GigaWiper : le malware tueur de disques qui prend le contrôle à distance — êtes‑vous déjà vulnérable ?
GigaWiper : un nouveau malware « multifonction » capable d’accès à distance et d’effacer vos disques
Les équipes de sécurité de Microsoft ont sonné l’alarme : un nouveau malware, baptisé GigaWiper, combine les fonctionnalités d’une backdoor et d’un wiper. Autrement dit, il permet à des acteurs malveillants d’accéder à des systèmes Windows à distance puis, selon leur volonté, de détruire irrémédiablement les données présentes sur les disques affectés. Cette menace, détectée pour la première fois en octobre 2025, illustre la montée en puissance d’outils hybrides alliant espionnage, exfiltration et destruction.
Architecture et modes d’action : trois façons de rendre un poste inutilisable
GigaWiper est conçu comme une porte d’entrée multifonction :
Concrètement, l’opérateur qui contrôle GigaWiper peut choisir entre trois modes destructifs : un wiper qui réécrit l’intégralité du disque rendant l’OS inopérant au redémarrage, un ransomware qui crypte les fichiers avec des clés générées aléatoirement et jamais conservées (rendant la récupération impossible), et un wiper multi‑passage dérivé de FlockWiper conçu pour effacer de manière sécurisée les données.
Fonctionnalités de la backdoor : une télécommande dangereuse
La backdoor incluse dans GigaWiper n’est pas un simple module d’accès. Elle installe des mécanismes de persistance (clé de registre, tâche planifiée pour exécution à chaque démarrage) et établit une liaison vers un serveur de commande et contrôle. La gamme de commandes reconnues par le malware est large — jusqu’à 20 instructions différentes — permettant notamment :
Par son canal TCP, la backdoor permet aussi le contrôle interactif, transformant une machine compromise en poste affluent pour des actions ultérieures ou pour propager d’autres charges malveillantes.
Chaînes d’infection et vecteurs d’entrée : garder les portes fermées
Les analystes soulignent que GigaWiper n’apparaît généralement qu’après une intrusion initiale : il est donc souvent le « deuxième stade » d’un assaut plus large. Les vecteurs les plus fréquents restent classiques mais efficaces :
La prévention repose donc sur une hygiène élémentaire : vigilance sur les emails, filtrage des pièces jointes, vérification de l’authenticité des sources et surtout gestion rigoureuse des mises à jour et des correctifs.
Détection et remédiation : que peuvent faire les solutions de sécurité ?
Microsoft indique que ses solutions (dont Microsoft Defender) sont capables de détecter et bloquer des variantes de GigaWiper. Néanmoins, la sophistication des kits et la présence de modules destructeurs imposent une approche défensive multicouche :
La présence d’un wiper souligne l’impératif d’avoir des sauvegardes hors ligne et protégées. Un chiffrement solide des backups et la conservation de versions historiques sont des mesures indispensables pour pouvoir restaurer un environnement après une attaque destructrice.
Mesures opérationnelles à recommander aux entreprises
Pourquoi GigaWiper est une menace paradigmatiquement dangereuse
GigaWiper illustre une tendance inquiétante : la convergence entre outils d’espionnage (backdoors) et armes de destruction (wipers/ransomwares). Ce type d’armement cybernétique permet non seulement de voler des informations mais aussi d’effacer toute trace et d’anéantir des capacités opérationnelles. Les conséquences pour une entreprise ou une administration peuvent être dramatiques — perte de données critiques, interruption d’activité, coûts élevés de remise en état et risques réputationnels.
Ce que doivent retenir les lecteurs
La clé reste la prévention et la préparation : maintenir des défenses actives, contrôler les chemins d’entrée et disposer de sauvegardes irréfutables. Si vous gérez un parc informatique, priorisez l’audit des privilèges, l’application des correctifs et l’implantation d’une solution EDR. Pour tous les utilisateurs, adoptez la prudence face aux emails et liens inattendus, et assurez‑vous que vos sauvegardes sont bien stockées hors réseau afin de pouvoir restaurer vos systèmes en cas d’attaque destructive.


