Nous sommes en 2017, et pour la première fois, Trend Micro signale le problème : des groupes APT glissent discrètement des commandes malveillantes dans les propriétés des fichiers .lnk.
L’affaire est suivie de près. Les fichiers .lnk sont des raccourcis Windows très communs, comme ceux que l’on trouve sur le bureau, qui pointent vers un programme ou un document.
Le subterfuge des assaillants repose sur une limite dans le champ Cible, qui indique le programme à lancer au double-clic. En ajoutant une succession d’espaces, il devient possible de camoufler une redirection ou une commande malveillante, et de franchir plus aisément l’étape de la vérification humaine.
Pendant 8 ans, la communauté cyber a attendu une correction à ce problème. Elle est arrivée en novembre 2025, sans crier gare. Microsoft a modifié le comportement des fichiers .lnk sous Windows 11, sans communiquer officiellement sur le sujet.
La solution a été constatée puis partagée par les chercheurs d’ACROS Security dans un billet de blog publié le 2 décembre 2025.
Une attaque en octobre 2025 a remis le sujet sur la table
Alors, qu’est-ce qui a bien pu déclencher cette prise de conscience chez Microsoft ? Cette correction résonne comme un demi-aveu pour l’entreprise américaine, qui avait longtemps qualifié la faille de « faible gravité » et estimé qu’elle ne remplissait pas les critères justifiant une intervention.
Le fusil a peut‑être changé d’épaule en octobre 2025, lorsqu’un groupe d’espionnage lié à la Chine, connu sous le nom d’UNC6384 ou « Mustang Panda », a exploité la vulnérabilité dans une campagne ciblée contre des entités diplomatiques européennes en Hongrie, en Belgique, en Italie, en Serbie et aux Pays‑Bas.
Les fichiers .lnk piégés avaient été diffusés via une campagne de phishing usurpant des invitations à des ateliers de l’OTAN ou de la Commission européenne. Lorsqu’un destinataire ouvrait ce qui semblait être un raccourci inoffensif, des commandes cachées déclenchaient des scripts PowerShell obfusqués qui déployaient une charge utile, aboutissant à l’installation du cheval de Troie d’accès à distance PlugX.
La correction de Microsoft
Cette dernière affaire avait permis aux attaquants d’obtenir un accès persistant et furtif aux systèmes compromis.
Désormais, avec cette mise à jour, l’intégralité de ce qui est saisi dans le champ « Cible » est affichée sur une seule ligne dans la fenêtre Propriétés, ce qui empêche de masquer des commandes malveillantes derrière des espaces ou des caractères invisibles.
Ces mesures d’atténuation ne signifient pas pour autant que le risque a disparu. Il reste à veiller à la mise à jour effective des systèmes… et à espérer que les machines infectées durant ces 8 années d’exploitation ont, entre-temps, été assainies.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !