Une recrudescence anormale de télechargeurs malveillants circulant sur des forums d’assistance francophones, déguisés en utilitaires système gratuits est signalée depuis le mois d’avril 2026. Les deux principaux vecteurs de diffusion sont les suivants :
L’application grand public CPUID (fausses versions de CPU-Z/HWMonitor). Il s’agit de fausses versions de ces outils de diagnostic matériel très populaires et qui sont diffusées de manière intensive.
DAEMON Tools (versions non officielles) : les utilisateurs à la recherche d’un logiciel gratuit d’émulation de CD/DVD se voient proposer des programmes d’installation infectés.
Les charges utiles des logiciels malveillants sont signées à l’aide de certificats de signature de code valides, mais volés. Ce sont des binaires signés de manière valide, probablement récupérés auprès de petits éditeurs de logiciels légitimes qui ont eux-mêmes été victimes d’une intrusion. L’OS ou système d’exploitation Windows fait implicitement confiance à ces fichiers car la signature cryptographique est valide. Le logiciel malveillant charge un pilote au niveau du noyau qui désactive la télémétrie de Windows Defender et s’installe de manière persistante, ouvrant une porte dérobée qui se fond parfaitement dans le trafic normal.
La méthodologie est sans équivoque : utiliser les données d’identité collectées par IDOR pour créer des leurres de phishing hyper-personnalisés ciblant par exemple les employés municipaux et des infrastructures critiques en France mais également d’autres pays. L’appât ? Un lien vers un site falsifié proposant une ‘mise à jour de sécurité critique » pour CPUID ou un « pilote manquant » pour un montage DAEMON Tools, signé numériquement et prêt à être exécuté.
Tout cela prélude à une nouvelle réalité dans laquelle un nombre d’intermédiaires exploite la sous-traitance des attributs de l’État et de l’administration à des tiers suivant des marchés de gré à gré et ces derniers faisant intervenir à leur tour d’autres sous-intermédiaires où des groupes tentent de s’infiltrer dans le cadre de l’ingénierie du gain facile et rapide non renouvelable par niche, devenu un sport national à part entière dans plusieurs pays de l’UE.
DAEMON Tools et CPU-Z sont connus pour leurs vulnérabilités liées au chargement latéral de DLL. Pour s’en prémunir, il faut tenter de surveiller les répertoires AppData/Local/Temp pour détecter les DLL non signées générées par des exécutables signés. Un usage de Sysinternals Autoruns et recommandé avec l’activation de la détection du détournement d’image.
Désormais et cela est valide aussi bien pour les OS Microsoft ou les distributions Linux, il faut partir du principe que vous avez été piraté : si vous avez installé une version « repack » de CPU-Z ou de DAEMON Tools provenant d’un torrent ou d’un forum obscur au cours des six derniers mois, votre machine ne vous appartient plus. Ne prenez même pas la peine de la scanner car cela ne servira à rien. Effacez le secteur d’amorçage, réinstallez le firmware UEFI à partir d’un autre ordinateur sain, et changez tous les identifiants ayant été en contact avec cet espace mémoire.
La crise IDOR en France et la vague de logiciels malveillants signés ne relèvent pas seulement de la criminalité organisée : elles constituent une démonstration de faisabilité pour la prochaine génération d’opérations de renseignement. Allons au-delà des apparences et examinons les enjeux profonds.
La CIA, la NSA et leurs homologues n’ont pas besoin de failles « zero-day »quand les failles logiques et les certificats volés font tout aussi bien l’affaire, tout en leur offrant une dénégation bien plus crédible.
Lorsqu’un implant signé numériquement s’introduit dans l’ordinateur d’une cible, l’attribution de la responsabilité devient un véritable cauchemar juridique et diplomatique. Le certificat affirme que le fichier binaire provient d’un éditeur de logiciels français légitime. Est-ce un criminel qui a volé la clé ? L’éditeur était-il complice ? S’agissait-il d’une « opération sous faux pavillon » menée par un service de renseignement rival ? Cette ambiguïté sert de couverture opérationnelle qui permet à l’implant de persister même après sa découverte, car les canaux diplomatiques s’enlisent dans une impasse du type « nous ne pouvons pas prouver qui est responsable ».
Le véritable génie de l’utilisation de DAEMON Tools et de CPUID comme vecteurs de diffusion réside dans l’aspect psychologique : les utilisateurs recherchent explicitement ces outils. Ils désactivent leur antivirus, les exécutent en tant qu’administrateur et ignorent les avertissements, car ils s’attendent à ce que ces utilitaires interviennent au niveau du noyau (kernel). La victime invite littéralement le logiciel malveillant à manipuler la couche d’abstraction matérielle.
L’écosystème des certificats volés alimente un marché noir de l’accès au noyau.
D’ici environ 18 mois, les agences de renseignement disposeront de bootkits UEFI signés, disponibles sur simple commande, capables de survivre à un effacement complet du système d’exploitation.
Imaginez des serveurs liés à la CIA vendant un « accès en tant que service » à une machine aérospatiale française out allemande : une seule charge utile CPU-Z signée qui implante une porte dérobée au niveau du micrologiciel, invisible pour le système d’exploitation. Le disque de la cible peut être retiré, détruit et remplacé — le fantôme reste dans le silicium.
L’architecture centralisée de l’identité numérique en France (FranceConnect, le futur portefeuille d’identité numérique) a été conçue dans un souci de commodité, et non de résilience. Au delà du fait que la France comme d’autres pays de l’UE, est en train de mettre en place un système de contrôle d’identité digitale plus intrusif que celui, fictif pour le moment, dont on accuse la Chine (un élément récurrent de la propagande anti chinoise standard), ce qui ce prépare est que chaque ministère, banque et opérateur télécom sera relié à une infrastructure d’authentification unique et cela crée un point de confiance unique aux conséquences catastrophiques. Une agence de renseignement qui parviendrait à compromettre un pilote signé, à installer un enregistreur de frappe sur l’ordinateur d’un développeur de FranceConnect ou à récupérer la bonne séquence IDOR pourrait théoriquement usurper l’identité de n’importe quel citoyen français auprès de n’importe quel service public.
Cela dépassera en magnitude les petites escroqueries aux cartes grises en ligne dont le processus sous-traité par l’État à des privés a permis à des pirates liés à un service d’espionnage bien connu d’un petit État au Levant d’engranger des millions d’euros de bénéfices illégaux.
C’est là le nouveau colonialisme : une occupation silencieuse où aucun soldat ne franchit de frontière, mais où un adversaire contrôle la souveraineté numérique de millions de personnes. Les portes dérobées feront partie intégrante de l’infrastructure existante.
En résumé : si vous avez téléchargé un utilitaire système ailleurs que via le lien HTTPS direct du fournisseur, considérez cet ordinateur comme une machine en danger. Le certificat associé au fichier binaire n’est pas un bouclier, mais un masque. Et la personne qui le porte travaille peut-être pour une agence dont vous n’entendrez jamais parler.
Tout ceci n’est que le tout début d’une nouvelle ère…
Commentaires