Attention à la fausse mise à jour de Windows 11 qui vole mots de passe et données bancaires : comment se défendre
Un faux site distribue un malware déguisé en mise à jour cumulative de Windows 11 : il vole des mots de passe, des identifiants bancaires et des données de paiement, invisibles pour 69 antivirus.
Un package de 83 mégaoctets, l'icône Microsoft, un numéro d'article plausible de la base de connaissances. Tout est faux. Derrière ce qui semble être une mise à jour cumulative normale pour Windows 11 se cache un infostealer (un logiciel espion malveillant dont le rôle principal est de voler des informations personnelles et sensibles sur l'appareil de la victime) capable de vider le navigateur des identifiants enregistrés, y compris les données bancaires, et de les transmettre à un serveur anonyme avant que l'utilisateur ne s'en aperçoive.
La société de cybersécurité Malwarebytes a découvert la campagne et a publié le 9 avril 2026 une analyse technique détaillée signée par le chercheur Stefan Dasic.
Le site frauduleux et le fichier MSI
Le point de départ est un domaine enregistré via typosquatting : microsoft-update(.)supportune chaîne qui, à première vue, peut sembler authentique. Le site, entièrement en français, propose une page de mise à jour Windows complétée d'un bouton de téléchargement bleu.
Ce que vous téléchargez est WindowsUpdate 1.0.0.msiun fichier d'installation construit avec WiX Toolset 4.0.0.5512, un framework open source légitime également utilisé par les développeurs professionnels. Dans le champ « Auteur » apparaît « Microsoft », dans le champ « Commentaires » la formulation correcte pour une mise à jour du système. Généré le 4 avril 2026, quatre jours avant que Malwarebytes ne le repère.
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV) Rendu de secours Taboola. Raison :', raison); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, placement : 'Widget milieu d'article 300×250', target_type : 'mix' }); // Si votre intégration Taboola le nécessite, décommentez : // window._taboola.push({ flush: true }); } googletag.cmd.push(function () { console.log('(ADV) GPT init', gptDivId); var gptSlot = googletag .defineSlot('/22142119198/greenme.it/roller', (300, 250), gptDivId) .addService(googletag.pubads()); googletag.pubads (). event.lineItemId }); if (fallbackTriggered) return ; if (event.isEmpty) { renderTaboolaFallback('gpt-empty'); googletag.enableServices();
Comment fonctionnent les logiciels malveillants
L’architecture des logiciels malveillants comporte plusieurs couches et c’est cette structure qui rend leur interception difficile. Une fois le fichier MSI exécuté, trois composants principaux sont installés : une application Electron — la même technologie derrière Visual Studio Code ou Slack — qui fait office de shell externe ; un lanceur Visual Basic Script nommé AppLauncher.vbs; et, en profondeur, un interpréteur Python 3.10 renommé _winhost.exe pour ressembler à un processus système.
C'est la couche Python qui fait le sale boulot. Il charge un certain nombre de bibliothèques spécialisées dans le vol de données, notamment pycryptodome pour chiffrer le butin e pywin32 pour interagir avec les API Windows – et commence à collecter les informations d'identification, les cookies de session, les données de paiement et les jetons d'authentification enregistrés dans le navigateur. Le tout est ensuite transmis à un service de partage de fichiers anonyme : gofile(.)io.
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV2) Render Taboola fallback. Reason:', Reason); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, emplacement : 'Widget milieu d'article 300×250-2', target_type : 'mix' }); } googletag.cmd.push(function () { console.log('(ADV2) GPT init', gptDivId); var gptSlot = googletag.pubads().getSlots().find(function(s) { return s.getSlotElementId() === gptDivId; }); if (!gptSlot) { console.warn('(ADV2) Slot not found:', gptDivId); renderTaboolaFallback('slot-not-found'); return; } googletag.pubads().addEventListener('slotRenderEnded', function (event) { if (event.slot !== gptSlot) return; console.log('(ADV2) slotRenderEnded', { isEmpty: event.isEmpty, size: event.size, warnerId : event.advertiserId, CampaignId : event.campaignId, lineItemId : event.lineItemId } ; if (fallbackTriggered) return ; if (timeoutId) { clearTimeout(timeoutId } ); console.log('(ADV2) GPT a diffusé une création');
Le code malveillant réel est caché dans deux fichiers JavaScript fortement obscurcis, intégrés dans l'application Electron. Au moment de l'analyse, aucun des 69 antivirus testés sur VirusTotal n'a signalé le fichier exécutable principal comme malveillant.
