Une nouvelle campagne de ransomware usurpe l'identité d'Interpol pour pousser les petites entreprises à s'infecter elles-mêmes. Selon les chercheurs de Bitdefender, relayés par des médias comme SC Media, Infosecurity et Hackread, les e-mails se font passer pour une "Interpol Cybercrime Investigation Unit" officielle et prétendent qu'une réponse d'urgence est nécessaire pour aider une enquête sur des problèmes de conformité ou de sécurité. L'appât, c'est l'autorité et la peur. La réalité, c'est une tentative maladroite de faire exécuter un malware au destinataire.
Un détail inhabituel change toute la réponse à apporter. Les personnes derrière cette campagne ont si mal conçu leur ransomware que l'outil nécessaire pour inverser le chiffrement, et la clé qu'il utilise, sont transportés à l'intérieur même du malware. Cette seule erreur remet la récupération sans paiement sur la table.
À quoi ressemble la campagne de faux Interpol
Le message arrive sous la forme d'un e-mail maquillé en avis officiel. Il utilise le nom d'Interpol et le libellé inventé d'une "Cybercrime Investigation Unit", et il insiste sur l'urgence : la coopération du destinataire serait requise pour une enquête en cours sur une question de conformité ou de sécurité. Cette mise en scène vise à court-circuiter le discernement. Un salarié effrayé qui croit qu'un organisme de police international le surveille est plus enclin à cliquer d'abord et à réfléchir ensuite.
L'e-mail ne transporte pas directement la charge. Il renvoie vers un lien Proton Drive où est hébergée une archive protégée par mot de passe, et il fournit obligeamment le mot de passe dans le corps du message. Les archives protégées par mot de passe sont une astuce d'évasion classique : beaucoup de scanners d'e-mails et d'endpoints ne peuvent pas inspecter le contenu d'une archive chiffrée, si bien que le fichier malveillant passe à travers les filtres qui l'auraient sinon signalé.
Comment fonctionne la chaîne d'infection
Une fois que la victime télécharge l'archive et saisit le mot de passe fourni, elle ne trouve pas un document. Elle trouve d'autres archives imbriquées à l'intérieur. Couche après couche, l'emballage maintient la vraie charge enfouie, ce qui gêne encore l'analyse automatisée et fait passer l'objet pour un lot de fichiers inoffensif.
Au fond de cette imbrication se trouve le ransomware, déguisé en fichier vidéo. L'ingénierie sociale reste cohérente jusqu'au bout : un destinataire à qui l'on a dit qu'il s'agit d'une enquête s'attend à examiner des preuves, donc une "vidéo" paraît plausible. Quand la victime tente de lire cette vidéo, l'exécutable se lance. Au lieu d'images, il commence à chiffrer les fichiers sur les disques disponibles et dépose une note de rançon exigeant un paiement.
La chaîne est volontairement stratifiée mais pas sophistiquée. Chaque étape, la fausse autorité, l'hébergeur de fichiers hors plateforme, le mot de passe fourni, les archives imbriquées, le déguisement en vidéo, est une astuce déjà connue. Ce qui rend la campagne notable n'est pas son ingéniosité mais le choix des cibles et une erreur d'implémentation qui se retourne contre les attaquants.
La faille clé : la clé de déchiffrement est embarquée dans le malware
Voici le détail le plus important pour toute victime. D'après les chercheurs qui ont analysé les échantillons, ce ransomware transporte à la fois sa fonction de déchiffrement et la clé requise à l'intérieur même du malware. Dans une souche correctement conçue, la clé qui déverrouillerait vos fichiers est générée sur l'infrastructure de l'attaquant et ne touche jamais votre machine, ce qui explique justement pourquoi payer peut sembler la seule issue. Cette campagne fait l'inverse.
Comme la logique de déchiffrement et la clé sont présentes localement, il est techniquement possible de récupérer les fichiers chiffrés sans négocier avec les attaquants ni les payer. C'est un défaut majeur dans la conception des attaquants. Cela signifie aussi que des éditeurs comme Bitdefender sont bien placés pour publier un déchiffreur gratuit bâti à partir de ce matériel embarqué, et que des partenaires antivirus et policiers peuvent l'ajouter au catalogue public d'outils gratuits.
Soyons clairs sur les limites : extraire une clé embarquée en toute sécurité relève du travail d'analystes de malwares, ce n'est pas à improviser à partir d'un article de blog. N'essayez pas de disséquer l'échantillon vous-même. L'enseignement pratique est plus simple et tout aussi important : ne payez pas, car le chiffrement utilisé ici n'est pas du type incassable sur lequel repose un ransomware correctement implémenté.
Qui est visé
La campagne vise les petites et moyennes entreprises plutôt que les particuliers, et elle touche plusieurs régions. Selon Bitdefender, les chercheurs ont observé des cibles aux États-Unis, en Europe, en Asie et au Moyen-Orient, couvrant un large éventail de secteurs : technologie, finance, services juridiques, agroalimentaire, pharmacie et médias. Cette dispersion suggère une distribution opportuniste plutôt qu'une liste de victimes triée sur le volet.
