PC Windows piraté : 13 signes d'une compromission

Richard, 58 ans, retraité de la fonction publique à Sainte-Foy, remarque un mardi que son ordinateur portable Dell met cinq minutes à démarrer. Avant, c’était trente secondes. Son neveu lui dit « Windows, c’est normal, ça ralentit ». Richard ignore.

Deux semaines plus tard, sa fille remarque que son adresse Outlook envoie des courriels bizarres à toute la famille. Des liens vers des sites russes. Elle l’appelle. Il tente de se connecter à sa banque Desjardins — son mot de passe est rejeté. Il appelle Desjardins : 4 700 $ ont été virés dans trois transactions, vers trois comptes différents, la veille.

Le PC de Richard avait été compromis depuis huit mois. Ses mots de passe étaient volés en continu. Son antivirus préinstallé McAfee était désactivé depuis des mois — il avait cliqué « annuler l’abonnement » un jour, pensant se débarrasser des popups, et l’abonnement s’était effectivement arrêté.

Si Richard avait reconnu les signes plus tôt, il aurait épargné 4 700 $ et des mois de nettoyage. Voici les 13 signes que nous voyons le plus souvent sur des PC Windows compromis amenés en diagnostic à l’atelier — et exactement comment vérifier vous-même.

Pourquoi les PC Windows restent cible #1

Windows représente encore plus de 70 % des ordinateurs de bureau mondiaux selon Statcounter 2025. Au Québec, Windows domine massivement chez les particuliers de plus de 40 ans, les PME, les commerces, les organismes publics. Les criminels suivent la surface d’attaque.

Les chiffres :

• AV-TEST enregistre plus de 450 000 nouveaux malwares Windows par jour en 2025.
• SANS Internet Storm Center documente quotidiennement les campagnes actives.
• Le Centre antifraude du Canada reçoit des milliers de signalements par an liés à compromission de PC.
• Microsoft Digital Defense Report 2024 indique que 90 % des attaques ransomware exploitent des failles non patchées ou des mots de passe faibles — entièrement évitables.

Bonne nouvelle : les signes d’infection sont presque toujours visibles si on sait quoi regarder. Voici les 13, par ordre de fréquence qu’on observe en clinique.

Signe 1 — Ralentissement soudain et inexpliqué

Votre PC démarre plus lentement. Les applications s’ouvrent avec un retard. Naviguer devient pénible. Le ventilateur souffle même au repos.

Causes possibles non malicieuses : disque dur rempli, trop d’apps au démarrage, mise à jour Windows en cours, disque dur mécanique qui meurt.

Cause malveillante : crypto-miner installé qui utilise votre CPU/GPU pour miner du Monero pour un pirate. Stealer qui scanne en continu votre disque pour voler des fichiers. Ransomware qui chiffre silencieusement.

Comment vérifier : Ouvrez le Gestionnaire des tâches (Ctrl+Maj+Échap). Onglet Performance puis Processus. Triez par CPU décroissant. Si un processus que vous ne reconnaissez pas utilise 50-100 % du CPU au repos, cherchez son nom sur Google. Si c’est un nom bizarre ou un exécutable dans %AppData%\Roaming\ ou %Temp%\, c’est suspect.

Signe 2 — Pop-ups qui apparaissent hors du navigateur

Des publicités ou alertes apparaissent sur votre bureau, même navigateur fermé. Des notifications « Windows » trop belles pour être vraies (« votre PC est infecté, cliquez ici »).

C’est souvent un adware (publiciel) ou un scareware. Plus léger qu’un ransomware mais annonce souvent d’autres infections associées. Ne cliquez jamais sur ces popups. Ne téléchargez pas ce qu’ils proposent.

Pour plus de détails sur les pop-ups d’arnaque au support technique, consultez notre article Pop-up virus : anatomie de l’arnaque au faux support.

