Un faux bouton Google Meet, et votre PC ne vous appartient plus
Google Meet vous informe qu’une mise à jour est nécessaire pour continuer à utiliser le service. La page est propre, aux couleurs de Google, avec un bouton « Update now » bien visible. Vous cliquez. Aucun fichier ne se télécharge.

Vous êtes en pleine journée de travail. Un onglet s’ouvre dans votre navigateur : Google Meet vous informe qu’une mise à jour est nécessaire pour continuer à utiliser le service. La page est propre, aux couleurs de Google, avec un bouton « Update now » bien visible. Vous cliquez. Aucun fichier ne se télécharge. Aucune alerte de votre antivirus. Tout semble normal. Sauf que votre ordinateur vient de changer de propriétaire.
L’attaque qui ne ressemble pas à une attaque
Ce scénario n’est pas théorique. Il correspond à une campagne d’attaque documentée début mars 2026 par les chercheurs de Malwarebytes, et elle est remarquable par ce qu’elle n’utilise pas. Pas de malware. Pas de téléchargement suspect. Pas de pièce jointe piégée. L’intégralité de l’attaque repose sur des fonctionnalités parfaitement légitimes de Windows et sur une plateforme commerciale de gestion d’appareils.
Voici comment ça fonctionne. La victime arrive sur une page qui imite Google Meet: le domaine utilisé dans cette campagne était updatemeetmicro[.]online. En cliquant sur le bouton de mise à jour, aucun exécutable n’est lancé. À la place, le clic active un protocole intégré à Windows appelé ms-device-enrollment. Ce protocole est normalement utilisé dans les environnements professionnels pour inscrire un ordinateur dans un système de gestion d’appareils, ce qu’on appelle un MDM (Mobile Device Management). C’est le même mécanisme que votre service informatique utilise quand il configure votre PC d’entreprise à distance.

Windows ouvre alors une fenêtre système, pas une page web, une vraie fenêtre Windows, proposant de configurer un compte professionnel ou scolaire. Le formulaire est prérempli avec un identifiant contrôlé par les attaquants, pointant vers un serveur MDM hébergé sur Esper, une plateforme commerciale utilisée par de vraies entreprises. Si l’utilisateur valide, pensant suivre une procédure légitime, c’est terminé. Son ordinateur est enrôlé dans l’infrastructure de gestion des attaquants.
Le contrôle total, sans aucun virus
Et c’est là que cette attaque devient fascinante d’un point de vue technique. Le protocole ms-device-enrollment fonctionne exactement comme Microsoft l’a conçu, et la plateforme Esper fonctionne exactement comme Esper l’a conçue. Les attaquants n’ont exploité aucune faille logicielle. Ils ont simplement redirigé des mécanismes légitimes vers quelqu’un qui n’a jamais donné son consentement. Pour un antivirus, il n’y a strictement rien d’anormal à détecter. La fenêtre d’inscription est une vraie fenêtre Windows, pas une page web truquée. Elle échappe donc aux filtres du navigateur, aux scanners d’emails et à la plupart des outils de détection classiques.

Une fois l’appareil inscrit dans le système MDM des attaquants, ceux-ci disposent exactement du même niveau de contrôle qu’un administrateur informatique légitime. Ils peuvent installer ou supprimer des logiciels à distance, accéder aux fichiers de la machine, modifier les paramètres système, verrouiller l’écran, déployer des outils de surveillance, ou même effacer complètement l’ordinateur. Le tout sans que l’utilisateur ne reçoive la moindre alerte.
Vivre sur le terrain : la nouvelle philosophie des attaquants
Ce type d’attaque illustre une évolution de fond en cybersécurité que les spécialistes appellent le « living off the land » : vivre sur le terrain. Plutôt que de développer des malwares sophistiqués qui risquent d’être détectés par les solutions de sécurité, les attaquants préfèrent utiliser les outils déjà présents sur la machine de la victime. Le système d’exploitation devient l’arme. La plateforme d’entreprise devient le vecteur. Et la confiance de l’utilisateur dans les interfaces qu’il reconnaît devient la vulnérabilité principale.
C’est un renversement complet du modèle d’attaque classique. Pendant des années, la cybersécurité s’est construite autour d’une logique simple : identifier et bloquer les éléments malveillants. Mais quand l’attaque ne contient aucun élément malveillant au sens technique du terme, quand chaque composant pris isolément est légitime, cette logique s’effondre. Ce n’est plus le code qui est malveillant. C’est l’intention. Et l’intention, aucun antivirus ne sait la détecter.
Cette campagne n’est d’ailleurs pas un cas isolé. Depuis début 2026, plusieurs variantes exploitent le même principe avec des imitations de Zoom et de Microsoft Teams, utilisant des pages de faux Microsoft Store ou de fausses salles d’attente vidéo pour pousser les victimes à installer des agents de surveillance commerciaux détournés de leur usage légitime. Le schéma se répète : confiance visuelle, urgence simulée, outil légitime détourné.