Survit au redémarrage, se fait passer pour Spotify
Le malware implémente deux mécanismes de persistance distincts. Le premier écrit une clé de registre appelée SecurityHealth — nom qui imite le service Windows Defender — qui pointe vers l'exécutable de la fausse mise à jour. La seconde crée un raccourci nommé dans le dossier de démarrage Spotify.lnkun nom suffisamment courant pour ne pas éveiller les soupçons même parmi le personnel informatique.
Parce que la cible, c'est la France
Le choix des utilisateurs francophones n’est pas aléatoire. Au cours des deux dernières années, la France a subi certaines des violations de données les plus graves d'Europe : Free, le deuxième opérateur Internet du pays, a confirmé en octobre 2024 un accès non autorisé aux données d'environ 19 millions de contrats, y compris les coordonnées bancaires. France Travail, le service public de l'emploi, a subi une attaque en 2024 qui a exposé les données de 43 millions de personnes. Dans ce contexte, construire une page de phishing localisée en français a un coût marginal pour ceux qui disposent déjà des noms, adresses et FAI des victimes.
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV3) Render Taboola fallback. Reason:', Reason); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, emplacement : 'Widget milieu d'article 300×250-3', target_type : 'mix' }); } googletag.cmd.push(function () { console.log('(ADV3) GPT init', gptDivId); var gptSlot = googletag.pubads().getSlots().find(function(s) { return s.getSlotElementId() === gptDivId; }); if (!gptSlot) { console.warn('(ADV3) Slot not found:', gptDivId); renderTaboolaFallback('slot-not-found'); return; } googletag.pubads().addEventListener('slotRenderEnded', function (event) { if (event.slot !== gptSlot) return; console.log('(ADV3) slotRenderEnded', { isEmpty: event.isEmpty, size: event.size, warnerId: event.advertiserId, CampaignId: event.campaignId, lineItemId: event.lineItemId }); if (fallbackTriggered) return ; if (timeoutId) { clearTimeout(timeoutId } console.log('(ADV3) GPT a diffusé une création');
Comment se protéger
Les mises à jour Windows sont téléchargées exclusivement via Paramètres > Windows Update ou à partir du catalogue Microsoft Update. Tout site externe proposant un fichier de mise à jour doit être considéré comme suspect, même si l'apparence graphique est convaincante.
Toute personne soupçonnant avoir installé la fausse mise à jour doit : Rechercher la clé de registre HKCUSOFTWAREMicrosoftWindowsCurrentVersionRun une entrée nommée SecurityHealth qui pointe vers WindowsUpdate.exe dans le dossier AppData ; vérifier la présence d'un fichier Spotify.lnk dans le dossier de démarrage ; modifier tous les mots de passe enregistrés dans le navigateur ; activer l'authentification à deux facteurs sur les e-mails et les comptes bancaires.
Source : malwarebytes.com
'; var fallbackTriggered = faux ; var timeoutId = null ; function renderTaboolaFallback(reason) { if (fallbackTriggered) return ; fallbackTriggered = vrai ; si (timeoutId) { clearTimeout (timeoutId); timeoutId = nul ; } console.log('(ADV4) Render Taboola fallback. Reason:', Reason); root.innerHTML = ''; window._taboola.push({ mode : 'thumbnails-300×250', conteneur : taboolaDivId, emplacement : 'Widget milieu d'article 300×250-4', target_type : 'mix' }); } googletag.cmd.push(function () { console.log('(ADV4) GPT init', gptDivId); var gptSlot = googletag.pubads().getSlots().find(function(s) { return s.getSlotElementId() === gptDivId; }); if (!gptSlot) { console.warn('(ADV4) Slot not found:', gptDivId); renderTaboolaFallback('slot-not-found'); return; } googletag.pubads().addEventListener('slotRenderEnded', function (event) { if (event.slot !== gptSlot) return; console.log('(ADV4) slotRenderEnded', { isEmpty: event.isEmpty, size: event.size, warnerId : event.advertiserId, CampaignId : event.campaignId, lineItemId : event.lineItemId } ; if (fallbackTriggered) return ; if (timeoutId) { clearTimeout(timeoutId } ); console.log('(ADV4) GPT a diffusé une création');
