En 2025, une technique d’attaque appelée ClickFix est devenue l’une des méthodes les plus préoccupantes de cybercriminels. Pour infecter des ordinateurs et des appareils mobiles, souvent sans que les victimes s’en rendent compte.
Contrairement aux attaques traditionnelles qui exploitent des vulnérabilités logiciels, ClickFix mise sur une manipulation psychologique. Elle incite les utilisateurs à exécuter eux-mêmes du code malveillant, pensant corriger un problème ou valider une action normale. Cette tactique est efficace contre Windows comme contre macOS, et elle commence à toucher même les appareils mobiles.
Voici ce que vous devez savoir pour comprendre la menace et vous protéger efficacement.
L’essentiel à retenir
- ClickFix est une technique de social engineering qui pousse les utilisateurs à infecter leurs propres appareils.
- Elle débute souvent par un e-mail, un message ou un site malveillant. Celui-ci semble légitime, voire provenir de résultats de recherche normaux.
- Les victimes sont invitées à copier et coller une commande ou un script dans un terminal ou une invite de commandes. Cette action installe automatiquement un malware.
- Ce type d’attaque est difficile à détecter par les protections classiques. Il exploite l’action volontaire de l’utilisateur plutôt qu’une vulnérabilité technique.
- ClickFix s’est propagé rapidement et est utilisé dans des campagnes visant à voler des identifiants, installer des ransomwares ou propager d’autres logiciels malveillants.
Comment fonctionne l’attaque ClickFix
ClickFix commence typiquement lorsqu’un utilisateur clique sur un lien ou visite un site compromis suite à une campagne de phishing, un e-mail frauduleux ou une publicité malveillante.
Parfois, le message initial semble être une notification légitime. Par exemple une réservation d’hôtel en attente, un message WhatsApp ou même un lien qui apparaît en haut des résultats de recherche.
Une fois sur le site malveillant, l’utilisateur est confronté à un message convaincant — souvent présenté comme un contrôle CAPTCHA, une alerte d’erreur système ou une vérification d’identité. Le site demande alors à l’utilisateur de copier un code ou un script et de le coller dans une fenêtre de PowerShell, Terminal, ou l’outil Exécuter, selon le système d’exploitation.
Ce script, une fois exécuté, contacte un serveur contrôlé par les attaquants pour télécharger et installer automatiquement un malware, souvent sans autre indication visible pour la victime.
Pourquoi ClickFix est si efficace
Exploitation de l’erreur humaine
La principale force de ClickFix repose sur le facteur humain, et non sur une vulnérabilité technique. L’attaque est conçue pour exploiter des réflexes courants : vouloir corriger rapidement un problème, accéder à un contenu bloqué ou finaliser une action jugée légitime.
Les messages utilisés imitent des situations familières — vérification de sécurité, CAPTCHA, erreur système, invitation à une réunion ou confirmation d’identité — et s’insèrent dans des contextes crédibles.
Résultat : même des utilisateurs expérimentés, habituellement prudents, peuvent baisser leur garde. ClickFix transforme l’utilisateur en acteur involontaire de l’attaque, en lui donnant l’impression qu’il agit de manière normale, voire responsable, pour résoudre un souci technique.
Contournement des protections de sécurité
Contrairement aux attaques classiques qui reposent sur le téléchargement automatique de fichiers malveillants, ClickFix demande à l’utilisateur d’exécuter lui-même une commande ou un script.
Cette différence est cruciale. Pour les outils de sécurité, l’action ressemble à une opération volontaire initiée par l’utilisateur, et non à une activité suspecte déclenchée en arrière-plan. Les antivirus, pare-feu ou systèmes de détection peuvent alors ne pas bloquer l’exécution, car aucun fichier malveillant évident n’est téléchargé à ce stade.
En exploitant des outils légitimes déjà présents sur le système (Terminal, PowerShell, invite de commandes), ClickFix s’insère dans un angle mort de nombreuses protections traditionnelles.
Adaptabilité et polyvalence
ClickFix est particulièrement dangereux parce qu’il est hautement adaptable. Il ne dépend pas d’un logiciel précis ni d’un système d’exploitation unique. Les instructions sont ajustées en fonction de l’environnement détecté : Windows, macOS, et parfois même des appareils mobiles lorsque l’attaque passe par des redirections web sophistiquées.
Les attaquants peuvent facilement modifier les messages, les scripts ou les scénarios pour contourner les filtres de sécurité et s’adapter aux nouvelles mesures de protection. Cette souplesse rend la menace durable et difficile à éradiquer.
En résumé, ClickFix n’est pas une attaque ponctuelle. Mais une méthode capable d’évoluer rapidement en fonction des comportements des utilisateurs et des défenses mises en place.
