Un logiciel Windows détourné pour diffuser un malware dans plus de 100 pays
Un logiciel Windows très utilisé a servi de relais à une campagne d’infection d’ampleur mondiale. L’affaire, révélée par Kaspersky, a poussé l’éditeur à retirer en urgence les fichiers compromis et à publier une version corrigée.
Résumé de l'article
DAEMON Tools a servi de vecteur à une attaque d’ampleur mondiale sur Windows. Kaspersky attribue l’opération à des hackers chinois, tandis que l’éditeur dit avoir corrigé le problème sur la version Lite.
Depuis le 8 avril 2026, le site officiel de DAEMON Tools a diffusé, à l’insu de tous, des programmes d'installation contaminés. Le programme visé, très connu pour émuler des lecteurs CD/DVD sous Windows, a été détourné dans le cadre d’une attaque de la chaîne d’approvisionnement. Des milliers de machines ont été touchées dans plus d’une centaine de pays.
Kaspersky a identifié des versions compromises. Pour masquer l’opération, les pirates ont utilisé un certificat numérique valide d’AVB Disc Soft, l’éditeur du logiciel, ce qui a permis aux fichiers malveillants de paraître authentiques aux yeux des systèmes de sécurité.
Une infection discrète
Une fois installée, la version piégée déclenche plusieurs fichiers système qui communiquent avec un serveur contrôlé par les attaquants. Ces échanges servaient d’abord à récupérer des données techniques sur la machine : adresse MAC, nom de l’ordinateur, logiciels présents, processus actifs et paramètres de langue.
Ces informations permettaient ensuite de choisir les cibles les plus intéressantes et de charger d’autres malwares. Kaspersky dit avoir observé plusieurs milliers de tentatives d’installation de logiciels supplémentaires depuis début avril 2026, avec notamment une porte dérobée capable d’injecter des charges malveillantes dans certains processus Windows.
La majorité des victimes sont des particuliers, mais environ 10% des infections concernent des systèmes d’entreprise. Les utilisateurs touchés se trouvent dans une centaine de pays, parmi lesquels la Russie, le Brésil, la Turquie, l’Espagne, l’Allemagne, la France, l’Italie et la Chine.
Des soupçons sur Pékin
L’enquête de Kaspersky conduit les chercheurs à penser que l’opération est liée à des hackers chinois. Ils relèvent des ressemblances techniques avec des campagnes d’espionnage déjà associées à des groupes financés par Pékin.
Les machines les plus visées semblent se concentrer en Russie, en Biélorussie et en Thaïlande. Kaspersky précise que la porte dérobée n’a touché qu’une douzaine d’équipements au sein d’organismes publics, d’institutions scientifiques, d’entreprises industrielles et de commerces de détail dans ces trois pays.
L’objectif n’était donc pas l’utilisateur ordinaire, mais bien des cibles jugées stratégiques. La campagne paraît avoir été pensée à grande échelle, avec une logique d’espionnage plus que de simple nuisance.
Réaction de l’éditeur
L’éditeur lettone a indiqué avoir publié le 5 mai une version 12.6 de DAEMON Tools Lite débarrassée des fichiers suspects. Il assure aussi que DAEMON Tools Ultra et DAEMON Tools Pro n’ont pas été affectés et restent utilisables normalement. Kaspersky, de son côté, estime que les fichiers piégés restaient en ligne au moment de son rapport.
Kaspersky, de son côté, estime que les fichiers piégés restaient en ligne au moment de son rapport. Le cabinet recommande aux utilisateurs Windows de désinstaller immédiatement le logiciel et de lancer une analyse antivirus complète, tandis que les entreprises sont invitées à isoler les postes concernés et à vérifier leurs réseaux.
