Depuis le 8 avril 2026, le site officiel de Daemon Tools, un logiciel populaire utilisé par des millions de personnes pour émuler des lecteurs de CD/DVD sur Windows, diffuse un malware à l’insu de ses développeurs et de ses utilisateurs. Comme l’a découvert Kaspersky, des hackers sont parvenus à glisser un logiciel espion dans les fichiers d’installation de Daemon Tools. Il s’agit d’une attaque de la chaîne d’approvisionnement (supply chain attack). Ce type d’offensive consiste à s’en prendre à un maillon défaillant de la chaîne dans l’espoir d’atteindre de nombreux utilisateurs. Les versions compromises s’étendent de la 12.5.0.2421 à la 12.5.0.2434, et sont toutes disponibles sur le site officiel.
Pour passer sous le radar, les cybercriminels se sont servis d’un certificat numérique valide d’AVB Disc Soft, l’éditeur officiel de Daemon Tools, pour signer les fichiers infectés. De facto, les logiciels de sécurité les plus vigilants ne voyaient rien d’anormal lors de l’installation. La signature électronique, censée garantir l’authenticité d’un programme, était authentique. C’est pourquoi la cyberattaque est passée inaperçue pendant des semaines.
À lire aussi : Ce hacker a piraté des milliers de comptes Facebook, mais il a fait une grosse erreur
Des milliers de tentatives d’installation de virus
Une fois Daemon Tools installé, trois fichiers système essentiels du logiciel ne tardent pas à agir de façon malveillante. À chaque démarrage de l’ordinateur, l’un de ces fichiers envoyait discrètement une requête à un serveur externe contrôlé par les pirates. Le fichier recevait alors une série d’instructions de la part des hackers. Dans un premier temps, le malware collectait des informations sensibles, comme l’adresse MAC, le nom de l’ordinateur, la liste des logiciels installés, le processus en cours d’exécution, et les paramètres de langue.
Ces données permettent aux attaquants de déterminer quels ordinateurs doivent être compromis en priorité. En fonction des informations récupérées, d’autres virus sont téléchargés depuis les serveurs des pirates. Kaspersky a recensé plusieurs milliers de tentatives d’installation de malwares supplémentaires depuis le début du mois d’avril 2026. Le rapport décrit notamment l’installation forcée d’une porte dérobée, qui peut aboutir à l’injection de charges utiles malveillantes dans certains processus Windows.
La grande majorité des victimes sont des particuliers, mais environ 10 % des infections concernent des systèmes d’entreprises. Les victimes proviennent d’une centaine de pays différents, dont la Russie, le Brésil, la Turquie, l’Espagne, l’Allemagne, la France, l’Italie et la Chine.
À lire aussi : Faille chez Microsoft – une cyberattaque chinoise frappe la sécurité nucléaire des États-Unis
Une opération d’espionnage chinoise
Après enquête, Kaspersky estime que les hackers derrière l’attaque sont vraisemblablement d’origine chinoise. Les chercheurs pensent que les pirates opèrent sous les ordres du gouvernement chinois. Ils ont en effet découvert des similitudes techniques avec des campagnes d’espionnage précédemment attribuées à des groupes criminels financés par Pékin. C’est pourquoi la majorité des organisations touchées par les installations de portes dérobées se situe en Russie, en Biélorussie et en Thaïlande.
« La porte dérobée n’a infecté qu’une douzaine de machines au sein d’organismes gouvernementaux, d’institutions scientifiques et d’entreprises manufacturières, ainsi que dans des commerces de détail en Russie, en Biélorussie et en Thaïlande », précise Kaspersky.
Tout porte à croire que les hackers chinois ont lancé une opération à grande échelle dans l’espoir de parvenir à pirater des cibles stratégiques. En d’autres termes, les internautes lambda n’étaient pas la véritable cible de la cyberattaque.
Des fichiers vérolés toujours en ligne
Après sa découverte, Kaspersky a alerté AVB Disc Soft, l’éditeur de Daemon Tools. Contacté par TechCrunch, l’éditeur indique que ses équipes sont « au courant du rapport et enquêtent actuellement sur la situation ». AVB Disc Soft ajoute que son « équipe traite cette affaire comme une priorité absolue et travaille activement à l’évaluation et à la résolution du problème ».
« À ce stade, nous ne sommes pas en mesure de confirmer les détails spécifiques mentionnés dans le rapport. Nous prenons néanmoins toutes les mesures nécessaires pour remédier aux risques potentiels et garantir la sécurité de nos utilisateurs », déclare l’entreprise lettone.
Au moment de la publication du rapport de Kaspersky, l’offensive est toujours en cours, et les fichiers d’installation piégés sont toujours disponibles. Si vous utilisez Daemon Tools sur Windows, on vous recommande de désinstaller immédiatement le logiciel et de lancer une analyse complète de votre ordinateur avec un antivirus. Seule la version Windows semble être concernée.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Kaspersky
