Mise à jour du 7 mai 2026
Moins de 24 heures après la publication de cet article, les développeurs de Disc Soft Limited ont retiré les fichiers d’installation Daemon Tools du site Internet. Dans une déclaration adressée à BleepingComputer, Disc Soft Limited confirme qu’un cheval de Troie était bien parvenu à s’infiltrer dans ses systèmes. L’entreprise précise que seule la version gratuite, estampillée Lite, a été infectée.
« Moins de 12 heures après avoir identifié le problème, nous avons pu mettre en œuvre une solution. D’après nos premières constatations, le problème était limité à la version gratuite DAEMON Tools Lite et n’affectait aucun de nos autres produits. Nous n’avons trouvé aucune preuve permettant d’affirmer que tous les utilisateurs de DAEMON Tools ont été touchés, et à ce stade, nous ne sommes pas en mesure de confirmer un quelconque impact sur les clients des versions payantes. Notre analyse actuelle indique que DAEMON Tools Pro et DAEMON Tools Ultra n’ont pas été affectés et sont parfaitement sûrs », déclare la société lettone.
L’entreprise ajoute, dans un communiqué publié sur son site, qu’une « version 12.6 de DAEMON Tools Lite, qui ne contient pas les fichiers suspectés d’être compromis, a été publiée le 5 mai ». Les utilisateurs « d’autres produits DAEMON Tools, y compris les versions payantes de DAEMON Tools Lite, DAEMON Tools Ultra et DAEMON Tools Pro, ne sont pas concernés par cet incident et peuvent continuer à utiliser leurs logiciels normalement ». Kaspersky a mis à jour son rapport sur l’incident, en indiquant que « le fournisseur a reconnu le problème et publié une nouvelle version du logiciel pour le corriger ».
Depuis le 8 avril 2026, le site officiel de Daemon Tools, un logiciel populaire utilisé par des millions de personnes pour émuler des lecteurs de CD/DVD sur Windows, diffuse un malware à l’insu de ses développeurs et de ses utilisateurs. Comme l’a découvert Kaspersky, des hackers sont parvenus à glisser un logiciel espion dans les fichiers d’installation de Daemon Tools. Il s’agit d’une attaque de la chaîne d’approvisionnement (supply chain attack). Ce type d’offensive consiste à s’en prendre à un maillon défaillant de la chaîne dans l’espoir d’atteindre de nombreux utilisateurs. Les versions compromises s’étendent de la 12.5.0.2421 à la 12.5.0.2434, et sont toutes disponibles sur le site officiel.
Pour passer sous le radar, les cybercriminels se sont servis d’un certificat numérique valide d’AVB Disc Soft, l’éditeur officiel de Daemon Tools, pour signer les fichiers infectés. De facto, les logiciels de sécurité les plus vigilants ne voyaient rien d’anormal lors de l’installation. La signature électronique, censée garantir l’authenticité d’un programme, était authentique. C’est pourquoi la cyberattaque est passée inaperçue pendant des semaines. Une « compromission de cette nature contourne les défenses périmétriques traditionnelles car les utilisateurs font implicitement confiance à un logiciel signé numériquement et téléchargé directement depuis le site officiel d’un fournisseur », nous explique Georgy Kucherin, chercheur principal en sécurité chez Kaspersky.
À lire aussi : Ce hacker a piraté des milliers de comptes Facebook, mais il a fait une grosse erreur
Des milliers de tentatives d’installation de virus
Une fois Daemon Tools installé, trois fichiers système essentiels du logiciel ne tardent pas à agir de façon malveillante. À chaque démarrage de l’ordinateur, l’un de ces fichiers envoyait discrètement une requête à un serveur externe contrôlé par les pirates. Le fichier recevait alors une série d’instructions de la part des hackers. Dans un premier temps, le malware collectait des informations sensibles, comme l’adresse MAC, le nom de l’ordinateur, la liste des logiciels installés, le processus en cours d’exécution, et les paramètres de langue.
Ces données permettent aux attaquants de déterminer quels ordinateurs doivent être compromis en priorité. En fonction des informations récupérées, d’autres virus sont téléchargés depuis les serveurs des pirates. Kaspersky a recensé plusieurs milliers de tentatives d’installation de malwares supplémentaires depuis le début du mois d’avril 2026. Le rapport décrit notamment l’installation forcée d’une porte dérobée, qui peut aboutir à l’injection de charges utiles malveillantes dans certains processus Windows.
La grande majorité des victimes sont des particuliers, mais environ 10 % des infections concernent des systèmes d’entreprises. Les victimes proviennent d’une centaine de pays différents, dont la Russie, le Brésil, la Turquie, l’Espagne, l’Allemagne, la France, l’Italie et la Chine.
À lire aussi : Faille chez Microsoft – une cyberattaque chinoise frappe la sécurité nucléaire des États-Unis
Une opération d’espionnage chinoise
Après enquête, Kaspersky estime que les hackers derrière l’attaque sont vraisemblablement d’origine chinoise. Les chercheurs pensent que les pirates opèrent sous les ordres du gouvernement chinois. Ils ont en effet découvert des similitudes techniques avec des campagnes d’espionnage précédemment attribuées à des groupes criminels financés par Pékin. C’est pourquoi la majorité des organisations touchées par les installations de portes dérobées se situe en Russie, en Biélorussie et en Thaïlande.
« La porte dérobée n’a infecté qu’une douzaine de machines au sein d’organismes gouvernementaux, d’institutions scientifiques et d’entreprises manufacturières, ainsi que dans des commerces de détail en Russie, en Biélorussie et en Thaïlande », précise Kaspersky.
Tout porte à croire que les hackers chinois ont lancé une opération à grande échelle dans l’espoir de parvenir à pirater des cibles stratégiques. En d’autres termes, les internautes lambda n’étaient pas la véritable cible de la cyberattaque.
Des fichiers vérolés toujours en ligne
Après sa découverte, Kaspersky a alerté AVB Disc Soft, l’éditeur de Daemon Tools. Contacté par TechCrunch, l’éditeur indique que ses équipes sont « au courant du rapport et enquêtent actuellement sur la situation ». AVB Disc Soft ajoute que son « équipe traite cette affaire comme une priorité absolue et travaille activement à l’évaluation et à la résolution du problème ».
« À ce stade, nous ne sommes pas en mesure de confirmer les détails spécifiques mentionnés dans le rapport. Nous prenons néanmoins toutes les mesures nécessaires pour remédier aux risques potentiels et garantir la sécurité de nos utilisateurs », déclare l’entreprise lettone.
Au moment de la publication du rapport de Kaspersky, l’offensive est toujours en cours, et les fichiers d’installation piégés sont toujours disponibles. Si vous utilisez Daemon Tools sur Windows, on vous recommande de désinstaller immédiatement le logiciel et de lancer une analyse complète de votre ordinateur avec un antivirus. Seule la version Windows semble être concernée. Compte « tenu de la complexité de la compromission, il est donc d’une importance capitale pour les organisations d’isoler les machines sur lesquelles le logiciel Daemon Tools est installé et de procéder à des analyses de sécurité pour empêcher toute propagation ultérieure d’activités malveillantes au sein des réseaux d’entreprise », conseille Kaspersky.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : Kaspersky
