Analyse des archives de malwares : VirusTotal (31 Po) et vx-underground (30 To) comparés en hauteur
Le 13 mai 2026, le journaliste Zack Whittaker publiait sur TechCrunch un article qui a fait le tour du monde. Son point de départ ? Un échange anodin entre le compte d'archivistes de malwares vx-underground et le fondateur de VirusTotal, Bernardo Quintero. Ce qui n'était qu'une vanne entre passionnés s'est transformé en une démonstration visuelle choc de l'ampleur de la menace numérique, avec des disques durs empilés culminant à 807 mètres.
Comment une blague sur X a créé une tour de 800 mètres
L'article de TechCrunch a frappé fort en transformant des chiffres abstraits en images concrètes. Les 30 téraoctets de code source de malwares de vx-underground et les 31 pétabytes de VirusTotal ont soudain pris une dimension physique, littéralement empilable.
Le tweet de vx-underground qui a déclenché une comparaison choc
Tout commence par un message du compte @vxunderground. L'équipe annonce fièrement posséder 30 téraoctets de code source de malwares, une collection constituée patiemment. La réponse fuse rapidement. Bernardo Quintero, le fondateur de VirusTotal, rétorque : « Nous, on en a 31 pétabytes. »
Cette pique amicale a immédiatement attiré l'attention de Zack Whittaker. Le journaliste a compris qu'il tenait un angle visuel imparable. Transformer ces chiffres en objets concrets, empilables, comparables à des monuments connus de tous. Le duel de chiffres est devenu une image qui parle à tout le monde, des experts en cybersécurité aux simples curieux.
30 disques contre la Tour Eiffel : l'image choc du volume des malwares
Le calcul est simple. Les 30 téraoctets de vx-underground tiennent dans une pile de 30 disques durs standard de 1 téraoctet. Cette tour modeste mesure 76 centimètres de haut, soit la taille d'une petite table de chevet. Rien d'impressionnant à première vue.
En face, les 31 pétabytes de VirusTotal nécessitent 31 744 disques durs empilés. La structure atteint 807 mètres de hauteur. C'est 2,5 fois la hauteur de la Tour Eiffel (330 mètres) et presque l'altitude de la Burj Khalifa (828 mètres). D'un côté, une pile de disques qui tient sous un bureau. De l'autre, une tour qui frôle les nuages.
Ce contraste visuel illustre une réalité fondamentale : les archives de malwares ont atteint des proportions inimaginables il y a seulement dix ans. Et elles continuent de croître chaque jour.
VirusTotal vs vx-underground : deux collections que tout oppose
Derrière ces chiffres impressionnants se cachent deux entités radicalement différentes. Les confondre serait une erreur grossière. L'une est un outil légitime utilisé quotidiennement par les professionnels de la sécurité. L'autre est une archive sauvage qui navigue en zone grise. Leurs finalités, leurs contenus et leurs statuts juridiques n'ont presque rien en commun.
VirusTotal : les 31 pétabytes du géant Google acquis en 2012
VirusTotal a été fondé en 2004 par la société espagnole Hispasec Sistemas. À l'origine, c'était un petit service en ligne qui permettait de scanner un fichier suspect avec plusieurs antivirus simultanément. L'idée était simple mais efficace : plutôt que de faire confiance à un seul éditeur, on confrontait le verdict d'une soixantaine de moteurs de détection.
Google a racheté la plateforme en 2012 pour un montant non divulgué. Depuis, VirusTotal est devenu un mastodonte. Les 31 pétabytes aujourd'hui hébergés ne contiennent pas que des malwares. La plateforme accepte tous les fichiers, légitimes comme suspects. On y trouve des documents administratifs, des photos, des exécutables de jeux vidéo, des mises à jour logicielles. C'est une décharge massive où chaque fichier soumis par un utilisateur reste stocké.
Le service reste gratuit pour le grand public. N'importe qui peut uploader un fichier suspect et obtenir un diagnostic en quelques secondes. Cette accessibilité en a fait un outil indispensable pour les équipes de sécurité du monde entier, y compris l'ANSSI et les CERT français.
vx-underground : la collection de 30 téraoctets qui sert aux pirates comme aux chercheurs
vx-underground est tout autre chose. Il s'agit d'une archive publique et curatée de code source de malwares. Les personnes derrière ce projet ne sont pas des hackers mercenaires, mais des archivistes passionnés de cybersécurité. Leur objectif affiché est de préserver l'histoire de la programmation malveillante.
La différence est fondamentale. Là où VirusTotal stocke des fichiers binaires (le produit fini, exécutable), vx-underground conserve le code source (les plans de construction, les instructions). C'est comme comparer une voiture à son manuel de réparation détaillé.
