Arnaque ClickFix : cette fausse vérification peut infecter votre PC ou votre Mac

L’arnaque ClickFix prend de l’ampleur. Son principe est redoutable : au lieu d’exploiter uniquement une faille technique, l’attaquant affiche une page qui ressemble à une vérification normale, un captcha, un message de sécurité ou une aide de dépannage. L’utilisateur pense corriger un problème… alors qu’il lance en réalité lui-même une commande malveillante.

Ce type d’attaque fonctionne parce qu’il imite des gestes devenus banals : cliquer, copier, coller, ouvrir le terminal, lancer Exécuter ou accepter une prétendue procédure de déblocage. Pour un particulier, cela peut suffire à compromettre des mots de passe, des sessions ou des fichiers. Pour une entreprise, cela peut devenir le point d’entrée d’un vol de données ou d’une compromission plus large.

Pourquoi ClickFix inquiète autant en ce moment

Le sujet mérite d’être pris au sérieux car la méthode évolue vite. On ne parle plus seulement de pages grossières ou de faux messages mal traduits. Les campagnes récentes sont plus crédibles, plus visuelles et mieux ciblées. Certaines imitent des services connus, d’autres des outils métiers, d’autres encore des pages Apple ou Windows.

Autrement dit, le danger ne vient pas toujours d’un “virus qui s’installe tout seul”. Il vient parfois d’une manipulation qui semble logique à première vue. C’est précisément ce qui rend l’arnaque ClickFix aussi piégeuse.

Comment l’attaque se présente concrètement

Dans la plupart des cas, le scénario est simple. Vous tombez sur une page qui affiche un message du style :

“Votre session a expiré”
“Vérifiez que vous êtes humain”
“Copiez cette commande pour rétablir l’accès”
“Collez ceci dans PowerShell / Terminal pour corriger le problème”

C’est justement là qu’il faut lever le pied. Un site légitime ne vous demande normalement pas de copier-coller une commande système pour prouver que vous êtes humain ou pour afficher un document. Dès qu’une page vous pousse à ouvrir PowerShell, Exécuter, Terminal ou Script Editor, il faut considérer cela comme hautement suspect.

Pourquoi même des utilisateurs prudents peuvent se faire piéger

Le piège est malin car il contourne un réflexe classique. Beaucoup de personnes savent qu’il ne faut pas ouvrir une pièce jointe douteuse. En revanche, elles se méfient moins lorsqu’elles ont l’impression de faire elles-mêmes une manipulation “propre” ou “assistée”.

Dans un environnement professionnel, cela peut arriver très vite : un collaborateur veut accéder à un portail, ouvrir un document, consulter une réservation, récupérer un devis ou résoudre un souci d’affichage. Il suit les étapes proposées, sans se rendre compte qu’il est en train d’autoriser l’exécution du code malveillant.

Les signaux qui doivent immédiatement vous alerter

Quelques indices doivent faire tilt tout de suite 👇

• un site vous demande d’ouvrir PowerShell, Invite de commandes, Terminal ou un éditeur de script ;
• vous devez copier-coller une commande pour “débloquer” une situation ;
• la page met la pression avec un faux message d’urgence ou une pseudo vérification humaine ;
• le contenu semble très propre visuellement, mais la demande reste anormale ;
• vous ne comprenez pas exactement ce que la commande va faire.

En pratique, dès que vous ne maîtrisez pas la commande qu’on vous demande d’exécuter, il ne faut pas aller plus loin.

Que faire si vous avez un doute

Le bon réflexe n’est pas de “tenter pour voir”. Il vaut mieux :

• fermer la page ;
• ne rien coller dans PowerShell, Terminal ou Exécuter ;
• faire vérifier le poste rapidement si une manipulation a déjà été tentée.

En entreprise, il est aussi utile de rappeler ce point aux équipes. Une bonne politique de sécurité ne repose pas uniquement sur un antivirus. Elle repose aussi sur des habitudes simples et répétées. C’est exactement le type de sujet qu’il faut intégrer dans une vraie démarche de maintenance informatique préventive et de sécurisation du parc informatique.

Pourquoi ce sujet concerne aussi les petites structures

On pourrait croire que seules les grandes entreprises sont visées. En réalité, les TPE, indépendants, cabinets et petites structures restent très exposés. Elles ont souvent moins de temps, moins de procédures internes et moins de vérifications avant qu’un utilisateur tente une manipulation.

Un simple poste compromis peut ensuite ouvrir la porte à une fuite de données, à une compromission de messagerie, à un accès distant non souhaité ou à une activité malveillante plus discrète. C’est aussi pour cela que la maintenance informatique et l’assistance informatique ne doivent pas être vues uniquement comme du dépannage lorsqu’un problème apparaît déjà.

Le bon message à retenir

Le cœur du piège ClickFix tient en une phrase : si un site vous demande d’exécuter une commande système pour continuer, partez du principe que c’est anormal.

Ce réflexe simple peut éviter bien des incidents, aussi bien sur un PC Windows que sur un Mac. Et lorsqu’un doute existe déjà, mieux vaut réagir vite plutôt que d’attendre qu’un comportement étrange apparaisse plusieurs heures ou plusieurs jours plus tard.

Chez CDM Informatique, j’accompagne les particuliers et les professionnels pour le dépannage informatique, la maintenance informatique, l’assistance informatique et la remise en sécurité des postes après incident, notamment autour de Gignac-la-Nerthe, Marignane, Saint-Victoret, Châteauneuf-les-Martigues, Vitrolles et Aix-en-Provence. Si vous souhaitez renforcer vos usages, votre messagerie ou vos postes de travail, vous pouvez aussi consulter mes pages sur Microsoft 365 et Outlook pour les entreprises ou sur le contrat de maintenance informatique.

Liens externes

Analyse Microsoft sur la variante CrashFix
Alerte OFCS sur la méthode ClickFix
Recherche Recorded Future sur les campagnes ClickFix
Analyse Jamf sur la variante macOS via Script Editor