Votre PC infecté est désormais un interrupteur de mort pour votre téléphone. Voici quoi faire

Des pirates nord-coréens parrainés par l’État viennent de démontrer quelque chose que la plupart des gens ne réalisent pas : si votre ordinateur est infecté par un malware, la sécurité de votre smartphone est déjà compromise, même si votre téléphone lui-même est parfaitement sain.

En septembre 2025, le groupe APT KONNI a utilisé des malwares sur des PC Windows pour effacer à distance des téléphones Android via Google Localiser (fonctionnalité « Google Localiser mon Appareil »). Mais voici le détail crucial qui change tout : Google a confirmé que cette attaque n’exploitait aucune faille de sécurité d’Android ni de « Localiser mon appareil ». La vulnérabilité était bien plus simple — et plus effrayante : des ordinateurs de bureau infectés.

Ce qui s’est réellement passé : la chaîne d’attaque PC → téléphone

La campagne KONNI a fonctionné selon une séquence soigneusement orchestrée qui montre à quel point nos appareils sont interconnectés :

Étape 1 : Ingénierie sociale via une application de messagerie

Les attaquants se sont fait passer pour des psychologues et des militants des droits humains nord-coréens, distribuant des malwares déguisés en programmes anti-stress via la populaire application de messagerie coréenne KakaoTalk. Les victimes pensaient télécharger un logiciel de conseil légitime.

Étape 2 : Infection par un RAT sur les PC Windows

Une fois exécutés, les installateurs MSI malveillants ont déployé des « Remote Access Trojans » (RAT), spécifiquement RemcosRAT, QuasarRAT et RftRAT. Ce ne sont pas de simples virus ; ce sont des outils sophistiqués qui donnent aux attaquants un contrôle à distance total sur les ordinateurs infectés.

Les RAT se déguisent en logiciels légitimes et restent cachés ; ils n’apparaissent pas dans les listes de programmes ou de tâches en cours d’exécution. Une fois installés, les attaquants peuvent surveiller le comportement des utilisateurs, accéder à des informations confidentielles, activer les webcams, prendre des captures d’écran et accéder à tout ce dont la victime dispose.

Étape 3 : Vol d’identifiants et de sessions

Les RAT ont récupéré les identifiants des comptes Google par plusieurs méthodes :

• Enregistreurs de frappe (keylogging) : capturer les mots de passe au moment où les victimes les saisissent.
• Extraction des identifiants dans le navigateur : voler les mots de passe enregistrés dans Chrome, Edge ou d’autres navigateurs.
• Vol de cookies de session : copier les cookies d’authentification de sessions de navigation déjà connectées.

Cette dernière méthode est la plus insidieuse. Lorsqu’un pirate vole des cookies de session, il peut contourner totalement l’authentification à deux facteurs (2FA), car le navigateur a déjà passé le défi d’authentification. Le cookie volé accorde un accès complet sans déclencher de nouvelles invites de sécurité ni de notifications 2FA.

Étape 4 : Effacement à distance via Google Localiser

À l’aide des identifiants ou des cookies de session volés, les attaquants se sont connectés aux comptes Google des victimes et ont accédé à « Localiser mon appareil ». De là, ils pouvaient déclencher des réinitialisations d’usine à volonté, effaçant toute preuve de leur intrusion.

⚠️ Selon les chercheurs de la société sud-coréenne de cybersécurité Genians, dans plusieurs cas, les appareils des victimes ont été effacés sans autorisation, supprimant messages, photos et autres données qui auraient pu révéler des traces de l’intrusion.

Le niveau de sophistication faisait froid dans le dos. Les attaquants ont utilisé la fonction de géolocalisation GPS de Google Localiser pour identifier le moment où une cible se trouvait à l’extérieur et risquait de réagir plus lentement. Dans un incident, l’attaquant a exécuté la commande d’effacement non pas une, mais trois fois, garantissant une perturbation maximale et une perte de données totale.

Étape 5 : Mouvement latéral via KakaoTalk Desktop

Peut-être le plus insidieux, immédiatement après les effacements d’appareils, les attaquants ont exploité les applications KakaoTalk Desktop encore connectées des victimes pour envoyer des fichiers piégés aux contacts des victimes, transformant chaque compte compromis en nœud de contamination secondaire.

La véritable vulnérabilité : vos appareils ne forment qu’un seul système

L’attaque KONNI met en lumière un malentendu fondamental sur la sécurité moderne : nous pensons nos appareils séparément, mais pour les attaquants, ils sont autant de points d’entrée dans le même écosystème.

Beaucoup d’utilisateurs soucieux de leur sécurité se disent : « J’ai activé l’authentification à deux facteurs sur mon compte Google. Un attaquant ne peut pas simplement se connecter à “Localiser mon appareil” depuis son ordinateur. »

Et vous auriez raison si l’attaquant tentait de se connecter depuis son propre appareil. Mais ce n’est pas ce qui s’est passé.

Quand un malware infecte votre PC sur lequel vous êtes déjà connecté à Google, l’attaquant n’a pas besoin de votre mot de passe ni de vos codes 2FA. Il vole vos cookies de session, ces petits fichiers qui indiquent aux sites « Cet utilisateur s’est déjà authentifié avec succès ». Avec ces cookies, les attaquants peuvent :

1. Accéder à votre compte Google comme s’ils étaient vous.
2. Aller sur « Localiser mon appareil » sans déclencher de nouvelle invite de connexion.
3. Exécuter des commandes telles que des réinitialisations d’usine, qui semblent provenir de votre session légitime et authentifiée.
4. Contourner toutes les protections 2FA, puisqu’ils utilisent votre session déjà vérifiée.

Le détournement de session permet aux attaquants de contourner l’authentification à deux facteurs en volant les cookies de session après votre connexion. Une fois le cookie de session acquis, ils peuvent l’utiliser pour accéder à votre compte comme s’ils étaient vous, sans mot de passe ni code 2FA.

De plus, les services cloud modernes créent un pont invisible entre tous vos appareils. Lorsque votre PC est compromis :

• Les mots de passe enregistrés dans votre navigateur deviennent les mots de passe de l’attaquant ;
• Vos sessions authentifiées deviennent les sessions authentifiées de l’attaquant ;
• Vos services cloud (Google, Apple, Microsoft, Dropbox) deviennent le tableau de bord de l’attaquant ;
• Vos autres appareils (téléphone, tablette, maison connectée) deviennent les cibles de l’attaquant.

⚠️ Vous pouvez avoir une sécurité mobile irréprochable (verrous biométriques, stockage chiffré, aucune application suspecte), mais si votre ordinateur de bureau est infecté, tout cela ne sert à rien. L’attaquant n’a pas besoin de compromettre directement votre téléphone. Il lui suffit de compromettre les services cloud qui contrôlent votre téléphone.

Les questions de conception autour de « Localiser mon appareil »

Si la principale vulnérabilité tenait au malware sur PC, l’attaque révèle tout de même certaines limites de conception de « Localiser mon appareil » qui l’ont rendue plus efficace :

1. Exécution instantanée sans période de grâce

Lorsqu’une commande de réinitialisation d’usine est émise via « Localiser mon appareil », elle s’exécute immédiatement. Pas de délai de réflexion, pas d’option « Annuler dans les 5 minutes », pas de vérification envoyée à un appareil secondaire.

Ce choix d’exécution immédiate privilégie le cas d’usage légitime : quelqu’un qui s’est fait voler son téléphone doit pouvoir l’effacer rapidement avant que le voleur n’accède aux données. Mais cela crée un point de défaillance unique catastrophique lorsque le compte lui-même est compromis.

ℹ️ Ce qui pourrait aider : un délai configurable (même 5–10 minutes) avec possibilité d’annuler la commande depuis un autre appareil authentifié. Les utilisateurs ayant besoin d’effacements instantanés pourraient désactiver ce délai ; les utilisateurs soucieux de sécurité pourraient l’activer.

2. Absence de détection d’anomalies

Le système ne signale pas les schémas suspects. Lorsqu’un attaquant :

• se connecte depuis un lieu inhabituel ;
• vérifie les coordonnées GPS ;
• exécute immédiatement une réinitialisation d’usine ;
• répète cela trois fois de suite…

…aucun système automatisé ne dit : « Ce comportement est inhabituel ; exigeons une vérification supplémentaire. »

ℹ️ Ce qui pourrait aider : des modèles d’apprentissage automatique détectant les schémas anormaux et imposant une authentification renforcée (par exemple saisir un code 2FA spécifiquement pour cette action, même si la connexion est déjà ouverte).

3. Journalisation médico-légale limitée

Une fois l’appareil effacé, il n’existe aucun enregistrement dans le cloud de ce qui s’est passé. Les victimes ne peuvent pas :

• voir quand leur téléphone a été effacé ;
• identifier de quel emplacement la commande d’effacement a été envoyée ;
• examiner quelles autres actions « Localiser mon appareil » ont été effectuées ;
• comprendre la chronologie de l’attaque.

ℹ️ Ce qui pourrait aider : des journaux inviolables, stockés séparément de l’appareil, qui consignent toutes les actions « Localiser mon appareil », accessibles même après une réinitialisation d’usine.

4. Alertes de localisation qui dévoilent votre surveillance

Lorsque vous localisez un appareil via Google Localiser, une notification s’affiche sur l’appareil ciblé indiquant « Localisation de l’appareil partagée », ce qui avertit les attaquants que vous les suivez.

Si cela a du sens pour la vie privée dans des scénarios légitimes (vous devez savoir si quelqu’un suit votre position), cela prévient aussi des attaquants sophistiqués que vous avez conscience du compromis, ce qui peut accélérer leur déclenchement de l’effacement de l’appareil.

Ce que vous pouvez faire : une défense en profondeur

L’attaque KONNI montre clairement que la sécurité mobile commence par la sécurité du PC. Voici ce que vous devez faire :

1. Considérez les pièces jointes e-mail comme hostiles jusqu’à preuve du contraire.

   La campagne KONNI reposait sur le fait que les victimes installaient volontairement des fichiers MSI et des archives ZIP reçus via KakaoTalk, déguisés en logiciels de conseil légitimes.

   N’ouvrez jamais de pièces jointes, même provenant de contacts connus, sauf si :

   • vous attendiez le fichier ;
   • vous avez vérifié via un canal distinct (appel téléphonique, pas message) qu’ils l’ont réellement envoyé ;
   • vous l’avez analysé avec un antivirus à jour ;
   • vous comprenez ce que fait le fichier.

   Accordez une attention particulière à :

   • .msi (installateurs Windows) ;
   • .exe (exécutables) ;
   • .zip, .rar, .7z (archives pouvant contenir des exécutables) ;
   • .scr (écrans de veille, souvent malveillants) ;
   • documents Office avec macros activées.

2. Utilisez un EDR (Endpoint Detection and Response).

   Les antivirus grand public ne suffisent plus face à des malwares sophistiqués. Envisagez des solutions de niveau entreprise, comme Windows Defender for Business (inclus avec Microsoft 365 Business Premium) ou Bitdefender GravityZone.

   Les RAT sont conçus pour éviter la détection et peuvent contourner des mesures courantes telles que pare-feu, systèmes de détection d’intrusion et contrôles d’authentification. Il vous faut donc une détection comportementale qui identifie des schémas d’activité suspects, et pas seulement une analyse par signatures.

3. Isolez les activités sensibles sur des appareils distincts.

   Si vous travaillez avec des informations sensibles ou êtes susceptible d’être ciblé, envisagez :

   • d’utiliser un appareil « propre » dédié aux transactions financières et à la gestion des comptes critiques ;
   • de ne jamais installer de logiciels tiers sur cet appareil ;
   • d’utiliser des comptes Google différents sur des appareils différents ;
   • de garder le compte qui pilote « Localiser mon appareil » séparé de votre e-mail du quotidien.

4. Surveillez régulièrement vos sessions actives.

   Faites-en une habitude hebdomadaire :

   1. Allez sur myaccount.google.com > Sécurité > Vos appareils.

   2. Passez en revue tous les appareils connectés.

   3. Déconnectez tout ce que vous ne reconnaissez pas.

   4. Vérifiez les emplacements et horodatages : correspondent-ils à votre usage réel ?

   

5. Activez une authentification à deux facteurs matérielle.

   Bien que le vol de cookies de session puisse toujours contourner même une 2FA matérielle si un malware s’exécute sur un appareil déjà authentifié, les clés matérielles rendent l’attaque bien plus difficile car elles requièrent une présence physique pour l’authentification initiale.

   Toutes les 2FA ne se valent pas :

   ❌ 2FA par SMS : peut être interceptée par un malware ayant accès aux notifications

   ❌ Applications d’authentification : mieux, mais toujours vulnérables au détournement de session

   ✅ Clés de sécurité matérielles : jetons physiques utilisant une vérification cryptographique

   ✅ Passkeys : nouvelle génération d’authentification liée à des appareils spécifiques

   Comment activer : rendez-vous sur myaccount.google.com > Sécurité > Validation en deux étapes > Choisir « Clé de sécurité ».

   

6. Maintenez des sauvegardes hors ligne.

   Comme des effacements à distance peuvent survenir à votre insu (si votre compte est compromis), maintenez des sauvegardes chiffrées hors ligne :

   • Photos/Vidéos : utilisez un disque dur externe avec des sauvegardes régulières, pas seulement le cloud ;
   • Contacts : exportez régulièrement au format VCF ;
   • Documents importants : conservez des copies chiffrées sur une clé USB stockée en lieu sûr ;
   • Codes de secours 2FA : imprimez-les et rangez-les en lieu sûr.

La vérité qui dérange

L’attaque KONNI a réussi non pas grâce à des zero-days sophistiqués, mais à cause de vérités simples que nous n’aimons pas affronter :

• Les utilisateurs ouvriront des pièces jointes provenant de sources de confiance (même lorsque ces sources sont compromises).
• La sécurité des PC est traitée comme moins critique que celle du mobile (alors que les PC accèdent à tout ce que font les appareils mobiles).
• Les cookies de session sont considérés comme moins sensibles que les mots de passe (alors qu’ils donnent le même accès).
• Les services cloud font confiance aux sessions authentifiées (sans vérification continue des comportements inhabituels).
• Nous concevons d’abord pour la commodité, puis pour la sécurité (réinitialisations d’usine instantanées sans délai de grâce).

Les victimes en Corée du Sud n’étaient pas imprudentes. Elles ont été approchées par des personnes se faisant passer pour des figures de confiance de leur communauté, proposant des services apparemment légitimes. Elles ont exercé un niveau de prudence normal, et cela n’a pas suffi.

Conclusion : la sécurité est un système, pas un appareil

La leçon de KONNI ne concerne pas l’insécurité de « Localiser mon appareil ». Elle concerne l’illusion d’une sécurité au niveau de l’appareil dans un monde connecté au cloud.

La sécurité de votre téléphone n’est aussi solide que :

La sécurité de votre PC (un malware peut voler des cookies de session)

L’authentification de votre compte (le type de 2FA compte énormément)

La détection d’anomalies de votre fournisseur cloud (la plupart n’en ont pas)

Votre stratégie de sauvegarde (des effacements à distance peuvent survenir sans votre consentement)

Votre compréhension des chaînes d’attaque (l’ingénierie sociale est le point d’entrée)

Nous ne pouvons plus penser la sécurité en protégeant des appareils isolés. Nous devons sécuriser l’ensemble de l’écosystème d’appareils, de comptes, de sessions et de services cloud qui composent nos vies numériques.

Le groupe KONNI a démontré qu’avec de la patience, de l’ingénierie sociale et une bonne compréhension du fonctionnement des services cloud, des acteurs étatiques peuvent retourner contre vous vos propres outils de sécurité.

La sécurité de votre téléphone commence par la sécurité de votre PC. À l’ère de l’informatique connectée au cloud, il n’existe pas d’appareils isolés. Seulement des vulnérabilités interconnectées.