Bayard Sur le même sujet WhatsApp alerte des centaines d’utilisateurs piégés par une application espion Cyberattaques russes contre l’iPhone : de nouveaux pirates exploitent le kit DarkSword Les données de 60 000 armes à feu ont été dérobées en France, quels sont les risques ? La Commission européenne a été piratée : c’est déjà la 2ᵉ cyberattaque de 2026 Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Comparatif des meilleurs stockages cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir + 2 à fuir Les dernières actualités Samsung dégaine un prix FOU sur le Galaxy A56 : à -48% il se vend par palettes 🔥 Le Galaxy S26 a un gros problème d’autonomie, on vous explique De l’ADN pour chiffrer ses données : au Japon, Macron a testé cette technologie réputée inviolable, comment ça marche ? Windows en danger : les pirates peuvent désactiver l’antivirus sans déclencher d’alerte Revirement chez Volkswagen : les boutons physiques font leur grand retour, c’est « non négociable » Les graveurs laser Mecpow à prix cassé sur Geekbuying Les images spectaculaires du décollage d’Artemis II filmées depuis un avion Semi-conducteurs : Huawei, grand gagnant des sanctions américaines et du recul de Nvidia en Chine Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour