Dans les équipes où je passe en audit, le pire n’est pas toujours un virus venu d’un site louche. Ce sont ces petites imprudences du quotidien, ces clics pressés, qui ouvrent la porte aux menaces. Si vous cherchez quelles sont les actions qui infectent votre ordinateur et quelles erreurs éviter, vous êtes au bon endroit. J’alternerai entre explications claires, retours d’expérience et gestes concrets à adopter, pour que vous repartiez avec des réflexes fiables et applicables dès aujourd’hui, au bureau comme à la maison.
Ce qui se cache derrière les actions qui infectent votre ordinateur
Publicités trompeuses et pages clonées
Cliquer sur la première annonce qui s’affiche peut suffire. Des groupes achètent des campagnes et redirigent vers des copies parfaites de sites de logiciels. Le piège s’appelle souvent malvertising ou SEO poisoning. On croit télécharger un utilitaire légitime, on récupère un installeur trafiqué qui installe un cheval de Troie, ouvre un canal de commande et extraction, puis siphonne les identifiants enregistrés dans le navigateur. Signe récurrent observé en intervention : plusieurs redirections avant la page de téléchargement, nom de fichier générique et certificat douteux.
Extensions de navigateur truquées
Le magasin officiel n’est pas infaillible. Des acteurs rachètent des plugins populaires, publient une mise à jour et activent des fonctions intrusives. Résultat : injection de scripts, détournement des recherches, vol de cookies. Surveillez vos extensions de navigateur qui changent soudainement de comportement ou réclament des permissions abusives du type “lire et modifier toutes les données sur les sites visités”. Un pic de pubs, des onglets qui s’ouvrent seuls ou des formulaires auto-complétés sont des signaux d’alerte.
Cracks et versions “gratuites” de logiciels payants
Les “bons plans” téléchargés sur des forums ou torrents sont une porte béante. Derrière, on retrouve souvent des logiciels piratés greffés à des stealers d’identifiants sophistiqués. Ces voleurs récupèrent les sessions connectées (banque, messagerie, réseaux sociaux), puis contournent la double authentification via des cookies volés. Lors d’un incident en PME, un poste infographiste contaminé par un crack a suffi à compromettre les comptes publicitaires et à déclencher des dépenses non autorisées en une nuit.
Supports amovibles : de la clé au clavier
On pense “clé USB”, on oublie tout le reste. Un périphérique déguisé en clavier peut exécuter des commandes sans que rien ne s’affiche. Une clé USB piégée type BadUSB ne contient pas forcément de fichier malveillant : elle se présente comme un périphérique HID légitime et tape des commandes à la vitesse de l’éclair, télécharge un script et crée un compte administrateur silencieusement. En environnement pro, c’est un accès express au réseau interne.
Logiciels officiels contaminés en amont
Les attaques d’éditeurs ou de dépôts permettent d’infecter des versions “officielles”. On parle d’attaque de la chaîne d’approvisionnement. La parade la plus fiable : vérifier la signature numérique et l’empreinte publiée. Sous Windows : Propriétés du fichier → Onglet “Signatures numériques”. Sous macOS, laissez Gatekeeper et XProtect faire leur travail et évitez de forcer l’ouverture. Quand l’éditeur publie un hash, comparez l’empreinte SHA-256 avec l’outil du système, puis validez l’origine du lien de téléchargement.
Pièces jointes et formats détournés
Les macros Office bloquées par défaut ont poussé les attaquants vers d’autres vecteurs : archives légères, fichiers .LNK, images disque .ISO, notes .one, pages .hta. Dans une campagne récente, un simple raccourci Windows ouvrait PowerShell et rejoignait un serveur distant. Beaucoup de ces pièges arrivent via du phishing ciblé : facture simulée, candidature bidon, message urgent RH. Réflexe utile : ouvrir les pièces suspectes dans une machine virtuelle ou un environnement bac à sable, ou tout simplement… s’abstenir.
Savoir reconnaître le piège en quelques secondes
Une vérification express évite 80 % des ennuis. Quelques repères simples à pratiquer systématiquement, seul ou en équipe :
- URL qui ressemble mais avec une lettre en trop ; un cadenas ne prouve pas la légitimité.
- Plusieurs redirections avant le téléchargement ; page qui flotte d’un domaine à l’autre.
- Installeur non signé ou signature inconnue de l’éditeur attendu.
- Extension qui réclame de nouvelles permissions sans raison claire.
- Pièce jointe inattendue qui demande de désactiver SmartScreen ou Gatekeeper.
| Signal | Interprétation | Action rapide |
|---|---|---|
| Nom de domaine approximatif | Site cloné / campagne publicitaire piégée | Rechercher le site officiel, éviter les liens sponsorisés |
| Installeur sans signature | Origine incertaine | Télécharger depuis l’éditeur, contrôler la signature |
| Permissions d’extension élargies | Prise de contrôle du navigateur possible | Désactiver et auditer les extensions |
| Pièce jointe .zip/.lnk inattendue | Tentative de contournement des protections | Vérifier auprès de l’expéditeur, analyser hors-ligne |
Des conséquences bien réelles pour l’entreprise et le perso
Les infections ne se limitent pas à un PC qui rame. Les rapports de l’ANSSI et du Verizon DBIR pointent des tendances stables : l’exploitation d’identifiants volés reste un axe majeur, la monétisation passe par des accès revendus, des campagnes de chiffrement et la pression médiatique. Côté terrain, je vois surtout : comptes publicitaires siphonnés, boutiques en ligne reconfigurées, boîtes mail détournées pour piéger des clients.
- Vol de sessions et d’accès SaaS, rebond vers d’autres services.
