Actualités, Arnaques

Pourquoi la recherche d'un VPN vous amener à divulguer vos identifiants professionnels

par Pieter Arntz | 17 mars 2026
VPN

Cet article explique comment le fait de vouloir « bien faire » peut vous mener tout droit dans un piège. Des internautes à la recherche d'un VPN par télécharger un logiciel malveillant conçu pour voler leurs identifiants.

Du point de vue de la victime, sa confiance a été abusée à chaque étape : confiance dans les moteurs de recherche, dans les logos familiers, dans les signatures numériques, et dans l'idée que si tout « fonctionne au final », c'est forcément sans danger.

Imaginez que vous recherchiez un VPN pour vous connecter au réseau de votre employeur. Vous utilisez votre moteur de recherche préféré et, en tête des résultats, vous tombez exactement sur ce que vous cherchiez : des annonces qui semblent provenir de grands noms du secteur. Elles affichent le bon logo, le bon nom de produit et une description qui semble crédible.

Mais ce que vous voyez, dans les cas décrits par Microsoft, ce sont des résultats de recherche influencés par le « SEO poisoning ». Le « SEO poisoning » consiste à faire en sorte qu’une page web apparaisse en tête des résultats de recherche pertinents sans acheter de publicités ni suivre les bonnes pratiques légitimes, mais fastidieuses, du référencement naturel (SEO). Au lieu de cela, les cybercriminels ont recours à des moyens trompeurs, voire carrément illégaux, pour propulser leurs pages en tête des classements.

Sur le faux site — peut-être même cloné—SurVPN , tout semble familier : l'image de marque du fournisseur, le nom du produit et une brève description de l'accès distant sécurisé. Mais surtout, un bouton « Télécharger » bien visible attire l'attention. Vous cliquez, en vous attendant à un programme d'installation provenant d'un fournisseur de confiance, mais le site vous redirige discrètement vers une page de téléchargement GitHub, où il vous propose un fichier ZIP dont le nom ressemble à quelque chose comme VPN-CLIENT.zip.

GitHub est un canal de distribution très prisé des auteurs de logiciels malveillants, car il jouit d'une grande confiance. Dans le cadre de cette campagne, les cybercriminels ont même signé leur fichier à l'aide d'un certificat légitime, qui a depuis été révoqué. Le fichier ZIP téléchargé contient un fichier Microsoft Software Installer (.msi) qui guide la victime à travers la procédure habituelle (« Installer », « Suivant », « Suivant », « Terminer »), tout en installant de manière parallèle des fichiers DLL (bibliothèques de liens dynamiques) malveillants pendant l'installation.

L'une de ces DLL, dwmapi.dll, fait office de chargeur et lance un shellcode intégré qui, à son tour, s'exécute inspector.dll, une variante de l'hyrax programme de vol de donnéesDès que l'installation est terminée, votre VPN n'est plus seulement un client, mais aussi un voleur d'identifiants.

Lorsque vous commencez à utiliser votre nouveau VPN, plusieurs événements se succèdent rapidement :

  • Le faux VPN intercepte votre nom d'utilisateur, votre mot de passe et l'URI cible, puis transmet ces données au composant Hyrax chargé de voler des informations.
  • Hyrax lit également les données VPN existantes, récupérant ainsi toutes les connexions enregistrées et les identifiants sauvegardés.
  • Le logiciel malveillant transmet toutes les informations volées vers une infrastructure contrôlée par le pirate.

Tout ce que l'utilisateur voit, c'est un message d'erreur qui semble plausible, du genre « échec de la connexion » ou « problème d'installation ». Pour couronner le tout, le logiciel malveillant fournit des instructions pour télécharger le VPN légitime à partir de sources officielles. Dans certains cas, il ouvre même le navigateur de l'utilisateur sur le véritable VPN . Tout cela, bien sûr, pour dissiper les soupçons.

Le reste se déroule sur le réseau de l'employeur. L'attaquant peut désormais se connecter au VPN de l'entreprise VPN vous, depuis une infrastructure qu'il contrôle, et se fondre immédiatement dans le trafic normal d'accès à distance. Si votre compte donne accès à des partages de fichiers, à des panneaux d'administration internes, à des systèmes de tickets ou à des services cloud, il peut commencer à explorer ou à exploiter ces ressources.

Comment éviter les faux VPN

Maintenant que vous savez ce qu'il faut surveiller, vous avez déjà une longueur d'avance. Voici quelques conseils généraux supplémentaires pour rester en sécurité :

  • Ne vous fiez jamais uniquement aux résultats de recherche, surtout lorsqu'il s'agit de logiciels de sécurité. Rendez-vous directement sur le site web du fournisseur.
  • Vérifiez bien l'adresse du site avant de télécharger. Êtes-vous toujours sur le site du fournisseur ou sur une plateforme fiable ? Si nécessaire, vérifiez le lien de téléchargement auprès de votre service informatique.
  • Signalez au service informatique VPN qui ont « échoué ». N'essayez pas sans cesse de les relancer. Un échec inattendu suivi d'une redirection devrait vous alerter.
  • Ne conservez pas VPN de l'entreprise dans des gestionnaires de mots de passe personnels ou dans des navigateurs.

Si vous avez déjà installé un VPN à partir d'un site non fiable ou d'un domaine inhabituel, partez du principe que vos VPN ont pu être compromis et demandez leur réinitialisation.

Nous ne nous contentons pas de faire des rapports sur la protection de la vie privée, nous vous offrons la possibilité de l'utiliser.

Les risques liés Privacy ne devraient jamais dépasser le titre d'un article. Préservez votre vie privée en ligne en utilisant Malwarebytes Privacy VPN.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

AI
Caché

Des chercheurs ont découvert une astuce de rendu des polices permettant de dissimuler des commandes malveillantes

Mars 18, 2026

Des chercheurs ont découvert un moyen de tromper les assistants IA afin qu'ils ignorent les consignes de sécurité sur un site web.

Insectes
Pomme

Apple corrige un bug de WebKit qui aurait pu permettre à certains sites d'accéder à vos données

Mars 18, 2026

Apple a publié une mise à jour de sécurité en arrière-plan qui corrige discrètement une vulnérabilité de WebKit (CVE-2026-20643).

Escroqueries
Site « Fake Pudgy World »

Le faux site « Pudgy World » vole vos mots de passe de cryptomonnaies

Mars 17, 2026

Ce site de hameçonnage n'est pas affilié à Igloo Inc. ni à Pudgy Penguins, mais il a été conçu pour attirer les fans et leur voler leurs mots de passe de cryptomonnaie.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries