Le site officiel de CPUID a distribué des versions piégées de CPU-Z et HWMonitor pendant 6 heures suite à la compromission d'une API. Les installeurs malveillants déployaient un RAT complet sur les postes des victimes.
En bref
- Le site officiel de CPUID a distribué des versions piégées de CPU-Z et HWMonitor pendant environ 6 heures les 9 et 10 avril 2026
- Les attaquants ont compromis une API secondaire pour rediriger les liens de téléchargement vers un installeur malveillant hébergé sur Cloudflare R2
- Action requise : vérifier l'intégrité des exécutables téléchargés durant cette fenêtre et scanner les postes concernés
Les faits
Entre le 9 et le 10 avril 2026, des attaquants ont compromis une API secondaire du projet CPUID, éditeur des outils de diagnostic système CPU-Z et HWMonitor utilisés par des millions de techniciens et administrateurs dans le monde. L'attaque a permis de modifier les liens de téléchargement affichés sur le site officiel cpuid.com, redirigeant aléatoirement les visiteurs vers des exécutables malveillants hébergés sur le service de stockage Cloudflare R2. L'attaque a duré environ six heures, profitant de l'absence du développeur principal en congé. Selon BleepingComputer, les fichiers originaux signés n'ont pas été compromis directement — seuls les liens de distribution ont été altérés.
Les utilisateurs ayant téléchargé l'un des deux outils durant cette fenêtre ont reçu un fichier nommé HWiNFO_Monitor_Setup, un installeur Inno Setup en langue russe déployant un toolkit d'accès distant complet. Ce choix de nom, emprunté à un outil tiers légitime (HWiNFO), visait à semer la confusion et retarder la détection. CPUID a confirmé avoir corrigé le problème et rétabli les versions officielles propres pour les deux logiciels. Cette attaque s'inscrit dans une série d'attaques supply chain récentes ciblant les canaux de distribution logicielle plutôt que le code source lui-même.
Impact et exposition
CPU-Z et HWMonitor sont des outils standards dans les environnements de maintenance informatique, souvent utilisés par les administrateurs système, les équipes support et les techniciens en atelier. Tout poste ayant exécuté l'installeur malveillant est potentiellement compromis avec un accès distant complet pour les attaquants. La fenêtre d'exposition de 6 heures limite le nombre de victimes, mais le profil des utilisateurs de ces outils — souvent des postes techniques avec des privilèges élevés — amplifie considérablement le risque. Les environnements d'entreprise utilisant des déploiements automatisés depuis le site officiel sont particulièrement exposés. Le vecteur d'attaque rappelle les techniques de compromission de la supply chain logicielle de plus en plus fréquentes en 2026.
Recommandations
- Vérifier immédiatement si CPU-Z ou HWMonitor ont été téléchargés entre le 9 et le 10 avril 2026 — contrôler les hash SHA-256 des installeurs contre les signatures officielles CPUID
- Scanner en profondeur tout poste ayant exécuté un fichier nommé
HWiNFO_Monitor_Setupprovenant de cpuid.com — rechercher les indicateurs de RAT (connexions sortantes inhabituelles, services inconnus) - Mettre en place une vérification systématique des signatures numériques avant déploiement d'outils téléchargés, même depuis des sources officielles
- Considérer l'hébergement local des outils de diagnostic approuvés plutôt que le téléchargement direct depuis les sites éditeurs, comme recommandé dans les bonnes pratiques anti-supply chain
Alerte critique
Si vos équipes techniques ont téléchargé CPU-Z ou HWMonitor depuis le site officiel entre le 9 et le 10 avril 2026, considérez les postes concernés comme potentiellement compromis. Lancez une analyse forensique immédiate et changez les credentials accessibles depuis ces machines.
Comment savoir si mon téléchargement de CPU-Z est compromis ?
Vérifiez le nom du fichier téléchargé : les versions malveillantes se présentent sous le nom HWiNFO_Monitor_Setup avec un installeur en russe, ce qui est anormal pour CPUID. Comparez le hash SHA-256 de votre fichier avec ceux publiés sur le site CPUID après correction. Les versions actuellement en ligne sont propres et sûres. Si vous avez exécuté le fichier suspect, lancez immédiatement un scan antivirus complet et vérifiez les connexions réseau sortantes de votre machine.
Les versions actuelles de CPU-Z et HWMonitor sont-elles sûres ?
Oui. CPUID a confirmé que les fichiers signés originaux n'ont jamais été compromis — seuls les liens de téléchargement ont été détournés. Les versions actuellement disponibles sur le site officiel sont les versions légitimes. Néanmoins, vérifiez systématiquement la signature numérique des exécutables avant de les déployer, comme pour tout logiciel téléchargé depuis Internet.
Votre infrastructure est-elle exposée ?
Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.
Demander un auditÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Massachusetts : un hôpital paralysé par une cyberattaque
Signature Healthcare dans le Massachusetts a subi une cyberattaque forçant le détournement d'ambulances et l'annulation de chimiothérapies. Le secteur hospitalier reste une cible privilégiée.
Ransomware ChipSoft : chaos dans les hôpitaux néerlandais
ChipSoft, fournisseur de DME pour 70 % des hôpitaux néerlandais, a été frappé par un ransomware le 7 avril 2026. Plusieurs établissements signalent des perturbations logistiques.
Microsoft intègre Security Copilot directement dans Defender
Microsoft intègre Security Copilot comme chat conversationnel dans Defender, avec des agents IA tiers et un déploiement inclus dans Microsoft 365 E5 dès avril 2026.
Commentaires (1)
Laisser un commentaire