Faux CV virus : une menace capable d’infecter un réseau en 25 secondes

En mars 2026, des chercheurs en sécurité ont documenté une campagne baptisée FAUX#ELEVATE, ciblant des entreprises francophones. Le principe est simple : un e-mail de candidature semble normal, mais contient un fichier nommé nouveau_curriculum_vitae.vbs.

L’équipe RH ouvre le fichier. Un message d’erreur apparaît. L’utilisateur pense avoir reçu un document corrompu. En réalité, le faux CV virus est déjà actif.

En moins de 25 secondes, le malware peut :

• voler les identifiants enregistrés dans les navigateurs et applications ;
• installer une porte dérobée pour permettre un accès ultérieur ;
• miner de la cryptomonnaie en arrière-plan ;
• se propager vers d’autres postes du réseau ;
• préparer une attaque plus grave, comme un ransomware.

Le détail le plus préoccupant est la méthode utilisée. Le fichier piégé pèse 9,7 Mo et contient plus de 224 000 lignes de texte. Pourtant, seules quelques centaines de lignes sont réellement malveillantes. Le reste sert à noyer le code pour tromper les outils de sécurité classiques.

Autre point important : ce malware vérifie s’il se trouve sur un réseau d’entreprise. S’il détecte un poste personnel, il peut rester inactif. Les attaquants cherchent donc des environnements professionnels, là où les données ont le plus de valeur.

Ce type d’attaque s’inscrit dans une logique plus large de cybersécurité TPE PME, où les accès utilisateurs deviennent la première porte d’entrée des cybercriminels.

Pourquoi les fausses candidatures ciblent les équipes RH des PME

Les équipes RH sont des cibles idéales pour les cybercriminels. Leur métier consiste justement à recevoir, télécharger et ouvrir des documents envoyés par des inconnus. Ce comportement, risqué dans d’autres services, est normal dans un processus de recrutement.

Le paradoxe du recrutement

Un responsable RH doit consulter des CV, lettres de motivation, portfolios et pièces administratives. Les attaquants exploitent cette habitude. Ils savent qu’une candidature crédible a de fortes chances d’être ouverte rapidement.

Les principaux facteurs de risque en PME

• Un volume élevé de candidatures : pendant une campagne de recrutement, une PME peut recevoir des dizaines de CV par jour.
• Des formats variés : PDF, DOCX, ODT, ZIP ou fichiers mal nommés peuvent se mélanger dans la boîte mail.
• Peu d’outils de filtrage : les PME disposent rarement de sandbox ou d’analyse avancée des pièces jointes.
• Une pression de recrutement : lorsqu’un poste est vacant, les candidatures sont souvent traitées vite.
• Une politique RH peu formalisée : peu d’entreprises ont une procédure écrite pour ouvrir les CV en sécurité.

Résultat : le faux CV virus devient un point d’entrée discret, crédible et efficace.

Pour mieux comprendre ces mécanismes, consultez également notre dossier sur les bons réflexes contre le phishing et notre guide sur les principales cybermenaces en entreprise.

Phishing recrutement : les trois formes d’attaque les plus fréquentes

1. La pièce jointe piégée

C’est le scénario le plus courant. L’attaquant envoie une candidature avec un CV en pièce jointe. Le fichier peut prendre plusieurs formes :

• un document Word contenant des macros malveillantes ;
• un fichier VBScript déguisé en CV ;
• un PDF contenant un lien frauduleux ;
• une archive ZIP avec un exécutable renommé ;
• un faux document affichant un message d’erreur.

Cette méthode est dangereuse, car elle repose sur un geste banal : ouvrir un fichier reçu par e-mail.

2. Le faux portail de candidature

Certains attaquants créent de fausses pages carrières imitant des marques connues. Le candidat ou le recruteur est invité à se connecter avec un compte professionnel, à télécharger un dossier ou à saisir des informations personnelles.

Ces pages peuvent imiter les interfaces Google, Microsoft ou LinkedIn. Elles sont parfois suffisamment crédibles pour tromper même des utilisateurs prudents.