Signe 3 — Pages web qui s’ouvrent seules ou page d’accueil modifiée

Vous ouvrez Chrome, Edge, Firefox — une page de moteur de recherche inconnue apparaît (« Yahoo search », « Bing » non demandé, « searchmine », « yoursites123 »). Des onglets s’ouvrent seuls avec des publicités.

C’est un browser hijacker. Souvent installé silencieusement avec un logiciel gratuit (« bundle »). Nettoyage : désinstaller extensions suspectes, réinitialiser le navigateur, scan complet.

Comment vérifier : Ouvrez votre navigateur, allez dans Paramètres > Extensions. Désinstallez tout ce que vous n’avez pas installé volontairement. Puis Paramètres > Moteur de recherche par défaut — remettez Google ou DuckDuckGo.

Signe 4 — Windows Defender ou antivirus désactivé sans votre accord

Vous ouvrez Sécurité Windows (taper dans la barre de recherche) — Defender est désactivé. Vous cliquez pour réactiver — impossible, erreur. Ou votre antivirus tiers est désactivé et vous ne l’avez pas fait.

Signal rouge majeur. La plupart des trojans et stealers désactivent les antivirus en priorité pour survivre. Si Defender ne peut pas être réactivé, il y a un processus malveillant qui l’empêche.

Comment vérifier : Ouvrez Windows Security > Protection contre les virus et menaces. Si bouton grisé ou message d’erreur, infection probable. Démarrez en Mode sans échec avec réseau (Maj + redémarrer > Dépannage > Options avancées > Paramètres de démarrage > F5), exécutez Malwarebytes, puis réactivez Defender.

Signe 5 — Processus inconnus qui consomment CPU ou réseau

Gestionnaire des tâches, onglet Détails (plus complet que Processus). Triez par CPU, puis par I/O lectures/écritures, puis par Mémoire.

Processus Windows légitimes typiques : svchost.exe, explorer.exe, csrss.exe, winlogon.exe, System, Registry, wininit.exe, services.exe, dwm.exe.

Processus suspects observés :

• Noms avec caractères unicode étranges (lettres cyrilliques qui ressemblent à l’alphabet latin)
• Exécutables dans %AppData%\Roaming\, %Temp%\, %ProgramData%\
• Noms quasi-légitimes : svhost.exe (au lieu de svchost), lssas.exe (au lieu de lsass), Servce.exe
• Processus qui consomment 50+ Mbps réseau au repos (voir onglet Performance > Ethernet / Wi-Fi)

Outil recommandé : Process Explorer de Microsoft Sysinternals (gratuit). Remplace le Gestionnaire des tâches avec 10x plus d’info. Clic droit sur un processus > Properties > onglet TCP/IP pour voir ses connexions réseau.

Signe 6 — Programmes au démarrage inconnus

Windows exécute automatiquement certains programmes au démarrage. Les malwares s’y installent pour survivre aux redémarrages.

Comment vérifier :

Méthode rapide : Gestionnaire des tâches > onglet Démarrage. Désactivez tout ce que vous ne reconnaissez pas. Cherchez les noms sur Google avant de désactiver si doute.

Méthode complète : Autoruns de Microsoft Sysinternals (gratuit, excellent). Affiche tous les mécanismes de démarrage automatique Windows : registre, tâches planifiées, services, drivers, extensions shell, Internet Explorer add-ons, image hijacks, etc. Malwares aiment se planquer dans les tâches planifiées et drivers, pas juste le démarrage classique. Autoruns met en évidence tout ce qui n’est pas signé Microsoft — filtre par Options > Hide Microsoft Entries.

Signe 7 — Connexions réseau sortantes suspectes

Un PC infecté communique avec son serveur de commande (C2) pour recevoir des instructions ou exfiltrer des données.

Comment vérifier :

Commande rapide : Ouvrez Invite de commandes en admin > netstat -ano > liste toutes les connexions TCP/UDP actives avec le PID du processus. Cherchez connexions vers des IP étrangères inexpliquées. Pour identifier le PID : tasklist /FI "PID eq 1234".

