CPU-Z et HWMonitor piégés : votre PME est-elle touchée ?

Imaginez : un de vos techniciens télécharge un outil de diagnostic courant depuis ce qui semble être le site officiel, et sans le savoir, il installe un logiciel espion sur votre réseau d'entreprise. C'est exactement ce qui s'est passé fin 2023 avec le site CPUID, éditeur des célèbres logiciels CPU-Z et HWMonitor. Pendant moins de 24 heures, le site officiel a servi de relais à des pirates pour distribuer un RAT — un cheval de Troie à accès distant — camouflé dans de faux installateurs. Si vos équipes utilisent ces outils, cet article est fait pour vous.

Qu'est-ce qui s'est passé exactement ?

CPU-Z et HWMonitor sont deux logiciels très répandus chez les techniciens et responsables IT. Ils permettent de vérifier l'état du matériel d'un ordinateur : température du processeur, vitesse des ventilateurs, charge de la mémoire vive, etc. Des outils incontournables dans de nombreuses PME. Le site CPUID, qui héberge ces logiciels, a été compromis — c'est-à-dire piraté — par des cybercriminels. Ces derniers ont remplacé les fichiers de téléchargement officiels par des versions piégées. Quiconque a téléchargé CPU-Z ou HWMonitor depuis le site officiel durant cette courte fenêtre a potentiellement installé un RAT (Remote Access Trojan, soit un cheval de Troie à accès distant). En clair : un programme qui donne aux pirates un contrôle total et invisible sur l'ordinateur infecté. Ils peuvent alors lire vos fichiers, espionner vos mots de passe, accéder à votre messagerie ou se propager sur le reste de votre réseau.

Pourquoi vos techniciens IT sont-ils particulièrement exposés ?

Ce type d'attaque est particulièrement insidieux pour les PME, car elle cible justement les personnes en qui vous avez confiance pour protéger votre informatique. Un technicien ou un responsable IT qui télécharge CPU-Z ou HWMonitor, c'est un geste professionnel tout à fait normal — pas un comportement à risque. Le problème vient du fait que les pirates ont utilisé le site officiel comme vecteur d'infection. Votre antivirus et vos règles de bon sens ne suffisent pas à détecter ce type de menace au moment du téléchargement. De plus, les postes des personnes ayant des droits d'administration sur votre réseau sont les plus dangereux à compromettre : depuis leur machine, les attaquants peuvent rebondir vers l'ensemble de votre parc informatique, vos serveurs, vos données clients, votre comptabilité. C'est ce que l'on appelle une attaque par la chaîne d'approvisionnement logicielle — et elle touche de plein fouet les PME qui font confiance à des outils professionnels reconnus, comme dans le cas du CPUID compromis RAT.

Comment savoir si vous êtes concerné ?

Première question à poser à votre équipe technique : est-ce que quelqu'un a téléchargé CPU-Z ou HWMonitor entre fin octobre et début novembre 2023 ? Si la réponse est oui, ou si vous n'êtes pas sûr, voici les signaux d'alerte à surveiller sur les postes concernés. Des ralentissements inexpliqués ou une activité réseau inhabituelle (des données qui partent en dehors des heures de travail, par exemple) peuvent être des indices. Votre antivirus peut également avoir émis des alertes que vous n'avez pas prises en compte sur le moment. Le fichier malveillant distribué dans le cadre de l'attaque HWMonitor trojan entreprise a été identifié par plusieurs éditeurs d'antivirus sous des noms comme Trojan.RedLine ou Vidar Stealer — des logiciels spécialisés dans le vol de mots de passe et de données de connexion. Demandez à votre prestataire informatique de vérifier les journaux d'activité des postes suspects et de lancer une analyse complète avec un outil de détection à jour. Ne supprimez pas les fichiers vous-même : une analyse préalable permet de mesurer l'étendue d'une éventuelle intrusion.

Ce que vous pouvez faire dès maintenant

1. Interrogez votre équipe IT ou votre prestataire informatique dès aujourd'hui. Demandez-leur explicitement si CPU-Z ou HWMonitor ont été téléchargés récemment sur un ou plusieurs postes de votre entreprise, et si c'est le cas, lesquels.

2. Isolez les postes suspects du réseau. Si un doute existe sur une machine, déconnectez-la d'Internet et du réseau interne en attendant une vérification complète. Cela empêche un éventuel logiciel malveillant de communiquer avec les pirates ou de se propager.

3. Changez les mots de passe critiques immédiatement. En cas d'infection confirmée ou même soupçonnée, modifiez en priorité les mots de passe de vos comptes professionnels les plus sensibles : messagerie, outils de comptabilité, accès à vos serveurs, espaces cloud. Faites-le depuis un appareil sain, non concerné par le téléchargement.

4. Lancez une analyse antivirus complète. Assurez-vous que votre solution de sécurité est à jour et demandez une analyse approfondie — et non pas un simple scan rapide — sur tous les postes potentiellement touchés. Certaines solutions spécialisées comme Malwarebytes peuvent compléter votre antivirus habituel.

5. Mettez en place une règle simple pour l'avenir : tout téléchargement de logiciel sur un poste professionnel doit être validé par votre responsable IT ou votre prestataire, même s'il s'agit d'un outil connu. L'attaque CPUID compromis RAT le démontre : même les sources officielles peuvent être piégées.