Cette collection sert à la fois aux chercheurs en sécurité, qui l'utilisent pour entraîner des modèles d'intelligence artificielle à détecter les menaces, et aux cybercriminels en herbe, qui y puisent des techniques pour construire leurs propres virus. Une zone grise où la frontière entre recherche légitime et apprentissage malveillant est floue.
Pourquoi 30 To et 31 Po ne racontent pas la même histoire
Le volume ne fait pas tout. Un téraoctet de code source (vx-underground) peut contenir les plans complets de centaines de rançongiciels différents, détaillés, commentés, avec leurs mécanismes de chiffrement et leurs failles expliquées. C'est un manuel d'instruction.
Un pétabyte de binaires bruts (VirusTotal) contient surtout du bruit : des doublons, des fichiers inoffensifs, des versions multiples du même logiciel légitime. Le danger n'est donc pas proportionnel au volume de données. Les 30 téraoctets de vx-underground, bien que 1 000 fois plus petits, sont potentiellement plus dangereux car plus instructifs.
Cette nuance échappe souvent aux non-initiés, mais elle est cruciale pour comprendre le paysage réel de la cybercriminalité.
Concrètement, ces tours de disques durs cachent quoi pour un ado français ?
Les chiffres abstraits, c'est bien joli. Mais concrètement, que signifient ces archives pour un lycéen à Paris, un étudiant à Lyon ou un joueur à Marseille ? La réponse est simple : ces collections alimentent directement les menaces qu'ils croisent chaque jour sur leurs écrans.
Rançongiciels : quand les hôpitaux et les lycées français sont pris pour cibles
En 2021, l'hôpital de Corbeil-Essonnes a été paralysé par une attaque au rançongiciel. Les patients ont été détournés vers d'autres établissements, les opérations annulées, les données médicales compromises. En 2022, Free a subi une fuite massive de données touchant des millions de clients. Les serveurs académiques de plusieurs universités françaises ont été infiltrés.
Chaque attaque produit un échantillon qui enrichit les archives. Le code du rançongiciel qui a frappé l'hôpital finit sur VirusTotal, où les experts l'analysent pour développer des contre-mesures. Si le code source fuit, il peut aussi atterrir sur vx-underground, où il servira de base à la prochaine génération d'attaques.
Le cas de NotPetya en 2017 est emblématique. Ce malware, déguisé en rançongiciel mais conçu pour détruire purement et simplement les systèmes, a paralysé le géant du transport maritime Maersk. Des dizaines de terminaux portuaires à travers le monde ont été mis à l'arrêt. Les échantillons de NotPetya sont aujourd'hui dans toutes les grandes collections, étudiés par des chercheurs du monde entier.
Predator, le spyware grec : une aiguille dans la botte de foin de 31 pétabytes
Le logiciel espion Predator, développé par une société grecque, a défrayé la chronique en 2023. Utilisé par des États pour espionner des journalistes et des opposants politiques, ce spyware est un outil de surveillance redoutable. Son code est une infime particule dans les 31 pétabytes de VirusTotal.
Pourtant, c'est en fouillant cette masse de données que les chercheurs français et européens ont pu mettre au jour son fonctionnement. La même base qui sert à protéger les internautes contre les virus permet aussi de démanteler des outils d'espionnage d'État. Le paradoxe est saisissant : l'immensité des archives rend la détection possible, mais elle offre aussi un terrain d'étude aux créateurs de ces spywares.
L'affaire Predator, qui a conduit à des condamnations pénales en Grèce, illustre parfaitement l'ambivalence de ces collections. Elles sont à la fois le bouclier et le miroir de la menace.
Le piège du jeu vidéo cracké : comment votre PC devient une nouvelle pièce du puzzle
Scénario typique pour un adolescent : vous cherchez à télécharger gratuitement le dernier jeu à la mode. Un site vous propose un crack pour Fortnite ou GTA. Vous téléchargez le fichier depuis un torrent. Le piège se referme.
Le fichier contient un stealer, un logiciel conçu pour voler vos mots de passe, vos cookies de session, vos données bancaires. Une fois votre machine infectée, votre ordinateur devient une pièce du puzzle. Le code de ce malware, une fois détecté par un antivirus, sera ajouté à VirusTotal pour protéger les autres utilisateurs.
Mais si le malware est inédit, s'il utilise une technique de contournement jamais vue, il pourrait aussi finir dans les archives de vx-underground. Là, il servira de base à la prochaine génération de virus. Le cycle est infernal. Chaque téléchargement illégal potentiellement dangereux alimente les machines qui produiront les menaces de demain.
Pourquoi il est quasi impossible de fermer ces fermes à malwares ?