- Prise de contrôle des réseaux sociaux et de campagnes, avec dépenses non autorisées.
- Déploiement de mineurs de cryptomonnaies et intégration à un botnet.
- Chiffrement massif par ransomware, demande de rançon et perte d’exploitation.
- Fuite de données clients et risque légal, réputation difficile à restaurer.
Le plus coûteux n’est pas toujours la rançon, mais la remise en état, la communication de crise et le temps passé à réinitialiser tous les accès. Un incident mal géré peut immobiliser une équipe commerciale pendant des jours.
Premiers secours en cas d’intrusion
Quand le doute s’installe, mieux vaut agir vite et calmement. Les étapes ci-dessous ont été éprouvées en intervention. Adaptez-les à votre contexte, surtout si un serveur ou un poste critique est concerné.
- Couper le réseau : Wi‑Fi et Ethernet hors service, pas de VPN. Garder l’ordinateur allumé si possible pour préserver les traces.
- Inventorier les symptômes : fenêtres inhabituelles, nouveaux processus, pics CPU, connexions sortantes.
- Lancer un scan hors ligne avec Windows Defender Offline ou un outil équivalent bootable.
- Sur un compte sain, changer immédiatement les mots de passe sensibles ; révoquer les sessions actives dans Google/Microsoft/Meta.
- Vérifier les règles de transfert mail et les applications connectées ; supprimer les jetons inconnus.
- Inspecter la persistance : tâches planifiées, dossiers de démarrage, services, extensions. Outils utiles : Autoruns, Process Explorer.
- Si un chiffrage débute, isoler la machine, protéger les sauvegardes et solliciter un professionnel.
En cas de doute, signaler l’incident à la direction et contacter un prestataire qualifié. Les victimes en France peuvent être accompagnées par Cybermalveillance.gouv.fr pour orienter les démarches.
Routine de prévention qui tient dans la durée
La sécurité efficace tient plus de l’hygiène que du gadget. Une liste courte, réaliste, qui limite les surfaces d’attaque sans brider la productivité.
- Mises à jour automatiques du système et des navigateurs, correctifs appliqués sans délai.
- Comptes utilisateurs sans droits admin, élévation ponctuelle quand c’est nécessaire.
- Gestionnaire de mots de passe et MFA pour les accès sensibles, rotation régulière des secrets.
- Politique d’extensions stricte : revue trimestrielle, suppression de l’inutile, mises à jour contrôlées.
- Filtrage DNS et blocage des domaines fraîchement créés ; trace des téléchargements centralisée.
- Bloqueur de contenus pour freiner les pubs malicieuses et scripts tiers envahissants.
- Sauvegardes vérifiées : modèle sauvegarde 3-2-1 et tests de restauration mensuels.
- Procédure d’onboarding/offboarding : retrait des accès, inventaire du matériel, effacement sécurisé.
Pour la navigation quotidienne, éviter les onglets de connexion laissés ouverts et apprendre à reconnaître les manipulations type tabnabbing. Un guide dédié est accessible ici : comprendre et se protéger du tabnabbing.
Checklist “10 minutes par mois”
- Mettre à jour OS, suites bureautiques et navigateurs.
- Repasser en revue les extensions et supprimer celles jamais utilisées.
- Vérifier les accès actifs aux comptes principaux et fermer les sessions inconnues.
- Lancer une restauration test sur une sauvegarde, ne serait-ce qu’un dossier.
- Contrôler que les téléchargements se font depuis les sites éditeurs uniquement.
Deux cas vécus qui ont fait bouger les lignes
Cas 1 – PME créative, 40 postes. Un collaborateur, pressé par une deadline, installe une version retouchée d’un logiciel de montage. En moins de deux heures, les comptes publicitaires de la marque sont utilisés pour financer des campagnes étrangères. Nous avons isolé le poste, purgé la persistance, révoqué toutes les sessions et imposé une politique d’achats logiciels centralisés. Les postes ont été rétrogradés en comptes standard, ce qui a limité la portée lors d’un second incident des mois plus tard.
Cas 2 – Indépendant en e‑commerce. Revenus en baisse, trafic propre mais tunnel de conversion cassé. L’origine : une extension coup de cœur, mise à jour en silence, injectait du JavaScript pour détourner les liens d’affiliation. Diagnostic : comparaison du profil de navigateur avant/après, analyse des permissions. Remédiation : profil neuf, listes d’extensions approuvées, suivi des journaux de clics et formation express aux signaux faibles. Le chiffre d’affaires est revenu à la normale en trois jours.
Ce que je conseille de faire dès maintenant
Prenez 20 minutes aujourd’hui pour poser les fondations : désinstaller les plugins inutiles, activer l’authentification à deux facteurs partout, vérifier la provenance de vos téléchargements, et lister les sauvegardes disponibles. Si une alerte survient, vous aurez déjà la moitié du chemin parcouru. Et si vous devez expliquer ces risques à votre équipe, repartez de ce texte : schématisez les trajets d’un fichier, du clic au poste, en montrant où se glissent les faux-semblants.
Les menaces évoluent, mais vos réflexes aussi. Éviter les erreurs banales qui mènent à l’infection, c’est avant tout raconter une autre histoire à chaque clic : celle d’un utilisateur vigilant qui sait reconnaître le piège, vérifier un fichier, et sécuriser ses accès sans perdre de temps.
Dernier mot d’éditeur terrain : même si vous cochez toutes les cases, un incident reste possible. Documentez vos procédures, testez vos scénarios, partagez vos retours d’expérience. Les équipes qui traversent les crises avec le moins de dégâts sont celles qui ont préparé, simplifié et répété.