Outil recommandé : TCPView de Sysinternals. Vue graphique en temps réel de toutes les connexions, avec nom de processus et résolution DNS.

GlassWire (version gratuite) offre un pare-feu visuel qui historise le trafic par app. Vous voyez immédiatement qu’une app utilise 2 Go de données en arrière-plan alors que vous ne l’utilisez pas.

Signe 8 — Fichiers qui changent de nom ou d’extension

Vos documents .docx deviennent .docx.locked, .enc, .crypted, ou quelque chose d’exotique. Une note _README.txt ou HOW_TO_DECRYPT.html apparaît dans chaque dossier. L’arrière-plan du bureau change pour un message de rançon.

C’est un ransomware. Action immédiate :

1. Déconnectez le câble réseau ou désactivez Wi-Fi — stoppe la propagation vers partages réseau et sauvegardes cloud (OneDrive, Dropbox, Google Drive)
2. Ne redémarrez pas — certains ransomwares ne finalisent le chiffrement qu’au redémarrage, et la mémoire peut contenir la clé en clair
3. Photographiez l’écran de rançon — note importante pour identification
4. Ne payez pas — aucune garantie, et finance le crime
5. Vérifiez nomoreransom.org — projet Europol qui liste plus de 120 déchiffreurs gratuits pour ransomwares connus
6. Appelez-nous ou un pro — évaluation et récupération

Certains ransomwares récents (LockBit, BlackCat/ALPHV, Akira) n’ont aucun déchiffreur public. Sans sauvegarde, données perdues. C’est pour ça que la sauvegarde hors ligne ou immuable est vitale.

Signe 9 — Mots de passe ou comptes compromis

Vous ne pouvez plus vous connecter à votre courriel, Facebook, banque. Ou vos amis reçoivent des messages de vous que vous n’avez pas envoyés. Ou une alerte « connexion depuis un nouvel appareil à Kiev » arrive dans votre Gmail.

C’est souvent un stealer (voleur d’identifiants) : RedLine, Vidar, Raccoon, Lumma Stealer, StealC, Meduza. Ces malwares aspirent tous les mots de passe stockés dans votre navigateur, vos cookies de session, votre portefeuille crypto, Discord, Steam, Telegram, VPN.

Action immédiate :

1. Depuis un autre appareil propre (le téléphone de votre conjoint, un Mac familial), changez immédiatement :
   • Mot de passe courriel principal (Gmail, Outlook) — priorité absolue
   • Mots de passe banque
   • Mots de passe Microsoft/Apple/Google
   • Mots de passe réseaux sociaux
2. Révoquez toutes les sessions actives : dans chaque compte > Sécurité > Sessions actives > Déconnecter partout
3. Activez 2FA partout si pas déjà fait
4. Sur le PC compromis : scan Malwarebytes complet + Defender Offline. Si stealer confirmé : réinstallation Windows propre recommandée — ces malwares laissent souvent des persistances résiduelles.

Signe 10 — Factures ou forfait Internet qui explosent

Votre forfait cellulaire (si vous partagez avec le PC via tether) ou votre forfait Internet résidentiel montre une consommation anormale. Chez Vidéotron ou Bell, vous recevez une alerte dépassement.

Un PC infecté envoie constamment des données (exfiltration) ou participe à un botnet (attaques DDoS, envoi de spam, proxy pour d’autres pirates).

Comment vérifier : GlassWire ou le Gestionnaire des tâches > onglet Performance > Wi-Fi/Ethernet > Afficher l’utilisation de l’app réseau. Vous verrez quelle app consomme quoi.

Signe 11 — Nouvelles icônes, nouveaux logiciels que vous n’avez pas installés

Vous voyez des icônes sur votre bureau pour des apps que vous n’avez jamais installées. Des toolbars dans votre navigateur. Des « optimiseurs PC » que vous ne reconnaissez pas.

Signes typiques : « PC Optimizer Pro », « Driver Updater », « System Mechanic », « Advanced SystemCare », « IObit Unlocker ».

