Attaque supply‑chain : Des milliers de PC infectés via des installateurs Daemon Tools signés

Une alerte majeure secoue l’écosystème Windows : des chercheurs en sécurité ont détecté une possible attaque de la chaîne d’approvisionnement liée à Daemon Tools, le célèbre utilitaire de gestion d’images disque. Plutôt qu’un malware classique distribué via un email piégé ou un site douteux, il s’agit ici d’installateurs légitimes apparemment signés mais modifiés, capables d’installer une backdoor et de télécharger d’autres charges malveillantes. Le scénario est préoccupant : des milliers de PC touchés dans plus d’une centaine de pays, des cibles potentiellement sensibles et une difficulté accrue pour les défenses traditionnelles. Voici ce qu’il faut savoir et les actions concrètes à entreprendre si vous avez utilisé Daemon Tools récemment.

Ce qui s’est passé — l’attaque en quelques points

Les analyses montrent que certaines versions distribuées de Daemon Tools Lite, entre avril et début mai, ont été compromises. Les fichiers d’installation incriminés étaient signés avec des certificats numériques valides au nom d’AVB Disc Soft, ce qui faisait paraître l’installateur authentique aux yeux des systèmes de sécurité et des utilisateurs. Une fois exécuté, ce code modifié pouvait collecter des informations sur la machine et, dans certains cas ciblés, télécharger des composants secondaires plus sophistiqués permettant un contrôle à distance.

Les données de télémétrie des firmes de sécurité indiquent des tentatives d’infection recensées dans plus de 100 pays, avec des milliers de systèmes potentiellement exposés. Toutefois, les victimes d’un second payload — la charge plus dangereuse et ciblée — semblent être un sous‑ensemble : entités gouvernementales, organisations scientifiques et entreprises manufacturières ou retail figurent parmi les structures touchées, selon les équipes d’investigation.

Pourquoi cette attaque est particulièrement dangereuse

Canal officiel touché : la compromission d’un installeur officiel casse le principe de confiance ; télécharger depuis le site du développeur n’est plus automatiquement sûr.

Signature valide : l’usage de certificats légitimes contourne une part importante des contrôles automatisés.

Portée internationale : la dispersion géographique et sectorielle complique la corrélation et la mitigation globale.

Que faire si vous avez installé Daemon Tools récemment ?

Si vous avez téléchargé ou mis à jour Daemon Tools entre avril et début mai, voici les étapes pratiques à suivre immédiatement :

Déconnectez temporairement la machine du réseau si vous suspectez une activité anormale (trafic sortant inhabituel, ralentissements, processus inconnus).

Mettre à jour l’antivirus et lancer une analyse complète (deep scan). Utilisez si possible plusieurs outils de sécurité pour croiser les détections.

Vérifiez les versions installées : comparez la version de Daemon Tools sur votre système avec celle disponible aujourd’hui sur le site officiel — Disc Soft affirme avoir retiré les fichiers compromis et remis en ligne des versions nettoyées.

Considérez la désinstallation complète du logiciel si vous ne l’utilisez pas couramment. Si vous devez le garder, réinstallez la dernière version officielle après vérification.

Surveillez les comptes sensibles et changez les mots de passe depuis un appareil sûr si vous suspectez une compromission.

Si vous gérez un parc d’entreprise, isolez les postes concernés, collectez les logs et impliquez votre équipe sécurité pour une analyse forensic.

Indications techniques et hypothèses d’attribution

Les chercheurs ont relevé certains éléments dans le code malveillant qui laissent entrevoir des traces linguistiques orientées vers des environnements de développement chinois. Cela ne constitue pas une attribution définitive, mais souligne la complexité des techniques employées, probablement le travail d’un groupe capable d’altérer des binaires et de gérer une infrastructure de distribution.

L’étape la plus critique de ces attaques est souvent la signature des binaires. Si un acteur parvient à usurper ou voler un certificat, il rend l’attaque bien plus difficile à détecter. Les fournisseurs et éditeurs doivent donc sécuriser leurs processus de build, vérifier l’intégrité des pipelines CI/CD, et recourir à des pratiques comme la signature matérielle et la rotation stricte des certificats.

Mesures préventives pour l’avenir

Renforcer la sécurité des chaînes d’approvisionnement logicielles : dépendances vérifiées, builds reproduisibles et auditables.

Utiliser la whitelisting des applications au sein des environnements sensibles pour bloquer les exécutables non approuvés.

Déployer des solutions de détection comportementale qui repèrent l’anomalie d’un processus, même si le binaire est signé.

Sensibiliser les administrateurs et utilisateurs aux signes d’infection : connexions SSH inconnues, nouveau trafic chiffré sortant, services suspects.

Que disent les éditeurs ?

Disc Soft a confirmé l’incident, affirmant avoir isolé les systèmes compromis et retiré les versions infectées du site. L’entreprise indique avoir remis en ligne des versions nettoyées. Néanmoins, la prudence reste de mise : un correctif côté éditeur ne garantit pas l’absence d’impact sur les systèmes qui ont déjà été infectés.

Les attaques de la chaîne d’approvisionnement gagnent en sophistication et en ampleur. Lorsque des logiciels historiques et largement utilisés deviennent des vecteurs d’infection, la frontière entre « source fiable » et « source risquée » s’amincit. Pour les utilisateurs et les administrateurs, la meilleure défense combine vigilance, sauvegardes sans connexion réseau, analyses multi‑outils et procédures de réponse rapide. Si vous avez le moindre doute après l’installation d’un logiciel, agissez vite : dans la cybersécurité, la réactivité limite souvent l’ampleur des dégâts.

Error: HTTP 400 – { error: { message:Missing required parameter: ‘model’., type:invalid_request_error, param:model, code:missing_required_parameter } }