La manière la plus rapide de perdre tous vos fichiers, ce n'est pas un pirate en sweat à capuche. C'est un clic, dans un onglet, un après-midi ordinaire. Le rançongiciel n'a rien d'un mystère. C'est un pipeline — et l'essentiel de ce pipeline passe par le navigateur.

Vous avez sans doute lu plus d'une histoire à ce sujet. Un hôpital qui ne peut plus admettre de patients. Un petit cabinet d'avocats qui ne peut plus accéder au moindre dossier client. Une administration municipale qui revient au papier et au stylo pendant trois semaines. Un couple de retraités dont les photos, les déclarations fiscales et chaque document numérisé des vingt dernières années ont brutalement disparu, remplacés par une note polie en anglais et une adresse de portefeuille.

Le rançongiciel est partout, et il progresse. Il est aussi — et c'est là que tout se joue — presque entièrement évitable au point d'entrée, qui, en 2026, est presque toujours le même : une page web, chargée dans un navigateur ordinaire, un jour ordinaire.

Le rançongiciel est une industrie, pas une farce.

L'image que beaucoup gardent en tête — un attaquant solitaire derrière son portable — a quarante ans de retard. Le rançongiciel moderne se gère comme une entreprise, avec des services, des budgets, des salaires, des conflits RH, des horaires de service client, et parfois même des rapports trimestriels.

Une opération type comprend, au minimum :

Des courtiers en accès initial dont tout le métier consiste à vendre « un pied dans la porte » à d'autres bandes : identifiants, serveur compromis, utilisateur dont la machine a été discrètement piégée.
Des programmes d'affiliation (souvent commercialisés sous le nom de « rançongiciel en tant que service ») où le groupe qui écrit le chiffreur prélève une commission, tandis qu'un réseau lâche d'« affiliés » mène les intrusions proprement dites.
Des équipes de négociation qui tiennent les messageries, estiment le chiffre d'affaires de votre entreprise à partir de documents publics, et fixent la rançon en conséquence.
Des équipes d'exfiltration dont l'unique mission est de voler les fichiers avant tout chiffrement, afin que, même si vous restaurez depuis une sauvegarde, elles puissent menacer de publier.
Des équipes de blanchiment et de liquidation chargées de la partie cryptomonnaies.

Le constat est simple : en face de vous, ce sont des professionnels, à plein temps, avec un budget de fonctionnement. Le conseil « soyez plus prudent » ne constitue pas un plan de défense face à une industrie professionnelle. C'est un haussement d'épaules.

Comment l'intrusion a vraiment lieu.

Presque toutes les chaînes de rançongiciel modernes commencent de la même manière : quelqu'un ouvre une page web.

Six des points d'entrée les plus courants des rançongiciels modernes. Chacun d'eux passe par un navigateur sur la machine d'un utilisateur ordinaire — pas par un pare-feu, pas par un VPN, pas par une faille côté serveur.

En bref, les six grands :

Liens d'hameçonnage par e-mail

Le plus vieux des vecteurs, toujours le plus productif. Un e-mail crédible — suivi de colis, document partagé, facture — dirige vers une page qui, soit dépose directement une charge utile, soit récolte des identifiants utilisés ensuite pour accéder au réseau de la victime.

Publicités malveillantes

Des régies publicitaires légitimes qui diffusent des créations malveillantes. Un véritable site d'actualités, un véritable site météo, un véritable site de recettes — tous affichent une publicité qui redirige silencieusement le navigateur vers un kit d'exploitation. Le propriétaire du site n'est pas complice ; la régie publicitaire s'est fait avoir.

Empoisonnement SEO

L'utilisateur cherche un outil — un convertisseur PDF, un installateur de VPN, une police gratuite. Le premier résultat est une fausse page qui se classe bien parce que l'attaquant y a passé des mois. Le téléchargement paraît correct, est signé, s'installe, et embarque avec lui un chargeur de seconde étape.

Attaques par point d'eau

Un site de niche — une association professionnelle, un forum spécialisé, un portail fournisseur — est discrètement compromis, et chaque visiteur reçoit une charge utile ciblée. L'attaquant n'a pas besoin d'un large filet ; juste du bon.

Pages ClickFix

Un classique contemporain. Une page se fait passer pour un CAPTCHA, un message d'erreur ou une invite « corrigez ceci pour continuer ». Elle écrit silencieusement une commande PowerShell ou Terminal dans le presse-papiers et invite l'utilisateur à appuyer sur une combinaison de touches et à coller. La commande s'exécute sur l'hôte, en dehors du navigateur, et fait tout ce que l'attaquant veut.

