Une vulnérabilité de longue date dans les fichiers de raccourci Windows (LNK) est activement exploitée par des groupes de piratage parrainés par l’État pour lancer des cyberattaques contre des entités gouvernementales et des diplomates, selon de nouveaux rapports de sécurité. La faille, identifiée comme CVE-2025-9491, permet aux attaquants de cacher du code malveillant dans les icônes de raccourci apparemment inoffensives utilisées quotidiennement par des millions d’utilisateurs. Malgré le nombre croissant d’attaques, Microsoft aurait décidé de ne pas publier de correctif direct pour résoudre ce problème, invoquant le risque de perturber les fonctionnalités légitimes du système d’exploitation. Les fichiers Windows LNK sont généralement utilisés pour pointer vers des applications ou des documents. Cependant, ils peuvent également être configurés pour exécuter des commandes système. La vulnérabilité réside dans la façon dont Windows affiche les propriétés de ces fichiers à l’utilisateur. Alors que l’interface utilisateur de Windows affiche uniquement les 255 premiers caractères du chemin cible d’un raccourci, le format de fichier lui-même prend en charge jusqu’à 4 096 caractères. Les attaquants exploitent cette lacune en « complétant » leurs commandes malveillantes avec des espaces étendus. Lorsqu’un utilisateur inspecte les propriétés du fichier, il voit un chemin inoffensif, mais les arguments malveillants cachés, tels que les scripts PowerShell qui téléchargent des logiciels malveillants, s’exécutent immédiatement à l’ouverture du fichier. Les chercheurs en sécurité ont associé cette technique à des campagnes d’espionnage de grande envergure. Un groupe, identifié sous le nom de XDSpy, a ciblé les agences gouvernementales d’Europe de l’Est. Dans ces attaques, le groupe a utilisé des fichiers LNK pour déclencher un exécutable légitime signé par Microsoft. Cet exécutable a ensuite chargé un fichier DLL malveillant pour installer la charge utile « XDigo », capable de voler des données sensibles, de capturer des captures d’écran et d’enregistrer les frappes au clavier. Un autre acteur menaçant, identifié comme UNC6384, a été observé ciblant des diplomates européens. Ce groupe utilise des tactiques similaires de remplissage d’espaces pour masquer les commandes PowerShell qui déploient le cheval de Troie d’accès à distance PlugX, un outil couramment associé aux opérations de cyberespionnage chinoises. Les rapports indiquent que ces attaques ont été utilisées pour compromettre les systèmes en Hongrie, en Belgique et dans d’autres pays alignés sur l’OTAN. Selon les rapports de Help Net Security, Microsoft a déterminé que cette vulnérabilité spécifique « ne répondait pas aux critères de maintenance ». La position de l’entreprise est que la possibilité de raccourcis pour lancer des programmes avec des arguments est une caractéristique fondamentale du système d’exploitation Windows, et que la modification de ce comportement pourrait perturber les logiciels légitimes. Au lieu d’un correctif de code, Microsoft s’appuie sur son écosystème de sécurité pour atténuer la menace. La société déclare que Microsoft Defender est capable de signaler les raccourcis malveillants et que sa fonction Smart App Control peut bloquer les fichiers non fiables téléchargés sur Internet. Les experts en sécurité conseillent aux utilisateurs de traiter les fichiers LNK avec la même prudence que celle réservée aux fichiers exécutables (.EXE), en particulier lorsqu’ils arrivent par courrier électronique ou dans des archives ZIP. Étant donné que l’interface Windows peut ne pas révéler tout le danger d’un fichier, l’inspection visuelle n’est plus une mesure de sécurité fiable. Pour les environnements d’entreprise, il est recommandé aux équipes de sécurité de configurer des politiques telles que AppLocker pour empêcher les fichiers de raccourci de lancer des outils de ligne de commande tels que PowerShell. Pour les utilisateurs individuels, la mise à jour de leur logiciel antivirus reste la principale ligne de défense contre ces attaques « zéro-clic » ou d’exécution en un seul clic.