À ce stade, une question logique se pose : pourquoi ne pas tout simplement débrancher ? Pourquoi laisser ces archives de malwares accessibles ? La réponse est complexe et mêle des considérations juridiques, techniques et éthiques.
VirusTotal, le business du mal : pourquoi Google ne fermera jamais la porte
VirusTotal est un service totalement légal, propriété d'une entreprise privée. Google n'a aucune intention de le fermer, bien au contraire. La plateforme est devenue indispensable à l'industrie de la cybersécurité. L'ANSSI l'utilise quotidiennement. Les éditeurs d'antivirus s'en servent pour enrichir leurs bases de signatures. Les CERT y puisent des informations pour anticiper les attaques.
Le « mal » que VirusTotal stocke est son essence même. Sans échantillons de malwares, l'outil ne servirait à rien. Fermer VirusTotal reviendrait à priver l'industrie d'un outil de détection essentiel, un peu comme brûler une bibliothèque de médecine légale sous prétexte qu'elle contient des descriptions de maladies.
vx-underground et le droit à la recherche : la zone grise que l'Europe ne peut pas réguler
Le cas de vx-underground est plus épineux. Hébergé aux États-Unis, le site se protège derrière le Premier Amendement de la Constitution américaine, qui garantit la liberté d'expression académique. Ses créateurs se présentent comme des historiens de la cybersécurité, des archivistes qui préservent un patrimoine numérique.
Tant qu'ils ne diffusent pas d'outils opérationnels prêts à l'emploi, la loi est difficile à appliquer. La frontière entre code source (les plans) et binaire exécutable (l'arme chargée) est juridiquement significative. Les créateurs de vx-underground publient du code source, pas des fichiers exécutables qu'il suffirait de double-cliquer pour infecter sa machine.
Cette subtilité juridique rend toute régulation complexe. Le Digital Services Act (DSA) européen, pourtant ambitieux, a du mal à s'appliquer à des sites hébergés hors de l'Union.
31 Po de munitions, mais ce sont les botnets qui tiennent le fusil
Il faut distinguer le stockage de la distribution. VirusTotal et vx-underground sont des entrepôts, pas des vecteurs d'attaque. Le vrai danger ne vient pas de ces archives, mais des botnets comme Emotet ou Trickbot, qui utilisent les codes disponibles pour créer des variants et infecter de nouvelles machines.
Fermer ces archives ne désarmerait pas les botnets déjà en circulation. Les cybercriminels ont déjà téléchargé ce dont ils avaient besoin. Les codes sont partagés sur des forums privés, des serveurs Telegram, des réseaux Tor. Les archives publiques ne sont que la partie émergée de l'iceberg.
L'avis des experts français : ANSSI, chercheurs et la guerre des 31 Po
La France n'est pas en reste face à ces arsenaux numériques. Les experts français de la cybersécurité utilisent quotidiennement ces bases de données, tout en mesurant les risques qu'elles représentent.
ANSSI et les chercheurs français : une guerre secrète contre les collections de code
L'ANSSI intègre VirusTotal dans ses missions de Threat Intelligence (CTI). Les équipes françaises analysent les échantillons pour anticiper les attaques contre les infrastructures critiques : centrales nucléaires, réseaux électriques, hôpitaux, transports. Chaque nouveau malware détecté dans ces archives est une alerte potentielle.
Des entreprises françaises comme Sekoia ou Orange Cyberdefense exploitent également ces données. Leurs chercheurs passent au crible les 31 pétabytes pour identifier des tendances, des signatures, des patterns d'attaque. C'est un travail de fourmi, mais indispensable pour garder une longueur d'avance sur les cybercriminels.
De NotPetya à la France : le voyage d'un malware jusqu'aux disques durs
Le parcours de NotPetya illustre parfaitement le cycle de vie d'un malware. Créé par des hackers liés à l'armée russe, le logiciel est lâché dans la nature en juin 2017 via une mise à jour piégée du logiciel comptable ukrainien M.E.Doc.
En quelques heures, NotPetya paralyse Maersk. Des terminaux portuaires du monde entier sont mis à l'arrêt. Les pertes se chiffrent en centaines de millions de dollars. Les échantillons du malware atterrissent immédiatement sur VirusTotal, où les chercheurs du monde entier les décortiquent.
Le code source, analysé et commenté, fait ensuite son entrée dans les archives de vx-underground. Les chercheurs français de l'ANSSI et des entreprises privées étudient chaque ligne pour comprendre le mécanisme de destruction. Ce travail permet de développer des signatures de détection et des correctifs.