Les petites entreprises sont une proie attrayante pour une raison. Elles manquent souvent d'une équipe de sécurité dédiée, le personnel est parfois moins entraîné face à l'usurpation, et le choc d'un apparent avis d'Interpol peut faire tomber la prudence habituelle. Les attaquants parient sur cette faille. Une équipe bien informée, à l'inverse, repère l'escroquerie dès la première ligne : une vraie police n'envoie pas des "preuves" d'enquête sous forme d'archive protégée par mot de passe depuis un cloud grand public.
Que faire si vous recevez l'un de ces e-mails
Si un message de ce type atterrit dans votre boîte, traitez-le comme hostile et n'interagissez pas avec la charge :
- Ne téléchargez pas l'archive et n'ouvrez aucun fichier qu'elle contient. Le ransomware se déclenche à l'ouverture de la fausse vidéo, donc le plus sûr est de ne jamais atteindre cette étape.
- Ne répondez pas et n'utilisez aucune coordonnée figurant dans l'e-mail. La marque Interpol est fausse, et toute "unit" nommée dans le message est une invention.
- Isolez toute machine qui aurait déjà téléchargé ou ouvert le fichier : débranchez le câble réseau, désactivez le Wi-Fi et déconnectez les disques externes pour limiter la propagation.
- Signalez-le à votre équipe informatique ou sécurité et à votre autorité nationale de lutte contre la cybercriminalité. Si vous devez vérifier une vraie demande policière, contactez l'agence par ses canaux publics officiels, jamais via l'e-mail.
Que faire si vos fichiers sont déjà chiffrés
Si la charge s'est déjà exécutée et que vos fichiers sont verrouillés, la réponse reprend le protocole ransomware standard, avec un facteur encourageant : la conception défaillante de cette souche rend une récupération gratuite réaliste. Avancez calmement, étape par étape.
Commencez par isoler la machine et photographier la note de rançon et l'extension des fichiers chiffrés. Identifiez ensuite la souche avec précision : notre guide d'identification ID Ransomware explique comment uploader un échantillon et la note pour déterminer exactement ce qui vous a frappé. Une identification correcte est ce qui permet de trouver ou de construire un déchiffreur adapté.
Vérifiez ensuite les outils gratuits officiels. Comme la clé est embarquée, un déchiffreur pour cette famille est envisageable, alors consultez le portail No More Ransom et la page des outils gratuits de Bitdefender. Notre guide pillar sur la façon de déchiffrer un ransomware sans payer explique comment trouver, vérifier et tester en toute sécurité un déchiffreur officiel sur une copie avant de le lancer en masse. Si aucun outil n'existe encore pour votre échantillon exact, conservez les fichiers chiffrés sur un disque externe propre et revenez plus tard, car les outils pour les souches défaillantes finissent souvent par sortir.
Si vous disposez d'une sauvegarde propre et déconnectée antérieure à l'attaque, la restaurer est la voie fiable la plus rapide. Quelle que soit l'option retenue, ne payez pas la rançon : le paiement finance l'opération, vous désigne comme cible facile et devient inutile quand le chiffrement lui-même est réversible. Pour la réponse complète pas à pas et les options de récupération, consultez nos guides sur ce qu'il faut faire quand vos fichiers sont chiffrés par un ransomware et comment récupérer des fichiers après un ransomware.
Comment une petite entreprise peut se durcir contre cette menace
Cette campagne réussit par les personnes, pas par une prouesse technique : les meilleures défenses sont donc organisationnelles. Formez le personnel à se méfier de tout message non sollicité qui se réclame de la police et demande de télécharger un fichier protégé par mot de passe, et rendez normal le fait de faire une pause pour vérifier plutôt que de réagir à l'urgence. Bloquez si possible les types de pièces jointes à risque et les archives protégées par mot de passe au niveau de la passerelle e-mail, car c'est exactement l'évasion sur laquelle mise cette campagne.
Conservez des sauvegardes hors ligne ou immuables pour qu'un chiffrement réussi reste un désagrément et non une crise, et testez que vous pouvez réellement les restaurer. Enfin, posez une règle simple : tout contact réel d'une agence de police se vérifie via les canaux nationaux officiels, jamais via un lien, une pièce jointe ou un numéro de téléphone fourni dans un e-mail inattendu. Ces réflexes neutralisent la peur que cette fausse campagne Interpol est conçue pour exploiter.
Guides liés
- Décrypter un ransomware sans payer : guide complet 2026
- Fichiers chiffrés par un ransomware : que faire maintenant
- Récupérer des fichiers après un ransomware
Sauvegarde maintenant pour neutraliser les rançongiciels → EaseUS Todo Backup
Sauvegardes automatiques · clone de disque · copie hors-ligne
