Vous pensiez que Daemon Tools n'était qu'un gentil émulateur de lecteur CD pour vos vieux jeux et vos ISO douteuses ? Raté. Pendant 31 jours, du 15 avril au 16 mai 2025, les serveurs de mise à jour de ce vénérable logiciel ont distribué un backdoor complet. Pas une simple pub, pas un adware à la con : un accès administrateur silencieux, prêt à siphonner, espionner, chiffrer. Et vous, vous avez continué à cliquer sur "Mettre à jour" comme des moutons.
La supply-chain, ce joli mot pour dire qu'on a laissé la porte ouverte
L'attaque est un cas d'école de supply-chain attack — cette mode qui consiste à infecter un logiciel légitime pour contaminer des millions de machines en une fois. L'éditeur, Disc Soft (oui, le célèbre inventeur du format .mds), a laissé ses serveurs de build non sécurisés. Un attaquant (ou plusieurs, on ne sait pas, ils se planquent) a injecté un payload malveillant dans le binaire de mise à jour. Résultat : toute personne ayant lancé Daemon Tools entre ces dates a téléchargé un backdoor signé numériquement avec le certificat officiel. Parfait pour passer sous les radars des antivirus.
Qui s'est goinfré pendant que vous montiez vos ISO douteuses ?
Le backdoor — identifié sous le nom Backdoor.DaemonRAT par quelques labos de sécurité — permettait à l'attaquant de prendre le contrôle total de la machine : keylogging, capture d'écran, téléchargement de charges supplémentaires, exfiltration de fichiers. Les données visées ? Les plus juteuses : mots de passe, cookies, fichiers de jeux, documents professionnels. Le tout sans jamais alerter l'utilisateur, bien sûr. Daemon Tools a plus de 100 millions d'utilisateurs dans le monde (principalement des joueurs, des bidouilleurs, et des employés de bureau qui montent des ISO de logiciels corporate). Imaginez le nombre de machines compromises.
Les leçons ? On vous les a déjà données, vous n'avez pas écouté
Disc Soft a fini par réagir le 17 mai, après un signalement de chercheurs en sécurité qui avaient remarqué des comportements étranges. Le correctif ? Un communiqué laconique sur leur forum, conseillant de réinstaller le logiciel depuis une source « propre ». Aucune notification directe, aucun outil de nettoyage automatique, aucune reconnaissance de la gravité. C'est ça, la réponse d'un éditeur qui a laissé son produit devenir un cheval de Troie pendant un mois. Et vous, utilisateurs de Daemon Tools, qu'avez-vous fait ? Rien. Vous avez continué à utiliser le logiciel, à ignorer les alertes de votre antivirus (si vous en avez un), à penser que « ça n'arrive qu'aux autres ». C'est vous, maintenant, les hôtes du parasite.
À qui la faute ? À Disc Soft, évidemment, pour sa négligence crasse en matière de sécurité des builds. Mais aussi à chaque utilisateur qui a refusé de mettre à jour son logiciel autrement qu'en cliquant aveuglément sur le bouton vert. Vous voulez une leçon de cybersécurité ? Arrêtez de faire confiance à des outils développés par des entreprises qui ne sécurisent même pas leur pipeline de déploiement. Daemon Tools est mort ? Non, il est juste devenu un zombie numérique qui continue à distribuer du malware. Vous voulez une alternative ? Utilisez des outils open source audités, ou au minimum vérifiez les sommes de contrôle. Mais surtout, ne soyez pas étonnés quand on vous rappelle que votre sécurité dépend de votre vigilance — et que la vôtre est, disons, négative.
Et maintenant ?
Les régulateurs ? Ils dorment. Les CERT ? Ils émettent des bulletins que personne ne lit. Les attaquants ? Ils ont empoché les données et probablement déjà vendu l'accès à des rançongiciels ou à des botnets. Si vous avez utilisé Daemon Tools en avril ou mai 2025, considérez votre machine comme compromise. Changez tous vos mots de passe. Activez l'authentification multi-facteurs. Surveillez vos comptes bancaires. Et la prochaine fois que vous chercherez un logiciel pour monter une ISO, souvenez-vous : le vrai backdoor, c'est parfois celui que vous installez vous-même.