Comment fonctionne ce clipper
Microsoft a émis une alerte concernant un malware Windows particulièrement discret, actif depuis février 2026. Son mécanisme est simple et redoutable : le logiciel inspecte le presse-papiers toutes les 500 millisecondes. Dès qu'une adresse crypto y est détectée, il la substitue immédiatement par une adresse contrôlée par les attaquants. Au moment du collage, rien ne paraît anormal. Les fonds partent pourtant vers le mauvais portefeuille.
Ce type d'attaque, dit clipper, n'est pas nouveau. Ce qui distingue cette variante, c'est l'étendue de ses capacités secondaires. Le malware réalise des captures d'écran, recherche activement les phrases de récupération (seed phrases) stockées sur la machine, et autorise l'exécution de code à distance. En clair, une compromission complète du poste est possible bien au-delà du simple vol de transaction.
Côté propagation, le vecteur principal identifié reste les clés USB piégées. Les communications du malware transitent par le réseau Tor, ce qui complique leur détection par les outils de surveillance réseau classiques.
Le seul réflexe qui compte vraiment
Aucun antivirus ne remplace la vérification manuelle. Avant de valider toute transaction, comparer caractère par caractère l'adresse collée avec l'adresse source. Pas les quatre premiers, pas les quatre derniers : l'intégralité de la chaîne.
La menace est d'autant plus sournoise qu'elle exploite une habitude profondément ancrée : copier-coller une adresse longue plutôt que la saisir manuellement. C'est précisément ce réflexe que le malware retourne contre l'utilisateur.
Pour les professionnels et les détenteurs de montants significatifs, l'utilisation d'un environnement isolé ou d'un hardware wallet avec vérification de l'adresse sur l'écran du dispositif physique reste la protection la plus robuste contre ce vecteur d'attaque.
