Le 8 mai 2026, les chercheurs en sécurité d'Elastic Security Labs ont signalé la découverte d'un trojan bancaire brésilien jusqu'à présent inconnu, baptisé TCLBANKER (suivi sous le code REF3076). Cette menace est majeure : elle cible 59 plateformes financières différentes, dont des banques, des fintech et des bourses de cryptomonnaies. Plus inquiétant encore, TCLBANKER utilise un ver appelé SORVEPOTEL qui se propage automatiquement via WhatsApp et Outlook, les deux outils collaboratifs les plus utilisés en entreprise.
En tant que technicien informatique indépendant à Valence depuis plusieurs années, je vois régulièrement des entreprises et particuliers de Drôme et Ardèche touchés par ce type de malware. TCLBANKER est une mise à jour majeure du trojan Maverick, ce qui signifie que les cybercriminels deviennent de plus en plus sophistiqués. Dans cet article, je vous explique précisément ce qui s'est passé, pourquoi cela vous concerne, et surtout comment protéger votre ordinateur, votre smartphone et vos données bancaires immédiatement.
TCLBANKER est un trojan bancaire, c'est-à-dire un malware spécialisé dans le vol d'informations financières. Contrairement aux virus traditionnels qui endommagent simplement votre système, les trojans bancaires sont conçus pour :
Ce qui rend TCLBANKER particulièrement dangereux, c'est qu'il cible 59 plateformes financières différentes. Cela signifie que les criminels ont développé des modules spécifiques pour chaque banque et service financier, ce qui leur permet d'adapter leur attaque selon votre institution. Une entreprise de Valence utilisant le Crédit Agricole, BNP ou Société Générale ne sera pas épargnée.
TCLBANKER est considéré comme une mise à jour majeure du trojan Maverick, que les experts suivaient depuis plusieurs années. Cette évolution montre que les groupes cybercriminels investi énormément dans le développement de malware toujours plus efficaces.
TCLBANKER est orignairement un trojan brésilien, mais les cybercriminels adaptent rapidement leurs outils pour d'autres régions. Des variantes ciblant les banques françaises pourraient apparaître dans les semaines à venir, voire existent déjà.
La stratégie de propagation de TCLBANKER est particulièrement vicieuse. Elle utilise un composant appelé SORVEPOTEL, un ver capable de se propager automatiquement via deux canaux majeurs :
Une fois votre ordinateur infecté, le ver SORVEPOTEL accède à vos contacts WhatsApp et envoie automatiquement des messages de phishing à tous vos contacts. Ces messages peuvent contenir :
Vos collègues à Valence, en Drôme ou Ardèche reçoivent ces messages de vous, ce qui crée un sentiment de confiance. Une simple clique suffit à les infecter à son tour.
De la même manière, le malware détecte votre client Outlook ou votre accès à Office 365. Il peut alors :
L'infection démarre généralement par :
Chez les TPE et PME de Valence que je suis, les infections arrivent souvent parce qu'un employé peu sensibilisé ouvre une pièce jointe douteuse. C'est malheureusement un point faible majeur : la plupart des attaques réussissent par l'humain, pas par la technologie.
Votre meilleure défense : ne jamais ouvrir une pièce jointe si vous ne reconnaissez pas l'expéditeur ou si vous n'en attendiez pas. Même d'une adresse connue, posez d'abord la question à la personne (appel, SMS) avant d'ouvrir.
Bien que TCLBANKER soit orignairement un trojan brésilien, la menace s'étend bien au-delà du Brésil. Voici pourquoi :
Les 59 plateformes ciblées incluent probablement :
Selon l'ANSSI (Agence Nationale de la Sécurité des Systèmes d'Information), les entreprises françaises subissent en moyenne 4 attaques de trojans bancaires par jour. Les petites entreprises sont particulièrement visées, car elles ont moins de ressources en sécurité que les grandes.
Dans notre région, sont particulièrement exposés :
Je dois être honnête : j'ai déjà vu des cas de petites entreprises de Drôme perdre plusieurs milliers d'euros suite à une infection par trojan bancaire. L'argent est souvent transféré vers des comptes mules à l'étranger en quelques heures, rendant la récupération quasi impossible.
Si une seule personne de votre entreprise en Drôme ou Ardèche est infectée par TCLBANKER, et que vous utilisez une messagerie partagée (Outlook d'entreprise), l'ensemble de votre carnet d'adresses professionnel est à risque. Cela peut inclure vos clients, fournisseurs et partenaires.
