Cinq cents millisecondes. C’est la fréquence à laquelle ce malware vérifie ce que vous avez copié, en attendant que vous colliez l’adresse d’un wallet pour la remplacer par celle d’un voleur. Microsoft l’a rendu public le 17 juin 2026, alors qu’il circulait sans être détecté depuis février. Pourquoi est-ce important ? Parce qu’il frappe le geste le plus banal que nous faisons avec les cryptos : copier-coller une adresse.
Son nom technique est crypto clipper, et l’antivirus de Microsoft l’identifie comme Trojan:Win32/CryptoBandits.A. Il se propage via des clés USB infectées, sur des systèmes Windows, et Binance l’a également signalé à ses utilisateurs. Ce n’est pas un simple voleur de données : il combine vol, capacité à se propager de manière autonome et porte dérobée pour le contrôle à distance. La section hack rassemble les cas similaires.
Comment fonctionne l’attaque ?
La chaîne est organisée et silencieuse, et ne nécessite presque aucun clic conscient :
- Clé USB infectée : les vrais fichiers sont cachés et remplacés par des raccourcis déguisés en documents.
- Exécution : en ouvrant le faux raccourci, un script se lance et installe un ver, avec des tâches planifiées pour rester actif après le redémarrage.
- Surveillance : le malware vérifie le presse-papiers de Windows toutes les 500 millisecondes et capture régulièrement des captures d’écran.
- Vol et substitution : il recherche des seed phrases et des clés privées, puis, lorsque vous copiez une adresse, il la remplace par celle de l’attaquant.
- Exfiltration : les données transitent par le réseau Tor, qui masque l’infrastructure de l’attaquant.
Pourquoi est-il plus dangereux qu’un clipper classique ?
Trois détails font monter le niveau de risque. Le premier est le réseau Tor : en acheminant les communications via un proxy local et des adresses cachées, le malware rend presque invisible la personne qui se trouve de l’autre côté. Le deuxième est la porte dérobée : en plus de voler, elle permet d’exécuter d’autres codes ultérieurement, ouvrant la voie à des ransomwares et à de nouvelles attaques. Le troisième est le plus sournois.
Vol numérique et transfert de fichiers
Lorsqu’il remplace l’adresse que vous avez copiée, il en génère une qui ressemble à l’originale, avec des premiers et derniers caractères similaires, de sorte qu’un contrôle rapide ne remarque pas l’échange. Il cible Bitcoin dans ses différents formats, ainsi qu’Ethereum, Tron et Monero. C’est exactement le type de piège que nous approfondissons dans la section arnaques.
Comment se protéger ?
La bonne nouvelle, c’est que les contre-mesures sont simples et accessibles à tous :
Désactivez l’exécution automatique : désactivez AutoRun et AutoPlay pour les périphériques amovibles, afin que les clés USB ne puissent rien lancer automatiquement.
Ne faites pas confiance aux clés USB inconnues : traitez tout support amovible d’origine incertaine comme potentiellement infecté.
Vérifiez l’adresse en entier : avant d’envoyer des fonds, contrôlez l’adresse complète, pas seulement les premiers et les derniers caractères.
Utilisez un hardware wallet : confirmez l’adresse sur l’écran de l’appareil, là où le malware ne peut pas intervenir. Nous en parlons dans le guide consacré à la conservation des cryptos.
Au fond, le point faible est unique : le presse-papiers. C’est là que se joue le vol, dans la demi-seconde qui sépare le copier du coller. L’habitude qui désamorce presque tout est banale, mais extrêmement puissante : vérifier l’adresse en entier et la confirmer sur le dispositif physique. Pour les mises à jour officielles, les références restent Microsoft et l’Agence nationale de cybersécurité, tandis que nous suivons les cas et les attaques dans la section Bitcoin.
