● Siècle Digital 📅 03/04/2026 à 14:43

Un fichier malveillant sur WhatsApp prend le contrôle de votre PC, Microsoft tire la sonnette d'alarme

Géopolitique 👤 Jennifer Larcher
Illustration
Cybersécurité Un fichier malveillant sur WhatsApp prend le contrôle de votre PC, Microsoft tire la sonnette d’alarme Depuis fin février 2026, une campagne de cyberattaques exploite WhatsApp pour infecter en toute discrétion Windows. Par Jennifer Larcher Publié le 3 avril 2026 à 14h43 Vous recevez un message, un simple fichier .vbs via WhatsApp, qui ressemble à n’importe quelle pièce jointe. VBScript est un langage qui est intégré à Windows depuis des années. Il a été conçu à l’origine pour automatiser certaines des tâches assez récurrentes. L’utilisateur ouvre alors le fichier et l’infection se déclenche sans qu’il ait à faire quoi que ce soit d’autre. Windows se retourne contre lui-même Une fois activé, le script ne télécharge pas de logiciel suspect venu d’un serveur obscur. Il fouille la machine, récupère des utilitaires Windows qui sont légitimes curl.exe et bitsadmin.exe notamment. Il peut ensuite les rebaptiser avec des noms qui imitent des composants système ordinaires. 📩 L’actu digitale évolue vite. Restez à jour.Recevez la newsletter quotidienne, gratuitement. En vous inscrivant vous acceptez notre politique de protection des données personnelles. Renommés, dissimulés dans un dossier caché de C:\ProgramData, ces outils servent ensuite à récupérer des charges malveillantes stockées sur des infrastructures cloud grand public (AWS S3, Tencent Cloud, Backblaze B2). Pour un système de surveillance réseau, le trafic généré est indiscernable d’une activité normale. Les chercheurs nomment cette technique le living-off-the-land. Elle consiste à retourner les ressources de la machine contre elle-même. L’UAC est neutralisé, les droits d’administrateur sont ensuite volés La deuxième phase se concentre sur le Contrôle de Compte Utilisateur, le mécanisme Windows qui demande une confirmation avant d’accorder des droits élevés à un programme. Le malware modifie une entrée précise du registre système pour court-circuiter ces demandes de confirmation. Il force la réouverture de l’invite de commandes en boucle jusqu’à décrocher les privilèges administrateur. Avec ces droits en poche, les attaquants déploient AnyDesk pour prendre la main à distance sur la machine, accompagné de WinRAR et LinkPoint. La machine est alors entièrement accessible de l’extérieur. Elle est clairement prête à être pillée, espionnée ou transformée en relais pour d’autres attaques. Comment se protéger contre ce fléau&nbsp? Microsoft pointe une faille dans la méthode des attaquants qui peut servir de détecteur. Un exécutable Windows conserve dans ses métadonnées son nom d’origine, celui qu’il portait au moment de sa compilation. Le fait de renommer curl.exe ne supprime pas cette trace. Un antivirus qui compare le nom affiché au nom d’origine est donc en mesure de repérer la manipulation là où un outil classique voit simplement un fichier système banal. Par contre, peu de solutions de sécurité grand public exploitent encore ce mécanisme. La sophistication de cette campagne ne doit pas faire oublier que tout commence par un geste à savoir ouvrir un fichier reçu sur WhatsApp qui répond à votre place grâce à l’IA. Fiez-vous uniquement à des comptes connus&nbsp! Pour aller plus loin WhatsApp passe à la vitesse supérieure avec l’IA et peut désormais répondre à votre placeMeta veut mieux protéger les enfants sur WhatsApp avec des comptes limitésCyberattaque mondiale : WhatsApp et Signal attaqués par des hackers russesRond bleu sur WhatsApp : à quoi sert-il et peut-on le désactiver ?WhatsApp affiche des publicités… et propose une option payante pour les retirerAprès Telegram, la Russie serre la vis et coupe l’accès à WhatsApp WhatsApp windows
← Retour