3. Le faux recruteur sur LinkedIn

Le faux recruteur est plus insidieux. Il contacte directement une cible, propose une opportunité crédible, puis l’oriente vers un lien frauduleux. Cette attaque exploite la confiance accordée aux plateformes professionnelles.

Dans certains cas, les cybercriminels utilisent même des comptes compromis de vrais recruteurs. Le message semble alors encore plus légitime.

Ces méthodes utilisent souvent les mêmes techniques que les arnaques informatiques modernes et les campagnes de cyberattaques invisibles en entreprise.

Que se passe-t-il après l’ouverture d’un faux CV virus ?

Pour comprendre le risque, il faut observer les étapes d’une attaque après le double-clic.

De 0 à 25 secondes : installation silencieuse

Le fichier s’exécute en arrière-plan. Un message d’erreur peut apparaître pour rassurer l’utilisateur. Pendant ce temps, le malware télécharge son vrai code depuis un serveur distant et s’installe sur le poste.

De 1 à 5 minutes : reconnaissance du poste

Le malware analyse son environnement. Il vérifie si l’ordinateur appartient à un domaine d’entreprise, identifie les logiciels installés et recherche les navigateurs utilisés.

De 5 à 30 minutes : vol d’identifiants

Les mots de passe enregistrés, cookies de session et accès professionnels peuvent être exfiltrés. L’attaquant peut ensuite accéder à la messagerie, au CRM, à l’ERP ou à d’autres outils internes.

De 1 à 72 heures : exploitation

Une fois les accès récupérés, l’attaquant peut lire les échanges internes, identifier les flux financiers ou préparer une arnaque au président. Il peut aussi cartographier le réseau avant une attaque par ransomware.

Pour limiter ce risque, consultez aussi notre guide sur les 10 gestes de cybersécurité en entreprise, notre dossier sur les attaques ciblant les mots de passe et notre page dédiée aux gestionnaires de mots de passe pour TPE et PME.

Les conséquences d’un faux CV virus pour une PME

Un faux CV virus ne compromet pas seulement le poste RH. Il peut toucher toute l’entreprise.

• Vol d’identifiants : accès à la messagerie, aux outils métiers, aux comptes bancaires ou aux espaces cloud.
• Déplacement latéral : l’attaquant explore le réseau depuis le poste infecté.
• Ransomware : les fichiers et sauvegardes peuvent être chiffrés.
• Usurpation d’identité : l’entreprise peut être utilisée pour piéger ses clients ou partenaires.
• Perte de confiance : un incident cyber peut nuire durablement à l’image de marque.

Une PME doit donc considérer le recrutement comme une zone sensible de sa cybersécurité.

Pour renforcer votre protection, découvrez également nos contenus sur les sauvegardes 3-2-1-1-0, la messagerie sécurisée et les solutions de sécurité avancées.

Comment protéger votre processus de recrutement contre les malwares CV

Mesures immédiates à appliquer

1. Afficher les extensions de fichiers dans Windows : cela permet de repérer un faux fichier PDF cachant une extension dangereuse.
2. Bloquer les fichiers à risque : refusez les extensions .vbs, .exe, .bat, .cmd, .scr, .js et .wsf.
3. Désactiver les macros Office : aucun CV légitime ne devrait nécessiter l’activation de macros.
4. Ouvrir les CV dans une plateforme web : évitez de télécharger les pièces jointes sur le poste RH.
5. Ne jamais ouvrir une archive ZIP inattendue : demandez au candidat de renvoyer un PDF simple.

Mesures structurelles à mettre en place

1. Centraliser les candidatures : utilisez un formulaire sécurisé ou une plateforme de recrutement reconnue.
2. Former les équipes RH : une formation cyber généraliste ne suffit pas. Le recrutement nécessite des exemples concrets.
3. Segmenter le réseau : le poste RH ne doit pas accéder directement aux données sensibles.
4. Installer un filtrage DNS : il bloque les connexions vers des domaines malveillants connus.
5. Utiliser une protection EDR : l’analyse comportementale détecte mieux les malwares modernes qu’un antivirus classique.

