Risque 1 : le malware embarqué — quasi systématique
Les analyses de fichiers de cracks publiées régulièrement par les chercheurs en sécurité (Avast, Kaspersky, Cisco Talos) convergent toutes sur le même constat : une part très majoritaire des cracks contient un dropper, un keylogger, un voleur d'identifiants ou un mineur de cryptomonnaies. Les pourcentages varient selon les études (souvent supérieurs à 50 %, parfois 80-90 % pour les cracks les plus diffusés), mais l'ordre de grandeur est constant.
Le mode opératoire est classique : le crack fonctionne — il active bien le logiciel — mais il installe en parallèle, en silence, un payload malveillant. Quand l'utilisateur voit que tout marche, il considère le téléchargement « propre ». L'attaquant, lui, a déjà la main.
Voir notre définition supply chain et notre définition ransomware — un nombre significatif d'incidents ransomware en PME démarre exactement comme ça : un crack installé par un collaborateur sur un poste, qui devient le point d'entrée d'une compromission complète.
Risque 2 : la responsabilité juridique du dirigeant
Le code de la propriété intellectuelle français punit la contrefaçon logicielle de sanctions civiles (dommages et intérêts au titulaire des droits) et pénales. Au-delà des dommages individuels, des associations professionnelles comme la BSA | The Software Alliance mènent régulièrement des contrôles auprès des entreprises françaises et européennes.
Le scénario typique d'un contrôle BSA : un ancien collaborateur signale l'usage de logiciels piratés dans son ancienne entreprise (par dépit, par concurrence). La BSA contacte le dirigeant, qui doit prouver les licences sous quelques semaines. Faute de preuve, accord financier amiable (généralement plusieurs fois le coût des licences manquantes) ou poursuites.
L'exposition juridique est portée par le dirigeant personnellement au titre de sa responsabilité d'employeur et de gérant. Le « je ne savais pas que mon graphiste avait un crack » ne tient pas en pratique — le dirigeant est censé contrôler son parc.
Risque 3 : la dépendance non patchable
Un logiciel craqué ne peut pas être mis à jour. Le crack est lié à une version précise — toute mise à jour casse soit le crack, soit le logiciel. Conséquence directe : la machine reste figée sur une version obsolète, avec des vulnérabilités connues qui ne seront jamais corrigées.
Sur des logiciels comme Adobe Photoshop, Office, AutoCAD ou Microsoft Project, des CVE critiques sont régulièrement publiées. Quand vous avez la version officielle, votre EDR ou Windows Update gèrent le patching. Sur une version piratée, vous accumulez les failles ouvertes mois après mois. Voir aussi Importance des mises à jour.
Le cas typique qu'on voit en audit
Un cas générique fréquent en PME française (sans nommer un client précis) : une entreprise de 12 personnes, secteur services. La comptable tourne avec un Office 2016 récupéré sur un site russe il y a quatre ans. Le poste n'a jamais reçu de mise à jour Office, l'antivirus l'ignore parce que le logiciel est dans une exception manuelle.
Lors d'un Diagnostic Découverte, on découvre que le poste contient un keylogger installé via le crack et actif depuis 18 mois. Toutes les frappes ont été enregistrées — y compris les identifiants bancaires de l'entreprise, la base clients, et les mots de passe partagés. La comptable et le dirigeant ne sont pas conscients du risque.
Coût de remédiation typique dans ce scénario : 2 à 4 jours d'investigation, 1 à 2 jours de reconstruction, plus le rachat des licences manquantes. Coût d'avoir acheté la licence il y a quatre ans : typiquement 100 à 250 € (Microsoft 365 Business Standard).
Les alternatives gratuites et légales qui couvrent 90 % des besoins
La plupart des logiciels piratés en PME ont des alternatives gratuites tout à fait crédibles. À considérer en priorité :
- Suite bureautique : LibreOffice (libre, mature, compatible Office). Pour la collaboration en ligne, Microsoft 365 Business Basic est à environ 6 €/mois/utilisateur. Soit le prix d'un café par mois.
- Retouche image : GIMP remplace Photoshop pour 80 % des usages PME (visuels web, retouche de photos, montages simples).
- Illustration vectorielle : Inkscape remplace Illustrator pour la majorité des besoins.
- Vidéo : DaVinci Resolve en version gratuite (très complète) ou Shotcut.
- PDF : Foxit Reader ou SumatraPDF remplacent Adobe Reader. Pour l'édition, PDF24 Creator couvre largement les besoins courants.
- Compression / archivage : 7-Zip (libre, solide, sans pop-up).
- Visioconférence : Jitsi Meet, BigBlueButton (open source) ou la version gratuite de la majorité des outils commerciaux.
Pour les logiciels métier spécifiques (architecture, comptabilité, paie, dessin technique), il faut payer. C'est le coût normal de l'activité.
Le plan de remise en conformité
- Inventaire honnête : lister tous les logiciels installés sur tous les postes, et confronter aux licences que vous pouvez prouver. Pas de jugement, on veut juste l'état des lieux.
- Tri : pour chaque logiciel non licencié, choisir entre acheter la licence, basculer sur l'alternative gratuite, ou supprimer si l'usage est nul.
- Suppression complète des cracks (désinstallation propre, scan EDR du poste, vérification des tâches planifiées).
- Politique écrite : « tout logiciel installé sur les postes doit être validé par l'IT ». Une page suffit, signée par le dirigeant et communiquée à toute l'équipe.
- Contrôle technique : idéalement, retirer les droits administrateur aux comptes utilisateurs standards (un crack ne peut pas s'installer sans droits admin). Voir le principe du moindre privilège.
À retenir
Ce que Scryptoura fait pour vous
Le Diagnostic Découverte inclut systématiquement l'inventaire des logiciels installés et l'identification des éventuels cracks ou installations non validées. La conversation est confidentielle : on est là pour vous aider à régulariser, pas pour juger. Notre offre Cybersécurité couvre ensuite le déploiement d'EDR et la mise en place d'un contrôle d'installation.