par Envoyer de la cryptomonnaie passe par un geste banal : copier une longue adresse de portefeuille, puis la coller dans le champ d’envoi de son exchange ou de son application. C’est exactement ce moment que vise un malware repéré depuis février par les équipes de sécurité de Microsoft.
Le principe porte un nom dans le milieu : un clipper. Le programme surveille en permanence le presse-papiers, cette mémoire temporaire où atterrit tout ce que vous copiez. Dès qu’il y détecte une adresse Bitcoin ou Ethereum, il la remplace par celle d’un pirate, sans le moindre signe à l’écran.
Le détail qui rend la chose redoutable, c’est le soin du remplacement. L’adresse frauduleuse conserve les premiers et les derniers caractères de la vraie, justement ceux que l’œil vérifie d’un coup avant de valider une transaction. Vous croyez relire votre adresse, vous validez un virement vers un inconnu.
Microsoft a catalogué cette menace sous le nom CryptoBandits. Et le logiciel ne se contente plus de détourner des fonds. Il installe une porte dérobée, un accès caché qui permet à l’attaquant d’exécuter à distance à peu près n’importe quelle commande sur la machine infectée.
Pour mettre vos clés privées hors de portée d’un presse-papiers piégé, un portefeuille matériel garde vos cryptos hors ligne :
Ledger Nano S Plus, portefeuille physique pour cryptos → voir sur Amazon
Lien affilié Amazon. En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
L’infection démarre presque toujours par une clé USB piégée. Un faux raccourci Windows se déguise en document. Vous pensez ouvrir un PDF ou un tableur, vous lancez un programme. Le malware se recopie alors sur chaque support branché, masque les vrais fichiers et sème des raccourcis sosies, si bien qu’un simple double-clic relance la contagion.
Pour communiquer avec ses serveurs sans laisser de trace, il embarque son propre accès au réseau Tor, celui qui anonymise le trafic, et fait transiter ses échanges par des adresses en .onion qu’un filtrage classique ne sait pas bloquer. Toutes les demi-secondes, un second module fouille le presse-papiers à la recherche de clés privées et de phrases de récupération, ces fameuses suites de douze à vingt-quatre mots qui ouvrent un portefeuille entier.
Microsoft dit avoir relevé une dizaine de variantes, signe d’une campagne déjà rodée et active depuis des mois, restée jusque-là parfaitement discrète.
La parade reste de bon sens. On évite de brancher une clé USB d’origine inconnue, on se méfie des fichiers qui réclament un double-clic pour s’ouvrir, et surtout, avant de valider le moindre envoi de crypto, on relit l’adresse collée caractère par caractère. Le milieu de la chaîne, en particulier, mérite toute votre attention.
En tant que Partenaire Amazon, je réalise un bénéfice sur les achats remplissant les conditions requises.
Crédit photo : Illustration générée par IA