Fausses invites de mise à jour

« Votre navigateur n'est pas à jour. Cliquez ici pour mettre à jour. » La page ressemble à Chrome, Firefox ou Safari. Le téléchargement est un chargeur. Chaque étape paraît normale parce que chaque étape a été conçue pour le paraître.

Quelques vecteurs plus marginaux mais toujours pertinents complètent la liste : extensions de navigateur malveillantes installées en dehors des boutiques officielles ; paquets de chaîne d'approvisionnement compromis ; et — plus rarement, mais avec des conséquences catastrophiques — véritables zero-days de navigateur. Le fil conducteur est ennuyeux et capital : une page web se charge, et tout le mal qui s'ensuit découle de ce seul événement.

La chaîne, étape par étape.

Une fois l'accès initial réussi, le reste de la chaîne est mécanique.

Ce qui se passe vraiment après qu'un utilisateur a visité la mauvaise page. Tout ce qui suit « l'accès initial » s'exécute sur l'ordinateur de l'utilisateur — pas sur un serveur quelque part — et au moment où le chiffrement démarre, l'attaquant s'y est installé tranquillement depuis des heures, des jours ou des semaines.

Cette chaîne entière — du moment où l'onglet s'est chargé au moment où la note de rançon apparaît sur le bureau — est une longue séquence qui dépend d'une seule chose : la réussite de l'étape 2. Si la charge utile de l'étape 2 ne peut pas atteindre les fichiers, le trousseau, les tâches, les services ou les partages réseau de l'utilisateur, la chaîne s'arrête. Toutes les étapes qui suivent l'étape 2 supposent que l'attaquant a la main sur la machine. S'il n'a jamais mis la main sur la machine, rien d'autre ne se produit.

Le navigateur est la porte. Nous en avons fait un mur.

Les navigateurs classiques ont été corrigés, durcis, placés en bac à sable, fuzzés et soumis à tous les tests possibles depuis vingt ans. Ils sont aussi, de très loin, la deuxième surface d'attaque la plus vaste sur un ordinateur — plus grande que toutes les autres applications, seconde uniquement derrière le système d'exploitation qui les exécute. Ce n'est pas parce que leurs ingénieurs sont mauvais. C'est parce qu'un navigateur doit analyser chaque octet de tout internet et en tirer, d'une manière ou d'une autre, un pixel sans danger. C'est un problème perdu d'avance.

Bromure ne cherche pas à gagner ce problème sur le terrain du navigateur. Il change la géométrie.

Même charge utile de rançongiciel, même exploit, même page malveillante. À gauche, un navigateur classique : la charge utile atterrit dans le même espace d'adressage que vos fichiers. À droite, Bromure : la charge utile atterrit dans une VM jetable qui ne contient rien de vous — et la VM est détruite dès que vous fermez la fenêtre.

Dans Bromure, chaque onglet s'exécute à l'intérieur d'une machine virtuelle scellée. Le navigateur, son moteur de rendu, le moteur JavaScript, l'analyseur PDF, le codec vidéo — tout cela est enchâssé dans une VM invitée jetable qui n'a aucun accès à vos fichiers, à votre trousseau, à votre webcam, à vos photos ou à votre réseau local. L'exploit qui a tiré parti d'un bug du navigateur atterrit dans un monde qui ne contient pas votre vie.

Quand vous fermez la fenêtre sur une session non persistante, la VM entière — l'état du navigateur, les cookies, tout ce qui a été téléchargé, tout ce qui s'est implanté, tout ce qui tentait de sortir — est effacée. Vous n'avez pas besoin de savoir que c'était là. Vous n'avez rien à nettoyer.

L'isolation est le premier mur.

Un navigateur classique qui s'exécute dans votre compte utilisateur partage les permissions de fichiers avec vous. C'est une architecture, pas une erreur, et c'est précisément ce dont dépend toute la chaîne d'attaque après l'étape 2. Bromure brise cette hypothèse à la racine. Le processus du navigateur ne s'exécute pas dans votre compte utilisateur — il s'exécute dans une machine entièrement séparée, et ce que cette machine peut voir se limite à ce que vous lui avez explicitement donné.

Téléchargements, webcam, presse-papiers, réseau local — désactivés par défaut.

