Bombe à retardement

Une bombe à retardement est du code malveillant qui s'active lorsque l'horloge système atteint une date ou une heure choisie, ou après un délai fixe depuis l'installation. Ce délai offre à l'opérateur une synchronisation prévisible, complique l'association de la charge avec la compromission initiale et permet à un logiciel piégé d'être distribué sans alerter immédiatement. On la rencontre dans le sabotage, les attaques internes, les implants de chaîne d'approvisionnement et la manipulation de "trial-ware". La détection s'appuie sur l'analyse statique des comparaisons de temps suspectes, la revue de code, la surveillance NTP, l'anti-tampering et un EDR comportemental capable de repérer des modifications massives de fichiers au moment du déclenchement.