C'est le chemin de croix de la cybercriminalité moderne : création, dissémination, analyse, archivage. Chaque attaque enrichit les collections, qui à leur tour permettent de mieux se défendre contre la suivante.
L'Union européenne à la traîne face aux géants du stockage de malwares
La question de la régulation reste ouverte. Le DSA européen peut-il s'appliquer à vx-underground ? Pas vraiment, car l'archive est hébergée aux États-Unis. VirusTotal, propriété de Google, est trop intégré à l'écosystème de sécurité pour être inquiété.
L'UE se retrouve impuissante face à ces fermes extraterritoriales. Les législateurs européens réfléchissent à des mécanismes de coopération internationale, mais la réalité est que ces archives continueront d'exister, hors d'atteinte des régulateurs.
La cyberhygiène à l'ère des fermes de malwares : comment ne pas finir dans la pile ?
Face à ces arsenaux impressionnants, le citoyen lambda n'est pas totalement désarmé. Des gestes simples permettent de réduire considérablement les risques, sans être un expert en cybersécurité.
VirusTotal en mode défense : le test gratuit qui peut vous sauver la mise
Avant d'ouvrir un fichier douteux, prenez le réflexe VirusTotal. Rendez-vous sur le site, uploadez le fichier ou collez son empreinte numérique (hash). En quelques secondes, une soixantaine d'antivirus le scanneront.
Si le résultat est rouge, si plusieurs moteurs détectent une menace, supprimez le fichier immédiatement. Ne l'ouvrez sous aucun prétexte. Ce geste simple, qui prend trente secondes, peut vous éviter une infection catastrophique.
Transformez la menace en bouclier. La même base de données qui stocke des millions de malwares vous offre un outil de détection gratuit et redoutablement efficace.
Le mot de passe de votre enfance est dans les 31 Po : adoptez le gestionnaire de mots de passe
Les bases de données de mots de passe volés, comme celles issues de la fuite Free ou des violations de données chez des géants du web, finissent dans des corpus qui nourrissent les IA de vx-underground. Si vous réutilisez le même mot de passe sur plusieurs sites, il est probablement déjà dans ces archives.
Le credential stuffing, technique qui consiste à tester des combinaisons identifiant-mot de passe volées sur des centaines de sites, est aujourd'hui automatisé. Les cybercriminels utilisent des scripts qui testent des millions de combinaisons en quelques minutes.
Seul un gestionnaire de mots de passe peut vous sauver. Des outils comme Bitwarden (gratuit et open source) ou Dashlane génèrent des mots de passe uniques et complexes pour chaque site, sans que vous ayez à les retenir.
2FA, mises à jour et bon sens : les armes anti-malware qui fonctionnent encore
Face à des arsenaux de 31 pétabytes, les gestes de base restent étonnamment efficaces. Activez la double authentification partout où c'est possible. Un code envoyé par SMS ou généré par une application comme Google Authenticator bloque la majorité des attaques.
Ne cliquez jamais sur un lien suspect, même s'il semble venir d'un ami (son compte a peut-être été piraté). Et surtout, ne désactivez jamais les mises à jour de sécurité de Windows ou macOS. Les correctifs publiés par Microsoft et Apple corrigent des failles qui, si elles ne sont pas patchées, permettent aux malwares de s'installer sans que vous ayez à cliquer sur quoi que ce soit.
Le bon sens reste votre meilleure protection. Si une offre semble trop belle pour être vraie, si un fichier vous est proposé gratuitement alors qu'il est payant partout ailleurs, méfiez-vous.
La tour de Babel numérique : 31 pétabytes et après ?
L'image des disques durs empilés jusqu'à 807 mètres restera comme une métaphore de notre époque. Elle illustre à la fois l'ampleur de la menace et la puissance des outils que nous avons développés pour y faire face.
Ces fermes de malwares sont notre meilleur outil de défense et la preuve de notre vulnérabilité. Chaque jour, des milliers de nouveaux échantillons les rejoignent, alimentés par les attaques que nous subissons. Le cycle est sans fin.
La cybersécurité n'est pas une destination, mais un combat permanent. L'image des 31 744 disques durs empilés nous rappelle que la menace est bien réelle, massive et en constante expansion. La meilleure façon de ne pas devenir une pièce de cette collection, c'est d'adopter les bons réflexes dès aujourd'hui.
Vérifiez vos fichiers suspects sur VirusTotal. Utilisez un gestionnaire de mots de passe. Activez la double authentification. Mettez vos logiciels à jour. Ces gestes simples, répétés quotidiennement, font la différence entre une machine infectée et un ordinateur sain.
La tour de Babel numérique continue de grandir. À nous de faire en sorte qu'elle reste un outil de protection, pas un arsenal contre nous-mêmes.
