Interface utilisateur de l'émulateur Cemu affichant une grille de jeux récents : Xenoblade Chronicles X, Zelda Breath of the Wild, Donkey Kong Country Tropical Freeze, Mario Kart 8. Le design est sombre avec des coins arrondis et une barre de navigation en bas.

Pas de répit pour la sécurité : l’émulateur Cemu empoisonne ses utilisateurs Linux juste avant le long week-end

/ Applications Jeux Sécurité / 2 minutes de lecture
Alors que beaucoup s’apprêtaient à profiter du long week-end de l’Ascension pour rattraper leurs sessions de jeu, une nouvelle vient d’empoisonner l’ambiance dans la communauté Linux. Cemu, l’émulateur Wii U ultra-populaire, a été le vecteur d’une attaque dévastatrice (osons le mot). Pendant près d’une semaine, entre le 6 et le 12 mai 2026, les fichiers officiels hébergés sur GitHub contenaient un malware sophistiqué.

Si vous avez mis à jour ou installé Cemu sur Linux ces derniers jours, votre système est peut-être déjà sous le contrôle d’un tiers.

Un token volé, un « carnage » à la clé

L’histoire est aussi classique que révoltante. Un contributeur du projet (MangleSpec) a involontairement exécuté un package Python malveillant au sein de son environnement WSL (Windows Subsystem for Linux). Résultat : son token d’accès GitHub a été dérobé.

L’attaquant n’a pas perdu de temps. Il a utilisé cet accès pour remplacer les binaires légitimes de la version 2.6 (AppImage et ZIP pour Ubuntu) par des versions infectées. Fait notable : le code source n’a pas été touché, ce qui a permis à l’attaque de passer sous les radars des outils de surveillance habituels pendant six jours.

Un malware aux intentions politiques et destructrices

Le payload contenu dans les versions infectées de Cemu (distribuées via Github) est un véritable couteau suisse du crime. D’une part, il s’agit d’un stealer classique : il ratisse votre système à la recherche d’identifiants, de tokens cloud, de clés SSH et de fichiers de configuration.

D’autre part, il affiche un comportement inquiétant lié à la géopolitique :

  • Immunité russe : si le malware détecte que l’utilisateur est situé en Russie, il reste inactif.

  • Destruction en Israël : pour les utilisateurs géolocalisés en Israël, le malware déclenche des sons de sirène et tente d’effacer l’intégralité du système de fichiers via la commande fatale rm -rf /.

Le point de contrôle (C2) est codé en dur à l’adresse IP 83.142.209.194. Si vous voyez du trafic vers cette destination, il est déjà trop tard.

La solution nucléaire : « Nuke and Pave »

L’équipe de développement de Cemu, qui a repris le contrôle du dépôt depuis lundi, est formelle : si vous avez exécuté les versions Linux affectées, votre système doit être considéré comme totalement compromis.

Voici les mesures d’urgence à prendre :

  1. Réinstallation complète : formatez votre disque et réinstallez votre distribution Linux.

  2. Renouvellement des secrets : changez tous vos mots de passe, révoquez vos tokens GitHub et générez de nouvelles clés SSH.

  3. Blocage IP : interdisez tout trafic vers l’IP 83.142.209.194 au niveau de votre pare-feu ou de votre box.

Les utilisateurs Windows, macOS et ceux passant par Flatpak sont épargnés par cette attaque spécifique.

Must Read

Retour en haut