Actualités

Windows de WhatsApp sur Windows sont la cible d'une nouvelle campagne, met en garde Microsoft

par Pieter Arntz | 1er avril 2026
Logo WhatsApp

Des chercheurs de Microsoft ont découvert une campagne qui exploite les pièces jointes de WhatsApp pour introduire subrepticement un script sur Windows , ce qui permet à l'attaquant d'en prendre le contrôle à distance.

WhatsApp propose une application de bureau pour Windows macOS, que les utilisateurs peuvent synchroniser avec leurs appareils mobiles. Les versions de bureau de WhatsApp sont généralement utilisées comme des extensions des applications mobiles plutôt que comme des plateformes principales. Ainsi, bien que ces applications soient largement utilisées, leur taux d'adoption est probablement nettement inférieur à celui des plateformes mobiles.

L'année dernière, nous avions évoqué la correction par Meta d'une faille de sécurité qui permettait à un pirate d'exécuter du code arbitraire sur un Windows ; cette faille était présente dans toutes les versions de WhatsApp antérieures à la version 2.2450.6.

Les attaques identifiées par Microsoft reposent toutefois uniquement sur l'ingénierie sociale. La victime reçoit une pièce jointe via WhatsApp qui semble inoffensive, mais qui est en réalité un fichier .vbs (Visual Basic ) que Windows exécuter.

Si l'attaquant parvient à convaincre la victime d'exécuter le fichier sous Windows, le script copie Windows intégrés dans un dossier caché et leur attribue des noms trompeurs afin qu'ils semblent inoffensifs à première vue.

Et ces outils sont tout à fait légitimes, mais ils sont détournés pour télécharger des logiciels malveillants. Il s'agit d'une technique classique dite « living off the land » (LOTL), qui consiste à exploiter ce qui se trouve déjà sur le système plutôt que d'introduire des fichiers binaires malveillants qui seraient détectés lors d'une analyse.

Les scripts suivants proviennent de fournisseurs de services cloud populaires ; ainsi, le trafic réseau ressemble à un accès normal à AWS, Tencent Cloud ou Backblaze, plutôt qu'à un serveur suspect qui susciterait des soupçons.

Pour désactiver d'autres alarmes éventuelles, le logiciel malveillant tente sans cesse d'élever ses privilèges au niveau administrateur, puis modifie les invites du Contrôle de compte d'utilisateur (UAC) et les paramètres du registre afin de pouvoir apporter des modifications au niveau du système en toute discrétion et de persister après les redémarrages.

Au terme de la chaîne d'infection, un fichier MSI (Microsoft Installer) non signé installe un logiciel d'accès à distance ainsi que d'autres charges utiles, offrant ainsi au pirate un accès permanent et direct à la machine et aux données.

Comment rester en sécurité

Pour les particuliers et les petites entreprises, voici quelques mesures pratiques à prendre pour assurer leur sécurité :

  • N'ouvrez pas les pièces jointes non sollicitées avant de vous être assuré, auprès d'une source fiable, qu'elles ne présentent aucun danger.
  • Activez l'option « Afficher les extensions de nom de fichier » dans l'Explorateur afin de pouvoir identifier les fichiers qui se font passer pour des images mais dont l'extension est .vbs ou .msi.
  • Utilisez une solution anti-malware à jour et fonctionnant en temps réel pour bloquer les connexions indésirables et détecter les fichiers malveillants.
  • Téléchargez les logiciels uniquement depuis le site officiel du fournisseur et vérifiez que les programmes d'installation sont signés.
  • Ne négligez pas les signes avant-coureurs. Des invites UAC inattendues, l'apparition soudaine de nouveaux logiciels ou un ralentissement de votre ordinateur après l'ouverture d'une pièce jointe WhatsApp sont autant de raisons de lancer une analyse anti-malware et, si nécessaire, de vous préparer à restaurer votre système à partir d'une sauvegarde intacte.
  • Veillez à maintenir Windows toutes les autres applications à jour afin d'éviter toute exploitation des failles de sécurité connues.

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Pieter Arntz

Pieter Arntz

Chercheur en intelligence malveillante

A été un Microsoft MVP dans le domaine de la sécurité des consommateurs pendant 12 années consécutives. Parle quatre langues. Sente l'acajou et les livres reliés en cuir.

DERNIERS ARTICLES

AI
Un ordinateur portable affiche un écran montrant les messages échangés entre un utilisateur et un chatbot basé sur l'IA

Une étude de Stanford montre qu'il n'est pas judicieux de demander des conseils personnels à l'IA

Mars 31, 2026

Une nouvelle étude de l'université de Stanford a montré que les chatbots basés sur l'IA, notamment ChatGPT, Claude et Gemini, n'hésitaient pas à valoriser et à encourager leurs utilisateurs.

Actualités
Le logo du client HTTP Axios, qui se compose simplement du mot « AXIOS » écrit en violet

L'attaque visant la chaîne d'approvisionnement d'Axios ébranle la confiance envers npm

Mars 31, 2026

Les développeurs utilisant le package axios disponible sur npm ont peut-être téléchargé une version malveillante qui installe un cheval de Troie d'accès à distance

Actualités
Protection ClickFix mac

Une nouvelle fonctionnalité de sécurité de macOS alertera les utilisateurs en cas de risque d'attaques ClickFix

Mars 30, 2026

Apple a ajouté un niveau de protection supplémentaire contre les attaques ClickFix, uniquement pour macOS Tahoe 26.4 et les versions ultérieures

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries