En 2026, détruire est devenu aussi courant que chiffrer. Les wipers — ces malwares conçus pour effacer ou rendre inaccessibles les données de la cible sans possibilité de récupération — ne sont plus l'apanage de quelques groupes étatiques d'élite. Ils sont devenus modulaires, disponibles sur commande, et de plus en plus indiscernables des ransomwares classiques. GigaWiper, révélé par Microsoft en juillet 2026, en est l'illustration la plus aboutie. Voici ce que cette évolution signifie pour les organisations qui pensaient que "payer la rançon" était une sortie de crise.

CYBERSÉCURITÉ GÉNÉRALE Wipers, faux ransomwares et sabotage numérique : la montée du… 📌 Le wiper, ancienne arme dans un… 🔹 La tactique du "faux ransomware"… 🔸 L'écosystème des wipers en 2026… 🔺 Pourquoi les organisations non… Les défenses qui tiennent et… ayinedjimi-consultants.fr

Le wiper, ancienne arme dans un nouveau costume

Les malwares destructifs ne sont pas une nouveauté. Shamoon, découvert en 2012, avait effacé les disques de 30 000 postes d'Aramco en quelques heures. NotPetya, en 2017, avait détruit des systèmes dans des dizaines de pays sous couverture de ransomware, causant plus de 10 milliards de dollars de dommages selon les estimations de Lloyd's. WhisperGate en janvier 2022 avait ouvert la cyberoffensive russe contre l'Ukraine en effaçant les systèmes gouvernementaux ukrainiens.

Ce qui change en 2026, c'est la démocratisation et la modularisation de cette capacité. Les wipers ne sont plus des outils de frappe unique développés pour une opération spécifique. GigaWiper illustre une nouvelle génération : un backdoor persistant qui embarque plusieurs modes de destruction activables à la demande depuis un serveur C2. L'opérateur n'a plus à choisir son outil destructif avant l'opération — il peut observer, recueillir du renseignement, et choisir ensuite : wiper de bas niveau, chiffrement permanent, ou les deux.

Cette modularisation réduit le coût de développement et d'opération des wipers pour les groupes étatiques ou para-étatiques. Plutôt que de développer un outil spécialisé pour chaque campagne, un seul implant polyvalent suffit. Et comme l'illustre la double attribution de GigaWiper/BLUERABBIT à un groupe Iran-nexus, ces outils circulent entre groupes affiliés à un même État, chaque affiliation ajoutant sa couche de déni plausible.

La tactique du "faux ransomware" : destruction avec brouillage d'attribution

L'une des évolutions les plus significatives documentée dans GigaWiper est son module de "faux ransomware". Le malware chiffre les fichiers de la cible avec des clés générées aléatoirement qui ne sont jamais sauvegardées. Une demande de rançon peut être affichée. Mais aucun paiement ne permettra la récupération des données : les clés n'existent plus.

Cette technique répond à deux objectifs distincts. Le premier est opérationnel : en faisant ressembler l'attaque à un ransomware classique, les opérateurs rendent la réponse initiale plus lente et moins efficace. Les équipes IR vont chercher un serveur C2 ransomware, tenter d'obtenir un déchiffreur, envisager de négocier — pendant ce temps, la destruction est complète et irréversible. La confusion est une arme.

Le second objectif est l'attribution. Un incident qui ressemble à un ransomware pointe naturellement vers des acteurs criminels plutôt qu'étatiques. Les équipes forensiques, les assureurs, les régulateurs — tous sont conditionnés à traiter une demande de rançon comme un indicateur d'une motivation financière criminelle. En brouillant ce signal, les groupes étatiques gagnent du temps et du déni plausible avant que l'attribution ne soit établie.

Cette tactique n'est pas nouvelle : NotPetya utilisait déjà en 2017 une interface imitant un ransomware. Mais l'intégration dans un framework de backdoor modulaire, comme GigaWiper, la rend disponible à la demande et combinable avec d'autres modes d'action (espionnage préalable, exfiltration, puis destruction).

L'écosystème des wipers en 2026 : Iran, Russie et au-delà

GigaWiper/BLUERABBIT est attribué à un groupe Iran-nexus ciblant prioritairement des organisations israéliennes. Mais il s'inscrit dans un écosystème d'acteurs et d'outils wipers documentés dans plusieurs contextes géopolitiques en 2025-2026.

Du côté iranien, Handala — un groupe hacktiviste lié à l'Iran — avait utilisé un wiper contre Stryker Corporation et d'autres cibles en lien avec la défense en 2026, faisant l'objet d'une alerte FBI. Le groupe cible préférentiellement les entreprises américaines et israéliennes liées aux secteurs de la défense, de l'industrie et des télécoms.

Du côté russe, les wipers restent un outil central de la cyberguerre contre l'Ukraine. AcidPour en 2024, puis plusieurs variantes en 2025-2026, ont ciblé des infrastructures télécoms et d'énergie ukrainiennes. La particularité des wipers russes récents est leur ciblage des systèmes embarqués (routeurs, modems, OT/SCADA) — une évolution vers la destruction d'infrastructures physiques via leurs composants numériques.

En dehors du contexte ukrainien, des wipers ont été documentés ciblant des secteurs critiques au Moyen-Orient (énergie, eau, transport) dans des contextes d'escalade régionale. La constante : les wipers sont utilisés pour maximiser les dommages lors d'opérations visant à démontrer une capacité de nuisance ou à préparer une escalade militaire en dégradant les capacités adverses.