Les variantes de ClickFix observées
Les chercheurs en sécurité ont observé plusieurs campagnes utilisant ClickFix ou des techniques similaires :
- Des attaques qui commencent par des e-mails de phishing avec des informations crédibles (par exemple une réservation d’hôtel) pour établir la confiance.
- Des pages imitant des CAPTCHAs ou des mises à jour de sécurité qui demandent l’exécution d’une commande.
- Des attaques où des scripts malveillants sont cachés derrière de fausses vérifications, incitant les utilisateurs à ouvrir des outils système légitimes.
- Des campagnes qui ont utilisé ClickFix pour propager des ransomwares ou des voleurs d’identifiants contre des organisations ou des individus.
Les signaux d’alerte à reconnaître
Pour éviter d’être piégé par une attaque ClickFix, soyez attentif aux comportements suivants :
- Un site ou une fenêtre qui vous demande de copier/coller un script dans l’invite de commandes ou Terminal.
- Des messages urgents ou alarmistes qui prétendent résoudre un problème système immédiatement.
- Des liens reçus par e-mail ou messagerie qui proviennent de sources inattendues, même si l’information semble partiellement correcte. Ex : un hôtel que vous avez réservé.
- Des pages web qui imitent des vérifications légitimes comme CAPTCHAs ou vérifications de sécurité, mais qui demandent des actions inhabituelles.
Comment se protéger contre ClickFix
Ne jamais exécuter de code non vérifié
La règle la plus importante face à ClickFix est simple : ne jamais copier-coller ni exécuter une commande dont vous ne comprenez pas parfaitement l’origine et la finalité.
Aucun site web légitime, aucun service client sérieux et aucune vérification de sécurité réelle ne vous demandera d’ouvrir un terminal, PowerShell ou une invite de commandes pour y coller du code. Si une page ou une fenêtre pop-up vous pousse à le faire, il s’agit presque toujours d’une tentative de manipulation.
Même si la commande semble courte ou « technique », son exécution peut suffire à télécharger et lancer un malware en arrière-plan, sans aucun signe visible immédiat.
Vérifier systématiquement l’origine des messages
ClickFix s’appuie sur des messages qui paraissent crédibles. Il est donc essentiel de prendre le temps de vérifier l’expéditeur et le contexte.
Passez toujours votre souris sur les liens pour afficher l’adresse réelle avant de cliquer. Une URL étrange, raccourcie ou légèrement modifiée est souvent un indice de fraude. Soyez particulièrement méfiant face aux messages non sollicités, même s’ils font référence à une situation plausible (réservation, livraison, entretien, problème de sécurité).
En cas de doute, accédez directement au site officiel du service concerné en tapant son adresse vous-même dans le navigateur, plutôt que de passer par un lien reçu.
Utiliser une sécurité multicouche
Aucune solution ne garantit une protection absolue, mais une approche multicouche réduit considérablement les risques.
Une suite de sécurité complète permet de bloquer les sites malveillants, les publicités frauduleuses et certaines tentatives de scripts dangereux avant qu’ils n’atteignent l’utilisateur. Les technologies de détection comportementale sont particulièrement utiles contre ClickFix, car elles analysent les actions suspectes plutôt que de se baser uniquement sur des signatures connues.
Maintenir son système et ses applications à jour est également essentiel. Pour limiter les failles exploitables et renforcer la protection globale.
Éduquer et sensibiliser les utilisateurs
ClickFix montre que la cybersécurité ne dépend pas uniquement de la technologie, mais aussi des comportements. Informer et sensibiliser les utilisateurs est l’un des moyens les plus efficaces de prévention.
Dans un cadre familial, il est important d’expliquer que copier du code ou suivre des instructions techniques trouvées en ligne peut être dangereux. En entreprise, des formations régulières et des rappels concrets permettent de réduire considérablement le risque d’erreur humaine.
Apprendre à reconnaître les signaux d’alerte comme urgence artificielle, demandes inhabituelles, actions techniques injustifiées. Aide chacun à prendre du recul avant d’agir. Face à ClickFix, la vigilance humaine reste la meilleure ligne de défense.
ClickFix représente un changement significatif dans le paysage des cybermenaces. Plutôt que d’exploiter uniquement des vulnérabilités logicielles, il détourne la logique même de l’utilisateur pour contourner les défenses.
Parce qu’il repose sur la manipulation psychologique et l’utilisation d’outils système légitimes, il peut facilement infecter des appareils sans avertissement. Adopter des bonnes habitudes numériques comme ne jamais exécuter de code non vérifié et vérifier l’authenticité des sources. Est aujourd’hui essentiel pour se prémunir contre ce type d’attaque.