Ce que ça change pour nous
Ce genre d’attaque nous oblige à repenser ce que signifie « être protégé ». Avoir un antivirus à jour ne suffit plus quand l’attaque n’utilise aucun malware. Avoir un navigateur sécurisé ne suffit plus quand le piège s’exécute dans une fenêtre système Windows. La dernière ligne de défense, c’est la vigilance humaine, et c’est précisément la cible de ces attaques.
Quelques réflexes concrets méritent d’être ancrés. Une mise à jour légitime de Google Meet ne s’affiche jamais dans une page web aléatoire : elle passe par Google Workspace, le Play Store, l’App Store ou le site officiel de Google. Si une fenêtre Windows vous demande de configurer un « compte professionnel ou scolaire » sans que vous n’ayez rien demandé, le bon réflexe est de cliquer sur Annuler immédiatement. Et si vous êtes administrateur IT en entreprise, la question n’est plus optionnelle : il faut restreindre les serveurs MDM autorisés pour l’enrôlement via des outils comme Microsoft Intune.
Mais au-delà de ces réflexes, c’est notre rapport à la confiance numérique qu’il faut interroger. Nous avons été éduqués à nous méfier des pièces jointes douteuses et des sites web suspects. Mais nous n’avons pas été éduqués à nous méfier d’une fenêtre Windows qui ressemble à une procédure d’entreprise parfaitement normale. Les attaquants, eux, l’ont très bien compris.
Quand les outils de protection deviennent aveugles parce que l’attaque n’utilise que des composants légitimes, quand l’interface la plus fiable de votre système d’exploitation devient le vecteur d’entrée, une question s’impose : à quel moment cessons-nous de faire confiance à ce que nous voyons sur nos écrans ?
Questions fréquentes
Pourquoi mon antivirus ne détecte-t-il pas cette attaque ?
Parce qu’elle n’embarque aucun élément malveillant : elle réutilise un protocole Windows légitime (ms-device-enrollment) et une plateforme MDM commerciale (Esper). Chaque composant pris isolément est normal, il n’y a donc rien d’anormal à signaler.
Que se passe-t-il concrètement si je valide la fenêtre Windows ?
Votre ordinateur est enrôlé dans le système de gestion d’appareils des attaquants. Ils disposent alors du même niveau de contrôle qu’un administrateur IT : installer ou supprimer des logiciels, accéder aux fichiers, surveiller, verrouiller l’écran ou effacer la machine, sans aucune alerte.
Comment reconnaître une vraie mise à jour de Google Meet ?
Une mise à jour légitime ne s’affiche jamais dans une page web aléatoire. Elle passe par Google Workspace, le Play Store, l’App Store ou le site officiel de Google.
Quel est le bon réflexe face à une fenêtre Windows « compte professionnel ou scolaire » non sollicitée ?
Cliquer immédiatement sur Annuler. Si vous administrez un parc, restreignez en plus les serveurs MDM autorisés pour l’enrôlement via des outils comme Microsoft Intune.
Qu’est-ce que le « living off the land » ?
Une approche où les attaquants n’écrivent pas de malware mais détournent les outils déjà présents sur la machine et les plateformes d’entreprise légitimes. Le système d’exploitation devient l’arme et la confiance de l’utilisateur, la principale vulnérabilité.
Sources & méthodologie
- Malwarebytes, recherche documentant la campagne (début mars 2026)

Être en cybersécurité
Une feuille de route cyber en clair, pour tout le monde, pas seulement les experts.