Ce qui est nouveau en 2026, c'est la vitesse de circulation des outils entre groupes affiliés. GigaWiper, documenté par Microsoft comme l'oeuvre d'un groupe Iran-nexus, partage des composants avec des malwares précédemment attribués à d'autres groupes. La réutilisation de code et la modularisation accélèrent la prolifération des capacités destructives au-delà des cercles étatiques d'origine.

Pourquoi les organisations non gouvernementales sont dans le viseur

Un cliché répandu en cybersécurité est que les wipers sont réservés aux opérations de cyberguerre entre États et ne concernent donc que les administrations et les infrastructures critiques. Cette vision est inexacte, et 2026 en fournit plusieurs contre-exemples.

Premièrement, les organisations de la chaîne d'approvisionnement militaire et technologique sont des cibles directes. Une entreprise qui fabrique des composants pour systèmes de défense, qui fournit des logiciels à des agences gouvernementales, ou qui opère des infrastructures sensibles pour des clients étatiques, est dans le périmètre d'intérêt des acteurs étatiques menant des campagnes wipers. La frontière entre cible civile et cible militaire est ténue dans l'économie de défense.

Deuxièmement, les entreprises civiles peuvent être des dommages collatéraux. NotPetya ne ciblait pas Maersk, FedEx ou Saint-Gobain — ces entreprises ont été victimes collatérales d'une opération ciblant l'Ukraine. Dans un conflit cyber généralisé, la propagation latérale d'un wiper peut s'étendre bien au-delà de la cible initiale.

Troisièmement, des acteurs criminels commencent à adopter des tactiques de destruction irréversible comme levier de négociation extrême. Lorsque la victime refuse de payer et que les données ont déjà été exfiltrées, certains groupes ont recours à la destruction des systèmes pour "punir" le refus et dissuader d'autres victimes de suivre la même voie. C'est une escalade de la double extorsion.

Les défenses qui tiennent et celles qui ne tiennent pas

Face aux wipers modernes, certaines défenses classiques sont significativement moins efficaces. L'EDR seul est insuffisant : GigaWiper opère en partie au niveau du disque physique (raw disk writes), un vecteur qui contourne les hooks API que les EDR utilisent pour détecter les comportements malveillants au niveau des fichiers. Un wiper qui écrase directement les secteurs du disque physique n'apparaît pas comme une "suppression de fichier" dans les logs d'un EDR classique.

Le modèle de récupération par déchiffreur est inopérant face aux faux ransomwares à clés perdues. Si votre plan de reprise d'activité après ransomware inclut "négocier et obtenir une clé de déchiffrement", il est inefficace face à GigaWiper. Seule une restauration depuis sauvegarde externe permet la récupération.

En revanche, certaines défenses restent pleinement efficaces. Les sauvegardes immuables hors-ligne (air-gapped ou immutable backups sur stockage objet avec WORM) constituent le dernier rempart fiable contre les wipers. Si l'attaque détruit la production, la sauvegarde immuable permet la restauration sans négociation possible. Le principe de la règle 3-2-1-1 (3 copies, 2 supports, 1 hors site, 1 immuable) prend toute sa valeur.

La détection comportementale des accès raw disk est une capacité discriminante. Très peu d'opérations légitimes nécessitent d'écrire directement sur les secteurs physiques d'un disque (formatage, récupération forensique, outils de clonage). Toute écriture raw disk en dehors d'un contexte de maintenance documenté doit déclencher une alerte immédiate et l'isolation du système.

La segmentation réseau limite la propagation latérale. Un wiper qui s'est exécuté sur un hôte ne peut pas se propager à d'autres segments si les mouvements latéraux sont contraints par une architecture zero trust et une segmentation micro-périmétrique. C'est la leçon de NotPetya : la propagation via SMB avait transformé un incident local en catastrophe globale.

Mon avis d'expert

Ce qui me préoccupe dans la montée des wipers modulaires comme GigaWiper, c'est moins le risque pour les grandes organisations — qui ont généralement les moyens de se protéger et de récupérer — que pour les entreprises françaises de taille intermédiaire opérant dans des secteurs sensibles : sous-traitants de défense, fournisseurs d'équipements industriels, sociétés de conseil travaillant pour des acteurs gouvernementaux. Ces entreprises sont dans le périmètre d'intérêt des acteurs étatiques sans disposer des ressources d'une grande entreprise pour se défendre. Et pour elles, une attaque wiper n'est pas un incident de sécurité — c'est potentiellement la fin de l'activité. La question n'est plus "est-ce que ça peut m'arriver ?" mais "est-ce que ma sauvegarde immuable tient vraiment depuis six mois sans test de restauration ?"

Conclusion

Les wipers ne sont plus une curiosité de cyberguerre étatique réservée aux conflits entre grandes puissances. Ils sont modulaires, accessibles via des backdoors persistants, camouflables en ransomwares classiques, et de plus en plus utilisés comme outil de pression extrême par des acteurs criminels. GigaWiper n'est pas un incident isolé — c'est la matérialisation d'une tendance documentée depuis plusieurs années, qui arrive maintenant à maturité technique.

Pour les équipes de sécurité, la réponse tient en trois mots : sauvegardes, sauvegardes, sauvegardes. Immuables. Testées. Hors-ligne. C'est la seule défense qui reste fiable quand tout le reste a été détruit sur commande.

Besoin d'un regard expert sur votre résilience ?

Ayi NEDJIMI audite votre stratégie de sauvegarde et de reprise d'activité pour la calibrer face aux menaces de destruction irréversible.

Prendre contact