Tech

Phone Link piraté : un malware vole les codes SMS bancaires

Stéphane Larue
Publié par
Stéphane Larue
Publié parStéphane Larue
Stéphane Larue est journaliste et éditeur indépendant spécialisé dans l actualité des médias, du divertissement et de la culture numérique. Fondateur du site stephanelarue.com, il assure...
Follow:
8 Min de lecture
Phone Link piraté : un malware vole les codes SMS bancaires
Photo : cottonbro studio / Pexels

Les chercheurs de Cisco Talos viennent d’identifier un nouveau cheval de Troie, baptisé CloudZ, qui détourne la fonction Phone Link de Windows pour aspirer en silence les SMS et codes à usage unique synchronisés depuis votre smartphone Android. L’attaque, active depuis janvier 2026, contourne la double authentification sans jamais infecter le téléphone lui-même.

Par Stéphane Larue

L’alerte est tombée ce week-end. Les équipes de Cisco Talos, l’un des laboratoires de cybersécurité les plus respectés au monde, ont publié un rapport détaillé sur une campagne d’attaque restée jusque-là sous le radar. Au cœur du dispositif : un outil d’accès à distance (RAT) modulaire baptisé CloudZ, associé à un plugin inédit nommé Pheno. Ensemble, ils transforment un PC Windows infecté en passerelle d’écoute capable d’aspirer les notifications mobiles d’une victime.

Le point de bascule de cette attaque tient en deux mots : Phone Link. Cette application, intégrée par défaut dans Windows 11 et largement utilisée pour synchroniser un téléphone Android avec un ordinateur, devient ici une faille exploitable. Le malware n’a même pas besoin de toucher au smartphone pour intercepter ses SMS.

Comment CloudZ détourne Phone Link sans toucher au téléphone

Le scénario d’infection observé par Cisco Talos commence souvent par une fausse mise à jour ScreenConnect, un outil légitime utilisé par les administrateurs réseau. Une fois lancé, un loader compilé en Rust dépose un second chargeur .NET déguisé en simple fichier texte. Ce dernier exécute alors CloudZ via regasm.exe, un binaire Windows légitime, ce qui rend la détection particulièrement difficile.

Mais aussi

La pub arrive dans ChatGPT : ce que ça change pour vous
La pub arrive dans ChatGPT : ce que ça change pour vous

Une fois en place, CloudZ active son plugin Pheno. Celui-ci scanne en continu les processus Windows à la recherche de mots-clés associés à Phone Link : YourPhone, PhoneExperienceHost ou encore Link to Windows. Si une session active est détectée, la machine est marquée comme « Maybe connected » dans le panneau de l’attaquant.

S’ensuit l’étape la plus dangereuse : Pheno accède à la base de données SQLite locale dans laquelle Phone Link stocke les SMS, journaux d’appels et notifications synchronisées depuis le smartphone. Tout y est : codes bancaires, OTP envoyés par votre banque ou votre boîte mail, alertes deux facteurs. L’attaquant lit ces messages sans jamais avoir infecté le téléphone.

Une attaque qui contourne la double authentification SMS

C’est tout l’intérêt — et toute la dangerosité — de la méthode. Jusqu’ici, les pirates qui voulaient intercepter un code SMS à usage unique devaient compromettre directement le téléphone de la victime ou monter une opération de SIM swapping. Avec CloudZ, le travail est fait depuis le PC professionnel infecté, déjà connecté au smartphone.

Mais aussi

OpenAI unifie ChatGPT et Codex sous Greg Brockman
OpenAI unifie ChatGPT et Codex sous Greg Brockman

La double authentification par SMS, encore très répandue dans les banques françaises pour valider un paiement ou une connexion, devient une protection illusoire dès lors qu’un PC Windows est compromis et appairé au téléphone du salarié. Les chercheurs de Cisco Talos précisent que l’attaque cible en priorité des environnements professionnels, où les codes captés peuvent ouvrir l’accès à des outils financiers ou à des messageries internes.

Le risque ne s’arrête pas aux entreprises. Tout particulier qui utilise Phone Link pour recevoir ses SMS sur son ordinateur fixe ou son portable Windows est concerné, dès lors que sa machine se retrouve infectée par CloudZ via une mise à jour piégée ou une pièce jointe malveillante.