Cette action est la plus urgente. TCLBANKER exploite souvent des failles connues dans les logiciels non patchés. Sur tous vos ordinateurs :
Pour les entreprises de Valence : si vous avez un serveur ou une infrastructure informatique partagée, contactez rapidement votre prestataire IT pour un patch complet.
Un antivirus grand public ne suffit plus. Vous avez besoin d'une protection capable de détecter TCLBANKER et ses variantes. Voici mes recommandations :
L'important : choisir un antivirus avec détection comportementale (qui détecte les trojans même s'il ne les connaît pas à l'avance) et protection bancaire (qui vérifie l'intégrité de vos transactions).
C'est la meilleure protection contre les trojans bancaires. Même si vos identifiants sont volés, les criminels ne peuvent pas accéder à votre compte. Contactez votre banque pour activer :
⚠️ Important pour les entreprises : si vous avez un accès bancaire par Outlook ou une application tierce, assurez-vous que le 2FA est obligatoire à chaque tentative de connexion, pas seulement lors du premier accès.
Un trojan peut aussi servir de portail pour un ransomware (qui chiffre vos fichiers). Sauvegardez immédiatement :
Utilisez une solution cloud (OneDrive, Google Drive avec authentification 2FA) ou un disque externe déconnecté après la sauvegarde. Les TPE et PME de Valence en Drôme devraient utiliser une infogérance avec sauvegardes automatiques quotidiennes (ce que je propose d'ailleurs).
Sur WhatsApp :
Sur Outlook/Office 365 :
Si vous observez l'une de ces situations, débranchez immédiatement votre ordinateur du réseau (Wi-Fi et Ethernet) :
Ensuite :
TCLBANKER est un trojan bancaire brésilien découvert en mai 2026 capable de cibler 59 plateformes financières, banques, fintech et plateformes de cryptomonnaies. Il s'agit d'une mise à jour majeure du malware Maverick, qui utilise un ver appelé SORVEPOTEL pour se propager via WhatsApp et Outlook. Ce trojan est particulièrement dangereux car il combine vol de données bancaires et capacité de propagation automatique via les applications de messagerie les plus utilisées en entreprise. Les cybercriminels l'ont développé pour cibler automatiquement vos comptes bancaires et vos données financières sensibles.
TCLBANKER utilise deux vecteurs principaux de propagation : WhatsApp et Outlook. Le ver SORVEPOTEL envoie automatiquement des messages de phishing aux contacts, avec des pièces jointes infectées ou des liens malveillants. Une simple clique sur le lien ou l'ouverture de la pièce jointe suffit à infecter votre ordinateur. L'infection peut aussi provenir d'emails d'apparence professionnelle semblant venir de collègues ou partenaires. C'est particulièrement dangereux pour les TPE et PME de Valence qui utilisent largement ces outils collaboratifs sans mesures de sécurité avancées. L'infection initiale arrive souvent par un faux email bancaire, une fausse mise à jour logicielle ou un fichier Office piégé.
Bien que TCLBANKER cible principalement des plateformes brésiliennes, les cybercriminels adaptent régulièrement leurs trojans pour cibler d'autres régions. Les banques françaises et les services de paiement français (PayPal, Wise, Revolut) figurent parmi les cibles potentielles. Toute entreprise ou particulier en Drôme, Ardèche ou ailleurs utilisant les services bancaires en ligne est potentiellement exposé. Selon l'ANSSI, les entreprises françaises subissent 4 attaques de trojans bancaires par jour en moyenne. Les PME de Valence et de la région doivent prendre cette menace très au sérieux, surtout si vous avez plusieurs employés accédant à des comptes bancaires.
Les signes d'une infection incluent : ralentissement anormal de l'ordinateur, comportements suspects du clavier et de la souris, changements des identifiants bancaires sans action de votre part, messages étranges envoyés automatiquement via WhatsApp ou Outlook à vos contacts, apparition de fenêtres pop-up non désirées, transactions bancaires non autorisées, ou des appareils inconnus connectés à votre compte en ligne. Si vous observez l'un de ces symptômes, débranchez immédiatement votre ordinateur du réseau, contactez votre banque et faites un appel à un technicien informatique de confiance à Valence pour un diagnostic complet et un nettoyage professionnel.
N'attendez pas d'être infecté. Contactez-moi pour un audit sécurité complet et une protection antivirus professionnelle. Je sécurise depuis des années les TPE et PME de Valence, Romans-sur-Isère et toute la Drôme contre ce type de menace.
Contactez Hugo →