C’est l’histoire d’une faille découverte en 2017, que Microsoft a refusé de corriger… avant de changer d’avis très récemment. Il y a sept ans, les chercheurs de Trend Micro ont découvert que des pirates utilisent des fichiers raccourcis Windows (.lnk) piégés dans le cadre de cyberattaques. Ces fichiers piégés servent à télécharger et à déployer des virus sur l’ordinateur visé. Pour masquer la commande malveillante insérée dans le fichier, les cybercriminels se servent d’espaces ou de caractères invisibles.

Quand la victime ouvre le fichier dans l’explorateur, les instructions n’apparaissent pas correctement à cause de ces espaces. L’astuce donne l’illusion d’un fichier inoffensif alors qu’il peut lancer du code malveillant en tâche de fond. Le contenu dangereux est donc quasiment invisible pour l’utilisateur.

À lire aussi : Microsoft déjoue une attaque DDoS surpuissante contre ses serveurs Azure

Une faille massivement exploitée de 2017 à 2025

Microsoft est informé de l’existence d’une vulnérabilité