GigaWiper : le malware tueur de disques qui prend le contrôle à distance — êtes‑vous déjà vulnérable ?

GigaWiper : un nouveau malware « multifonction » capable d’accès à distance et d’effacer vos disques

Les équipes de sécurité de Microsoft ont sonné l’alarme : un nouveau malware, baptisé GigaWiper, combine les fonctionnalités d’une backdoor et d’un wiper. Autrement dit, il permet à des acteurs malveillants d’accéder à des systèmes Windows à distance puis, selon leur volonté, de détruire irrémédiablement les données présentes sur les disques affectés. Cette menace, détectée pour la première fois en octobre 2025, illustre la montée en puissance d’outils hybrides alliant espionnage, exfiltration et destruction.

Architecture et modes d’action : trois façons de rendre un poste inutilisable

GigaWiper est conçu comme une porte d’entrée multifonction :

  • une backdoor pour maintenir un accès persistant et exécuter des commandes à distance ;
  • un wiper « standalone » qui opère au niveau physique du disque, remplaçant le contenu des partitions par des données aléatoires et supprimant métadonnées et tables de partitions ;
  • des modules dérivés de ransomwares et de wipers connus (notamment des éléments apparentés à Crucio et FlockWiper) qui chiffrent ou effacent les fichiers de façon irréversible.
  • Concrètement, l’opérateur qui contrôle GigaWiper peut choisir entre trois modes destructifs : un wiper qui réécrit l’intégralité du disque rendant l’OS inopérant au redémarrage, un ransomware qui crypte les fichiers avec des clés générées aléatoirement et jamais conservées (rendant la récupération impossible), et un wiper multi‑passage dérivé de FlockWiper conçu pour effacer de manière sécurisée les données.

    Fonctionnalités de la backdoor : une télécommande dangereuse

    La backdoor incluse dans GigaWiper n’est pas un simple module d’accès. Elle installe des mécanismes de persistance (clé de registre, tâche planifiée pour exécution à chaque démarrage) et établit une liaison vers un serveur de commande et contrôle. La gamme de commandes reconnues par le malware est large — jusqu’à 20 instructions différentes — permettant notamment :

    Article à lire  Des chercheurs créent un worm IA capable d’infecter tous les appareils — la menace qui change la donne pour la cybersécurité
  • la destruction ou la chiffrement des données ;
  • l’upload de fichiers vers un serveur distant ;
  • la capture d’écran et la surveillance de l’activité utilisateur ;
  • la collecte d’informations système pour l’évaluation de cibles ;
  • la gestion de processus/services et la modification du registre.
  • Par son canal TCP, la backdoor permet aussi le contrôle interactif, transformant une machine compromise en poste affluent pour des actions ultérieures ou pour propager d’autres charges malveillantes.

    Chaînes d’infection et vecteurs d’entrée : garder les portes fermées

    Les analystes soulignent que GigaWiper n’apparaît généralement qu’après une intrusion initiale : il est donc souvent le « deuxième stade » d’un assaut plus large. Les vecteurs les plus fréquents restent classiques mais efficaces :

  • campagnes d’hameçonnage (phishing) avec pièces jointes malveillantes ou liens vers sites piégés ;
  • sites ou applications frauduleuses permettant le téléchargement de charge utile ;
  • compromission de services exposés, mots de passe faibles ou vulnérabilités non corrigées.
  • La prévention repose donc sur une hygiène élémentaire : vigilance sur les emails, filtrage des pièces jointes, vérification de l’authenticité des sources et surtout gestion rigoureuse des mises à jour et des correctifs.

    Détection et remédiation : que peuvent faire les solutions de sécurité ?

    Microsoft indique que ses solutions (dont Microsoft Defender) sont capables de détecter et bloquer des variantes de GigaWiper. Néanmoins, la sophistication des kits et la présence de modules destructeurs imposent une approche défensive multicouche :

  • détection comportementale : repérer des patterns inhabituels (accès disque massif, création de tâches planifiées, modifications abusives du registre) ;
  • solutions EDR (Endpoint Detection & Response) : enregistrer et analyser les événements pour isoler un poste avant que la destruction ne s’exécute ;
  • segmentation du réseau : limiter les mouvements latéraux et l’accès de postes compromis à des ressources critiques ;
  • politique de sauvegarde robuste : sauvegardes régulières, immuables si possible, stockées hors réseau et testées pour restauration.
  • Article à lire  Apple peut maintenant prélever vos dettes de développeur sur d’autres revenus — la clause qui fait trembler les studios indépendants

    La présence d’un wiper souligne l’impératif d’avoir des sauvegardes hors ligne et protégées. Un chiffrement solide des backups et la conservation de versions historiques sont des mesures indispensables pour pouvoir restaurer un environnement après une attaque destructrice.

    Mesures opérationnelles à recommander aux entreprises

  • réaliser immédiatement un audit des vecteurs d’accès : emails, accès VPN, services exposés ;
  • forcer l’authentification multi‑facteur (MFA) partout où c’est possible ;
  • appliquer sans délai les correctifs des systèmes et des logiciels ;
  • déployer et maintenir une solution EDR avec règles de quarantaines automatiques ;
  • tester régulièrement les procédures de restauration à partir de backups isolés ;
  • mener des exercices de réponse aux incidents incluant le scénario wiper pour valider réactivité et chaînes d’escalade.
  • Pourquoi GigaWiper est une menace paradigmatiquement dangereuse

    GigaWiper illustre une tendance inquiétante : la convergence entre outils d’espionnage (backdoors) et armes de destruction (wipers/ransomwares). Ce type d’armement cybernétique permet non seulement de voler des informations mais aussi d’effacer toute trace et d’anéantir des capacités opérationnelles. Les conséquences pour une entreprise ou une administration peuvent être dramatiques — perte de données critiques, interruption d’activité, coûts élevés de remise en état et risques réputationnels.

    Ce que doivent retenir les lecteurs

    La clé reste la prévention et la préparation : maintenir des défenses actives, contrôler les chemins d’entrée et disposer de sauvegardes irréfutables. Si vous gérez un parc informatique, priorisez l’audit des privilèges, l’application des correctifs et l’implantation d’une solution EDR. Pour tous les utilisateurs, adoptez la prudence face aux emails et liens inattendus, et assurez‑vous que vos sauvegardes sont bien stockées hors réseau afin de pouvoir restaurer vos systèmes en cas d’attaque destructive.

    Article à lire  Espagne : X, Meta et TikTok visés par une enquête sur la diffusion de contenus sexuels — la saisine choc du gouvernement