Pheno, le plugin qui transforme Phone Link en mouchard

Pheno est ce qui fait la signature de cette campagne. Selon le rapport publié par Cisco Talos, il s’agit d’un module jusque-là totalement inconnu, conçu spécifiquement pour exploiter la fonction Phone Link. Sa logique est minimaliste : repérer une session active, ouvrir la base SQLite, lire les colonnes contenant les messages, exfiltrer le contenu vers les serveurs de l’attaquant.

Le plugin fonctionne en permanence en arrière-plan et peut rester silencieux pendant des semaines. Cisco Talos estime que la campagne actuelle est active au moins depuis janvier 2026, ce qui laisse plusieurs mois d’exfiltration potentielle avant la publication de cette alerte. Les indicateurs de compromission — URLs, hashs, domaines — ont été publiés afin d’aider les défenseurs à scanner leurs propres environnements.

Comment se protéger dès aujourd’hui

La parade tient en quelques gestes simples. D’abord, désactivez Phone Link si vous ne l’utilisez pas réellement. La fonctionnalité est pratique mais loin d’être indispensable, et son désappairage suffit à neutraliser totalement Pheno.

Ensuite, abandonnez la double authentification par SMS partout où c’est possible. Les gestionnaires de mots de passe modernes intègrent désormais la génération de codes TOTP via une application dédiée, ce qui rend l’interception via Phone Link inopérante. Pour les comptes les plus sensibles, basculez sur des clés de sécurité physiques de type YubiKey ou Titan, totalement insensibles à ce type de vol.

Mais aussi

Thinking Machines : l'IA de Mira Murati défie OpenAI
Thinking Machines : l’IA de Mira Murati défie OpenAI

Sur le plan logiciel, maintenez Windows et Microsoft Defender à jour. Microsoft publie chaque mois ses correctifs critiques, et plusieurs des techniques utilisées par CloudZ exploitent justement des binaires légitimes mal supervisés. Méfiez-vous enfin des mises à jour ScreenConnect ou des installeurs reçus par e-mail : la fausse mise à jour reste, en 2026, l’un des vecteurs d’infection les plus efficaces.

Côté entreprise, Cisco Talos recommande de restreindre l’usage de Phone Link aux postes où il est réellement nécessaire, de bloquer le téléchargement d’exécutables non signés et de surveiller l’apparition de processus suspects autour de regasm.exe. La détection EDR est ici le meilleur garde-fou.

À retenir

  • CloudZ est un malware Windows qui exploite Phone Link pour voler les codes SMS d’authentification.
  • L’attaque contourne la 2FA sans jamais infecter le smartphone Android associé.
  • Désactiver Phone Link et abandonner la 2FA par SMS sont les premières parades efficaces.

Cette nouvelle alerte arrive alors que la chaîne logicielle subit déjà une pression sans précédent sur la confidentialité des données, et que les attaques visant les codes à usage unique se multiplient depuis le début de l’année.

Les tags:
Partagez cet article
Publié parStéphane Larue
Follow:
Stéphane Larue est journaliste et éditeur indépendant spécialisé dans l actualité des médias, du divertissement et de la culture numérique. Fondateur du site stephanelarue.com, il assure une veille quotidienne sur les sujets d information générale, en s appuyant sur les sources officielles et les communiqués de presse. Il publie également des analyses, des interviews et des sélections éditoriales à destination d un large public.
Dernières actus
Encore plus d'articles
Runway, l'outsider qui veut détrôner Google sur l'IA
Tech

Runway, l’outsider qui veut détrôner Google sur l’IA

Gemini Intelligence : Google muscle Android face a Apple
Tech

Gemini Intelligence : Google muscle Android face à Apple

WhatsApp : Meta lance Incognito Chat pour parler à l'IA en privé
Tech

WhatsApp : Meta lance Incognito Chat pour parler à l’IA en privé

GTA 6 : précommandes et Trailer 3 attendus lundi 18 mai
Tech

GTA 6 : précommandes et Trailer 3 attendus lundi 18 mai

Anthropic vise 950 milliards et devance OpenAI
Tech

Anthropic vise 950 milliards et devance OpenAI