Certains de ces outils sont légitimes techniquement mais installés sans votre consentement lors d’une installation groupée (« bundle »). D’autres sont directement malveillants.

Action : Panneau de configuration > Programmes et fonctionnalités > désinstaller tout ce que vous ne reconnaissez pas, avec Google vérification avant. Certains résistent — Malwarebytes + Revo Uninstaller (gratuit) retirent plus proprement.

Signe 12 — Tâches planifiées suspectes

Les malwares modernes utilisent les tâches planifiées Windows pour persister et se relancer. Particulièrement Emotet, Qakbot, TrickBot, et les stealers récents.

Comment vérifier : Tapez « Planificateur de tâches » dans la barre de recherche. Parcourez la bibliothèque. Cherchez tâches :

• Avec des noms génériques ou aléatoires (« Update », « WinSecurity », « SystemHealth », chaîne de lettres aléatoires)
• Qui exécutent des fichiers dans %AppData%\, %Temp%\, %ProgramData%\, %Public%\
• Qui exécutent powershell.exe ou cmd.exe avec des arguments encodés en base64
• Créées récemment sans que vous le sachiez

Autoruns de Sysinternals a un onglet Scheduled Tasks qui fait ce travail plus clairement.

Signe 13 — Caméra ou micro qui s’allument seuls

Votre webcam s’allume (diode LED verte/blanche à côté de la caméra) alors que vous n’utilisez aucune app qui l’utilise. Votre micro enregistre.

C’est un RAT (Remote Access Trojan) : NanoCore, AsyncRAT, Remcos, njRAT, Quasar. Ils donnent un contrôle total du PC à un attaquant distant, y compris caméra et micro.

Action :

1. Couvrez physiquement la caméra (sticker, cache webcam — 5 $ sur Amazon) en attendant. C’est ce que font Zuckerberg et le directeur du FBI.
2. Débranchez le micro si externe, ou désactivez-le dans le Gestionnaire de périphériques.
3. Scan complet + recherche RAT spécifique avec ESET Online Scanner et Malwarebytes.
4. Changez tous les mots de passe depuis un autre appareil.
5. En cas de doute : réinstallation Windows propre.

La démarche complète de vérification (ordre recommandé)

Si vous soupçonnez une infection, voici l’ordre à suivre :

Étape 1 — Déconnecter (si suspicion forte)

Débranchez câble Ethernet ou désactivez Wi-Fi. Coupe la télémétrie vers l’attaquant et évite l’exfiltration.

Étape 2 — Scan Malwarebytes (gratuit)

Téléchargez Malwarebytes gratuit depuis malwarebytes.com. Si le PC ne peut pas télécharger, utilisez un autre PC + clé USB. Scan complet. Durée : 30-60 min.

Étape 3 — Windows Defender Offline

Sécurité Windows > Protection contre les virus > Options d’analyse > Analyse hors connexion Microsoft Defender. Redémarre le PC et scanne avant le chargement de Windows — attrape les rootkits invisibles en session normale. Durée : 15-30 min.

Étape 4 — ESET Online Scanner (deuxième opinion gratuit)

eset.com/ca/home/online-scanner. Scan secondaire avec moteur différent. Attrape ce que Malwarebytes et Defender ratent parfois.

Étape 5 — Autoruns de Sysinternals

Vérifier persistances. Désactiver tout ce qui n’est pas signé Microsoft et que vous ne reconnaissez pas.

Étape 6 — Changer mots de passe depuis un autre appareil

Courriel d’abord, banque ensuite, reste après.

Étape 7 — Décision : nettoyage ou réinstallation

Si les scans confirment infection grave (ransomware, rootkit, RAT, stealer persistant) :

• Sauvegardez vos documents personnels (pas les exécutables) sur disque externe
• Réinstallation Windows propre via clé USB Windows 11 (Media Creation Tool de Microsoft)
• Reconfigurez tout à partir de zéro

La réinstallation est la seule garantie de propreté à 100 %. Les nettoyages laissent parfois des traces difficiles à détecter.

