Silencieuse, déroutante et redoutablement efficace, l’attaque dite ClickFix contourne antivirus et filtrages classiques en s’appuyant sur une arme simple : la confiance de l’utilisateur. En simulant une panne critique de Windows dans un navigateur, cette méthode pousse la victime à lancer elle-même une commande malveillante, ouvrant la porte à une prise de contrôle complète de l’ordinateur.
ClickFix : l’attaque où la victime exécute elle-même le malware
By
Published on 7 janvier 2026 7h22
500%Les attaques ClickFik auraient augmenté de 500% en six mois.
Depuis quelques mois, l’attaque ClickFix s’impose comme un nouveau standard de l’ingénierie sociale malveillante. Cette technique, qui repose sur le copier-coller forcé et l’abus d’outils légitimes du système, s’est diffusée rapidement dans les campagnes de hameçonnage ciblant particuliers et entreprises. Contrairement aux attaques classiques, elle ne déploie aucun fichier piégé au départ et ne repose sur aucune faille logicielle, ce qui la rend particulièrement difficile à bloquer.
ClickFix : un vecteur d’attaque fondé sur la manipulation
ClickFix n’est pas un virus au sens traditionnel mais un vecteur d’attaque. Le point d’entrée est presque toujours un courriel frauduleux, souvent construit autour d’un scénario crédible : annulation de réservation, facture urgente ou remboursement important. Les campagnes observées ces derniers mois usurpent notamment l’identité de plateformes connues comme Booking.com, dont l’image de marque inspire confiance, en particulier dans le secteur hôtelier, relève la page Facebook Ethical Hacking qui décrit l’attaque en détail.
Cependant, après le clic, la mécanique change. L’utilisateur est redirigé vers une page web clonée, visuellement irréprochable. Puis, volontairement, le site affiche une erreur de chargement. C’est à ce moment précis que l’attaque bascule. Le navigateur passe en plein écran et affiche un faux écran bleu de la mort, imitant parfaitement celui de Windows. Cette étape est centrale : elle provoque un stress immédiat et place la victime dans une posture de réparation plutôt que de méfiance.
Ensuite, le site affiche des instructions simples et rassurantes. Il demande d’ouvrir la fenêtre « Exécuter » avec Win + R, puis de coller une commande et d’appuyer sur Entrée. Tout est présenté comme une procédure de récupération système. En réalité, la page web a déjà copié une commande PowerShell malveillante dans le presse-papiers grâce à du JavaScript. L’utilisateur n’a rien vu, rien téléchargé, rien autorisé explicitement. Pourtant, il vient de lancer l’infection.
Un mode opératoire basé sur les outils de Windows
Le cœur de ClickFix repose sur une stratégie bien connue des équipes de sécurité : le living off the land. Autrement dit, l’attaque utilise exclusivement des outils déjà présents sur le système. La commande collée dans la fenêtre Exécuter télécharge un projet distant et invoque des composants standards de Windows, comme MSBuild, pour le compiler localement.
Cette approche présente plusieurs avantages pour l’attaquant. D’abord, elle évite les alertes classiques : aucun exécutable inconnu n’est lancé. Ensuite, elle brouille les pistes lors des analyses post-incident, car les journaux système montrent surtout l’utilisation de programmes légitimes. Enfin, elle contourne efficacement de nombreuses protections, y compris sur des postes à jour.
Une fois le code compilé, le programme désactive ou affaiblit les protections intégrées. Des exclusions sont ajoutées à l’antivirus, des mécanismes de persistance sont installés et le véritable logiciel espion est injecté dans un processus Windows existant. À ce stade, la machine est compromise de manière durable, souvent sans symptôme visible immédiat.
Ce que l’attaquant peut faire sur l’ordinateur compromis
Dans les campagnes récentes, la charge finale est fréquemment un cheval de Troie d’accès distant connu sous le nom de DCRat. Actif depuis plusieurs années, ce type de malware est proposé à bas coût sur les marchés clandestins, ce qui facilite sa diffusion à grande échelle.
Concrètement, une fois installé, l’attaquant obtient un contrôle étendu de la machine. Il peut enregistrer les frappes clavier et récupérer identifiants et mots de passe. Il peut accéder à la webcam et au microphone, consulter et exfiltrer les fichiers, ou encore ouvrir une session de bureau à distance à l’insu de l’utilisateur. Dans de nombreux cas, ClickFix sert aussi de porte d’entrée à d’autres menaces, comme des rançongiciels ou des logiciels de minage de cryptomonnaie.
Le danger ne s’arrête pas à l’ordinateur infecté. Sur un réseau professionnel, ce type d’accès initial peut être revendu ou exploité pour se déplacer latéralement vers d’autres systèmes. La compromission devient alors collective, avec des conséquences financières et opérationnelles majeures.
Comment se prémunir face à ClickFix
La force de ClickFix est aussi sa faiblesse : elle repose entièrement sur le comportement humain. Ainsi, la prévention passe avant tout par la compréhension du mécanisme. Un point doit être martelé sans ambiguïté : aucun site web légitime ne demandera jamais d’exécuter une commande système pour résoudre un problème. Un véritable écran bleu Windows n’invite pas à agir et ne s’affiche jamais dans un navigateur.
Il est également essentiel de rappeler que le copier-coller depuis une page web vers PowerShell ou la fenêtre Exécuter est un geste à proscrire. Même dans un contexte professionnel, toute commande doit provenir d’une source interne vérifiée. En cas de blocage du navigateur en plein écran, les raccourcis clavier standards comme Alt + F4 ou Ctrl + W suffisent à fermer l’onglet, preuve qu’il ne s’agit pas d’une panne système.