Pour aller plus loin, consultez également notre guide sur l’EDR et la protection des postes de travail ainsi que notre dossier sur les limites d’un antivirus seul en PME.

Que faire si un faux CV virus a été ouvert ?

Si un collaborateur a ouvert un fichier suspect, il faut agir vite et dans le bon ordre.

1. Déconnecter immédiatement le poste du réseau : coupez le Wi-Fi et débranchez le câble Ethernet.
2. Ne pas éteindre l’ordinateur : les équipes techniques peuvent avoir besoin d’analyser la mémoire vive.
3. Changer les mots de passe depuis un autre appareil : commencez par la messagerie et les comptes sensibles.
4. Prévenir votre prestataire informatique : il doit vérifier si l’attaque s’est propagée.
5. Conserver les preuves : gardez l’e-mail, la pièce jointe et les journaux système.
6. Signaler l’incident : utilisez la plateforme officielle Cybermalveillance.gouv.fr.

En cas de compromission de données personnelles, le RGPD peut imposer une notification à la CNIL sous 72 heures.

Checklist sécurité RH : votre recrutement est-il protégé ?

Posez ces questions avec votre responsable informatique :

1. Les macros sont-elles désactivées par défaut ?
2. Les extensions dangereuses sont-elles bloquées par la messagerie ?
3. Les CV sont-ils consultés dans une plateforme sécurisée ?
4. L’équipe RH a-t-elle reçu une formation spécifique ?
5. Le poste RH est-il isolé du reste du réseau ?
6. Un filtrage DNS est-il actif ?
7. Votre antivirus détecte-t-il les comportements suspects ?
8. Votre page carrières précise-t-elle les canaux officiels de recrutement ?

Si vous répondez non à plus de trois questions, votre processus de recrutement peut être un point d’entrée pour les attaquants. Un diagnostic MonAideCyber permet d’évaluer votre exposition.

FAQ : faux CV virus et cybersécurité RH

Comment reconnaître un faux CV virus ?

Un faux CV virus peut utiliser une extension inhabituelle, comme .vbs, .exe ou .js. Il peut aussi être envoyé dans une archive ZIP ou afficher un message d’erreur après ouverture. Un CV légitime doit généralement être transmis en PDF simple.

Un PDF peut-il contenir un malware ?

Oui, un PDF peut contenir un lien frauduleux ou exploiter une faille logicielle si le lecteur PDF n’est pas à jour. Il faut éviter d’ouvrir les documents suspects localement et privilégier une plateforme de recrutement sécurisée.

Pourquoi les RH sont-elles ciblées par les cybercriminels ?

Les équipes RH ouvrent régulièrement des documents envoyés par des inconnus. Les attaquants exploitent cette habitude pour faire passer un fichier malveillant comme une candidature normale.

Que faire après avoir ouvert un CV suspect ?

Déconnectez immédiatement le poste du réseau, ne l’éteignez pas, prévenez votre prestataire informatique et changez les mots de passe depuis un autre appareil. Conservez aussi l’e-mail et la pièce jointe comme preuves.

Passez à l’action

MonAideCyber est une prestation gratuite, sécurisée et encadrée par l’ANSSI. En moins de deux heures, un accompagnateur évalue votre exposition aux risques, y compris ceux liés au recrutement.

Ressources complémentaires Eur’Net

• Phishing : les bons réflexes à adopter
• Cybersécurité TPE PME
• 10 gestes cybersécurité entreprise
• LeLab cybersécurité PME
• Cyber veille PME TPE
• Messagerie sécurisée professionnelle
• Guide gestionnaires de mots de passe
• Pourquoi adopter un EDR

Le 0909 – le dossier numérique du jeudi

• Un dossier de fond chaque jeudi à 09h09.
• Des explications concrètes pour les dirigeants de PME.
• Un ton accessible et des conseils actionnables.
• Parce que la cybersécurité, c’est aussi du bon sens.