Imaginez recevoir un message WhatsApp d’un collègue de confiance. Rien d’alarmant au premier abord, juste un fichier ZIP nommé « reçu » ou « devis ». Vous téléchargez, vous ouvrez… et là commence une réaction en chaîne que vous ne contrôlez plus. Bienvenue dans le monde de SORVEPOTEL, un malware d’un nouveau genre qui vient de faire son apparition et qui exploite ce que nous avons de plus précieux : la confiance en nos proches.
Un virus qui se propage comme une traînée de poudre
SORVEPOTEL n’est pas un malware ordinaire. Contrairement aux ransomwares qui chiffrent vos fichiers ou aux spywares qui volent discrètement vos données, celui-ci a une obsession : se multiplier. Son mode opératoire est redoutablement efficace et repose sur un principe simple mais terrifiant : utiliser votre compte WhatsApp comme rampe de lancement pour infecter tous vos contacts.
Tout commence par un message de phishing apparemment anodin. Vous recevez une archive ZIP de la part d’un ami, d’un collègue ou d’un membre de votre famille dont le compte a déjà été compromis. Le fichier porte un nom rassurant comme « RES-20250930_112057.zip » ou « ORCAMENTO_114418.zip », mimant parfaitement des documents légitimes : reçus bancaires, devis, documents administratifs. Le message qui l’accompagne, rédigé en portugais dans les cas observés, vous encourage à télécharger le fichier sur votre PC Windows et à l’ouvrir.
C’est là que le piège se referme. L’archive contient un fichier raccourci Windows qui, une fois cliqué, déclenche silencieusement l’exécution d’un script PowerShell. Ce dernier se connecte à un serveur distant pour télécharger le véritable code malveillant. L’infection est lancée.
L’automatisation de la propagation : le génie maléfique de SORVEPOTEL
Une fois installé, SORVEPOTEL ne perd pas de temps. Le malware s’incruste dans le dossier de démarrage de Windows pour assurer sa persistance et se relancer automatiquement à chaque redémarrage de l’ordinateur. Mais c’est sa capacité de propagation qui le rend véritablement redoutable.
Si le malware détecte que WhatsApp Web est actif sur la machine infectée, il passe à l’action. Sans que vous ne vous en rendiez compte, il prend le contrôle de votre session et envoie automatiquement la même archive ZIP malveillante à l’intégralité de vos contacts et de vos groupes WhatsApp. Tous. Sans exception.
Cette diffusion massive et automatisée génère un volume impressionnant de messages spam. Tant et si bien que les comptes compromis finissent souvent suspendus ou bannis par WhatsApp pour violation de ses conditions d’utilisation. Vous devenez ainsi, malgré vous, l’artisan de votre propre exclusion de la plateforme.
Sur la machine infectée, le malware maintient également une communication constante avec son serveur de commande et contrôle. Il peut recevoir de nouvelles instructions, capturer des captures d’écran ou enregistrer les frappes clavier via un keylogger. Toutefois, les chercheurs en sécurité notent que l’objectif principal de cette campagne semble être la propagation massive plutôt qu’une compromission profonde des systèmes ou le vol de données.
Le Brésil en première ligne, mais personne n’est à l’abri
Les données de télémétrie de Trend Micro, l’entreprise de cybersécurité qui a identifié cette menace, sont éloquentes : sur 477 infections détectées, 457 proviennent du Brésil. Les secteurs les plus touchés incluent l’administration publique, le gouvernement, l’industrie manufacturière, la technologie, l’éducation et la construction.
Cette concentration géographique s’explique notamment par le fait que les messages de phishing sont rédigés en portugais brésilien. Mais attention, cette menace n’est pas cantonnée à l’Amérique latine. La nature même de WhatsApp, utilisé mondialement, fait que si une seule personne infectée communique avec des contacts à l’étranger, le malware peut franchir les frontières en quelques clics.
