Microsoft : comment des hackers infiltrent les PC via WhatsApp sans laisser de trace
L'équipe Microsoft Defender Security Research a publié une analyse technique détaillée d'une nouvelle campagne de piratage. Le constat est sans appel : WhatsApp est le principal point d'entrée, et une chaîne de techniques propres à Windows rend l'attaque extrêmement difficile à détecter. Découvrez comment opèrent les hackers et comment vous protéger.
1. WhatsApp : la porte d'entrée
Un simple fichier .vbs
Tout commence par un message WhatsApp contenant un fichier .vbs (VBScript). VBScript est un langage de script intégré nativement à Windows, conçu pour automatiser des tâches courantes. Son exécution est rarement passée au crible par les solutions de sécurité traditionnelles.
Une fois le fichier ouvert
La chaîne d'infection se déclenche sans autre action de la part de la victime. Le script crée des dossiers cachés dans "C:\ProgramData" et y copie des utilitaires Windows parfaitement légaux, renommés pour passer inaperçus.
📌 Rappel : Mi-mars 2026, une alerte avait été lancée en France sur les risques croissants liés aux messageries instantanées comme vecteurs d'attaque. Cette campagne confirme ce constat.
2. Windows : le terrain de jeu
🔐 Schéma de l'attaque (Living-off-the-land)
Des outils Windows détournés
Les hackers renomment des utilitaires légitimes pour les rendre moins suspects :
bitsadmin.exe → renommé "sc.exe"
Ces outils se connectent ensuite à des services cloud (AWS S3, Tencent Cloud, Backblaze B2) pour récupérer des charges malveillantes supplémentaires.
"Living-off-the-land" (exploiter ce qui existe)
C'est la technique clé : exploiter ce qui est déjà présent sur le système, plutôt que d'introduire des outils d'emblée suspects. Depuis un pare-feu, le trafic ressemble à des échanges normaux. Rien n'alerte.
3. Contournement de l'UAC (Contrôle de Compte Utilisateur)
🔴 L'UAC : le verrou que les hackers font sauter
L'UAC est censé avertir l'utilisateur quand un programme cherche à obtenir des droits d'administrateur. Le malware modifie une valeur du registre Windows :
Cette modification désactive les alertes. Le malware relance ensuite cmd.exe en boucle jusqu'à obtenir les privilèges administrateur nécessaires.
4. L'arsenal déployé
Des logiciels légitimes détournés
Avec les droits élevés, les attaquants installent des paquets MSI sans signature numérique :
- AnyDesk.msi : outil de prise en main à distance
- WinRAR.msi : gestionnaire d'archives
- LinkPoint.msi : autre outil de connexion
Un accès permanent au PC
Cet arsenal permet aux hackers d'ouvrir un accès permanent au poste infecté, d'exfiltrer des données ou de déployer d'autres logiciels malveillants à volonté.
5. La technique qui trompe les antivirus
🔍 Le champ "OriginalFileName" : le détail qui change tout
Microsoft souligne un point crucial : chaque exécutable Windows embarque dans ses métadonnées un champ appelé "OriginalFileName" — le nom d'origine du fichier, inscrit à la compilation. Renommer le fichier ne modifie pas cette valeur.
Un antivirus capable de détecter l'écart entre le nom affiché et le nom d'origine peut identifier la menace. De même, une suite de sécurité capable d'analyser le trafic réseau est essentielle.
6. Comment vous protéger ?
1. Méfiez-vous des fichiers .vbs sur WhatsApp
Même si le message vient d'un contact connu, n'ouvrez pas un fichier .vbs que vous n'avez pas demandé. Contactez la personne par un autre canal pour vérifier.
2. Utilisez un antivirus moderne
Les solutions de sécurité capables d'analyser le trafic réseau et de détecter les écarts de métadonnées (comme Microsoft Defender) sont essentielles. Assurez-vous qu'il est actif et à jour.
3. Surveillez les connexions sortantes
Un pare-feu qui alerte sur des connexions vers AWS S3, Tencent Cloud ou Backblaze B2 peut vous sauver. Ces services cloud sont utilisés par les hackers pour télécharger leurs charges utiles.
4. Activez la double authentification WhatsApp
Dans les paramètres de WhatsApp, activez la vérification en deux étapes. Cela limitera les risques si vos identifiants sont volés.
5. Gardez Windows à jour
Microsoft a mis à jour Windows Defender pour détecter ce type de menace. Installez les dernières mises à jour de sécurité.
7. Que faire si vous pensez avoir été infecté ?
✅ Les bons réflexes :
- Déconnectez immédiatement votre PC d'Internet (coupez le Wi-Fi ou le câble réseau)
- Scannez avec un antivirus à jour (Windows Defender, Malwarebytes, etc.)
- Changez tous vos mots de passe (email, banque, réseaux sociaux) depuis un autre appareil sain
- Vérifiez votre compte WhatsApp : Paramètres → Appareils liés, déconnectez tout appareil inconnu
- Prévenez vos contacts qu'ils ont peut-être reçu un message suspect de votre part
8. En résumé
✅ Ce qu'il faut retenir de l'analyse Microsoft :
- L'attaque commence par un fichier .vbs reçu sur WhatsApp
- Les hackers exploitent des outils Windows légitimes (technique du "living-off-the-land")
- Ils contournent l'UAC en modifiant le registre Windows
- Ils installent AnyDesk, WinRAR et LinkPoint pour prendre le contrôle permanent du PC
- La clé pour détecter l'attaque : surveiller l'écart entre le nom affiché et "OriginalFileName" des exécutables
- Protégez-vous : méfiance, antivirus à jour, double authentification WhatsApp