Chaque capacité dans Bromure démarre refusée. Un téléchargement à la volée qui « fonctionne tout seul » dans un navigateur classique ne peut pas écrire de fichier dans Bromure, à moins que vous n'ayez préalablement dit que ce profil est autorisé à enregistrer des fichiers. Il en va de même pour la webcam, le microphone, l'accès au presse-papiers et les requêtes vers le réseau local. La plupart des profils n'ont besoin de presque rien de tout cela. La plupart des profils n'en obtiennent jamais la majeure partie.

Les profils ne sont pas des dossiers. Ce sont des machines distinctes.

Votre banque. Votre messagerie professionnelle. Votre profil « cliquer sur n'importe quel lien » pour les liens de la discussion de groupe. Dans Bromure, chacun d'eux est sa propre VM, avec son propre stockage, ses propres cookies, ses propres permissions, sa propre couleur de bordure visible. Si le profil « liens au hasard » est compromis — ce qui, dans Bromure, est déjà difficile — il ne peut pas atteindre les cookies du profil « banque ». Ils ne sont pas dans le même ordinateur.

Les sessions se terminent. Des mondes s'éteignent avec elles.

Fermez la fenêtre, et un monde jetable entier — avec tout logiciel malveillant qui aurait pu s'y installer — disparaît. Il ne reste rien à quoi l'attaquant puisse revenir.

La troisième étape de toute chaîne de rançongiciel — la persistance — est le coup le plus précieux de l'attaquant. Tâches planifiées, services système, éléments de démarrage, démons de lancement : une fois qu'ils s'implantent, ils reviennent. Face à un hôte persistant, l'attaquant gagne par la seule patience. Face à une session Bromure jetable, il n'y a rien à quoi revenir. Le monde dans lequel l'attaquant vivait a disparu.

Ce que l'isolation ne résout pas — et quoi faire à la place.

L'isolation n'est pas magique. Deux choses qu'elle ne règle pas à elle seule :

L'ingénierie sociale contre l'utilisateur

Une page qui convainc un utilisateur de copier une commande et de l'exécuter dans une véritable fenêtre Terminal a entièrement contourné le navigateur — la commande s'exécute désormais sur l'hôte, pas dans le bac à sable. C'est ainsi que fonctionne ClickFix. Le correctif se situe à une autre couche : le navigateur doit voir la charge utile que la page a écrite dans le presse-papiers, la signaler, et avertir l'utilisateur avant qu'il ne colle. C'est une fonctionnalité en chemin ; en attendant, n'exécutez jamais une commande qu'une page web vous a dit d'exécuter, et apprenez à faire de même aux personnes de votre foyer.

De vrais identifiants remis à un vrai attaquant

Si une page d'hameçonnage convaincante pousse l'utilisateur à taper un vrai mot de passe dans un vrai formulaire, aucun modèle d'isolation n'aide — les identifiants viennent de quitter le bac à sable via votre clavier. Le correctif est spécifique à l'hameçonnage : avertir avant qu'un mot de passe ne soit saisi sur un nouveau domaine ; détecter l'usurpation de marque ; intercepter les soumissions de mots de passe entre domaines. Ce travail est en cours et arrivera dans une prochaine version.

D'ici à ce que ces couches arrivent, l'isolation à elle seule neutralise déjà la chaîne de rançongiciel industrielle la plus fiable — celle qui va « onglet → fichier sur disque → persistance → chiffrement ». C'est la chaîne que monétise l'industrie de l'attaque. C'est la chaîne que Bromure brise.

L'industrie de l'attaque ne ralentit pas. Nous non plus.

Le rançongiciel ne sera pas arrêté par de meilleurs conseils, ni en demandant à vos proches d'être plus prudents, ni en faisant semblant de croire que les gens d'en face finiront un jour par se lasser et rentrer chez eux. Ils ne se lasseront pas. Ils ont des objectifs trimestriels.

Ce qui va les arrêter, une machine à la fois, c'est un navigateur conçu dès la première ligne de code pour partir du principe qu'une page web est hostile, et pour garantir que rien de ce qu'une page web hostile fait ne puisse atteindre ce à quoi vous tenez. Un navigateur où le pire scénario possible, après avoir cliqué sur le mauvais lien, le mauvais jour, dans la mauvaise humeur, se résume à fermer une fenêtre.

C'est à cela que sert Bromure. Installez-le, faites-en votre navigateur par défaut, et laissez le reste devenir le problème de quelqu'un d'autre.