Les entreprises sont particulièrement visées. Le message de phishing incite explicitement les utilisateurs à ouvrir le fichier sur un ordinateur de bureau, suggérant que les cybercriminels cherchent à infiltrer les réseaux d’entreprise plutôt que les appareils personnels des consommateurs. Dans un contexte professionnel où le BYOD (Bring Your Own Device) est devenu la norme et où WhatsApp sert souvent d’outil de communication interne, cette stratégie se révèle particulièrement efficace.
Comment se protéger de cette menace ?
Face à SORVEPOTEL, la vigilance est votre meilleure alliée. Voici quelques réflexes à adopter immédiatement :
Premièrement, méfiez-vous systématiquement des fichiers ZIP reçus via WhatsApp, même s’ils proviennent de contacts de confiance. Un compte compromis peut envoyer des fichiers malveillants sans que son propriétaire ne le sache. Avant d’ouvrir une pièce jointe, prenez le temps de contacter la personne par un autre canal pour vérifier qu’elle vous a bien envoyé ce fichier.
Deuxièmement, désactivez le téléchargement automatique des médias et documents dans les paramètres de WhatsApp. Cette simple précaution empêche les fichiers malveillants de s’installer sur votre appareil sans votre consentement explicite.
Troisièmement, évitez d’utiliser WhatsApp Web pour des communications professionnelles sensibles, surtout si votre entreprise manipule des données critiques. Les politiques de sécurité des entreprises devraient clairement encadrer l’utilisation des messageries personnelles dans un contexte professionnel.
Quatrièmement, maintenez vos systèmes et vos logiciels de sécurité à jour. Les solutions de protection des endpoints modernes sont généralement capables de détecter et bloquer ce type de menace si elles sont correctement configurées et actualisées.
Enfin, formez-vous et formez vos équipes à reconnaître les tentatives de phishing. La sensibilisation reste la première ligne de défense contre ce genre d’attaque qui exploite avant tout la psychologie humaine et la confiance.
Une nouvelle ère de menaces auto-propagatrices
SORVEPOTEL marque peut-être un tournant dans l’évolution des malwares. Plutôt que de chercher à dérober immédiatement des données ou à extorquer de l’argent, ce virus privilégie la vitesse et l’ampleur de sa propagation. Cette stratégie du « contaminer d’abord, exploiter ensuite » pourrait bien devenir le nouveau standard des cyberattaques.
Les chercheurs notent d’ailleurs que malgré la sophistication de ses techniques de diffusion et de persistance, aucune preuve d’exfiltration massive de données ou de chiffrement de fichiers n’a été observée pour le moment. Cela suggère que la campagne actuelle se concentre sur l’établissement d’une base d’infection la plus large possible. Les véritables objectifs malveillants pourraient venir dans un second temps, une fois que suffisamment de machines auront été compromises.
Cette approche rappelle tristement les vers informatiques des années 2000, mais adaptée aux réalités de 2025 : des plateformes de messagerie omniprésentes, une confiance aveugle dans les communications numériques, et des frontières de plus en plus floues entre vie personnelle et professionnelle.
WhatsApp compte aujourd’hui plus de deux milliards d’utilisateurs actifs dans le monde. Si SORVEPOTEL parvient à étendre sa portée au-delà du Brésil, les conséquences pourraient être considérables. Les suspensions de comptes en masse, la perte de confiance dans la plateforme et les perturbations opérationnelles pour les entreprises qui dépendent de WhatsApp pour leurs communications constituent des risques bien réels.
La balle est désormais dans le camp de Meta, la maison-mère de WhatsApp, qui devra renforcer ses mécanismes de détection et de prévention. Mais comme toujours en cybersécurité, la technologie seule ne suffira pas. C’est notre comportement, notre vigilance et notre capacité à rester critiques face aux messages que nous recevons qui feront la différence.
Avez-vous déjà reçu des messages suspects sur WhatsApp ? Partagez votre expérience en commentaire et aidons-nous mutuellement à rester vigilants face à ces nouvelles menaces !