Prévenir plutôt que guérir — setup Windows 2026

Pour ne pas revivre ça, voici la config que je recommande à tous les clients à Québec :

1. Windows 11 toujours à jour — Paramètres > Windows Update > auto
2. Windows Defender activé (natif, gratuit, excellent en 2026)
3. Malwarebytes Premium (~50 $/an) ou version gratuite pour scan hebdomadaire
4. UAC au maximum — Panneau de configuration > Comptes utilisateurs > Contrôle des comptes utilisateurs > glisser au max
5. Compte standard pour l’usage quotidien, compte admin séparé
6. Pas de Chrome avec mots de passe stockés — utiliser Bitwarden ou 1Password
7. 2FA partout — gmail, banque, Microsoft, Facebook, Amazon
8. Sauvegarde 3-2-1 — 3 copies, 2 supports différents, 1 hors site (OneDrive ou Backblaze)
9. Navigateur avec uBlock Origin — bloque 99 % des malvertising
10. Ne jamais installer de logiciel piraté — c’est le vecteur #1 des stealers Windows
11. Vérifier extensions navigateur mensuellement
12. Signaler spam/phishing à spam@videotron.com (si Vidéotron) ou abuse@bell.ca (si Bell)

Cas typiques vus à Québec en 2025-2026

À l’atelier, voici les cas récurrents :

• Richard, 58 ans (cas d’ouverture) : stealer RedLine via crack de Microsoft Office piraté. 4 700 $ volés Desjardins. Réinstallation Windows + récupération banque.
• PME 8 employés à Sainte-Foy : ransomware LockBit via mot de passe Remote Desktop faible exposé sur Internet. 40 000 $ rançon demandée, non payée. Restaurée depuis sauvegardes Backblaze. 3 semaines de paralysie.
• Étudiante Laval, 22 ans : stealer Lumma via ISO Windows 11 « gratuit » téléchargé depuis un lien Reddit. Comptes Discord, Steam, Gmail compromis. Réinstallation + reset tous les mots de passe.
• Avocat 61 ans à Charlesbourg : RAT AsyncRAT via faux PDF fiscal envoyé par courriel prétendant venir d’un client. Accès distant pendant 3 mois avant détection. Cabinet signalé à la CAI pour manquement Loi 25.
• Aîné 74 ans à Saint-Augustin : faux support Microsoft par popup, a donné accès distant TeamViewer à un « technicien ». 2 200 $ cartes-cadeaux Best Buy. Ordinateur avec 4 malwares différents installés par l’arnaqueur.

Conclusion

Votre PC Windows donne presque toujours des signes avant la catastrophe. Les 13 signes ci-dessus couvrent 95 % des infections qu’on voit en clinique. Si vous en remarquez un — vérifiez. Si vous en remarquez deux — agissez. Si vous en remarquez trois — considérez que c’est compromis jusqu’à preuve du contraire.

La protection de base est gratuite : Windows Defender + Malwarebytes gratuit + habitudes propres (pas de piraté, mots de passe uniques, 2FA, mises à jour). Pas besoin de Norton à 100 $/an.

Si vous soupçonnez une infection Windows, si vous avez perdu des fonds via un stealer, si vous avez un ransomware, ou si vous voulez un diagnostic pro — appelez-nous directement. Diagnostic PC Windows : 60 $ (taxes en sus, déductible si réparation acceptée). On regarde le vrai état du PC, on vous dit exactement ce qui se passe, sans vendre d’abonnement inutile.

Richard, au début de l’article, a payé ~1 400 $ de nettoyage, récupération des comptes, et réinstallation. Ajoutez 4 700 $ volés à la banque qu’il a fallu contester. Un scan Malwarebytes gratuit, ou simplement remarquer que le PC était 10 fois plus lent qu’avant, aurait tout évité. Les signes étaient là depuis huit mois.