ClickFix n’exploite ni faille logicielle ni malware sophistiqué au premier clic. Cette méthode d’attaque, apparue en 2024 et en forte expansion, repose presque exclusivement sur l’ingénierie sociale et l’abus d’outils légitimes de Windows. En simulant une panne critique, elle pousse la victime à exécuter elle-même une commande malveillante.
Dans le paysage actuel des menaces, ClickFix marque une rupture nette. Là où les attaques classiques s’appuient sur des pièces jointes infectées ou des exploits, ClickFix déplace l’effort vers le comportement humain. Le poste de travail n’est pas attaqué de force : il est manipulé. Cette approche explique sa diffusion rapide et son efficacité contre des systèmes pourtant à jour, y compris dans des environnements professionnels sensibles.
Le vecteur ClickFix : du phishing au faux incident système
La chaîne d’infection ClickFix commence presque toujours par un courriel de hameçonnage. Le scénario est volontairement banal et crédible : annulation de réservation, facture impayée, remboursement important. Les campagnes récentes usurpent régulièrement des marques grand public comme Booking.com, très présentes dans les flux quotidiens des entreprises, notamment dans l’hôtellerie et le tourisme, comme le souligne Ethical Hacking sur sa page Facebook.
Cependant, le phishing n’est qu’un déclencheur. Après le clic, la victime arrive sur un site cloné avec un niveau de fidélité graphique élevé. Logos, typographies et couleurs sont identiques à l’original. Puis, de manière intentionnelle, le site affiche une erreur de chargement. Cette fausse anomalie prépare la phase suivante, beaucoup plus critique.
Le navigateur passe alors en plein écran et affiche un faux Blue Screen of Death. Ce n’est pas un crash du système mais une simple page web, conçue pour être anxiogène et difficile à quitter. L’objectif est clair : provoquer une réaction de panique et placer l’utilisateur dans une logique de réparation immédiate plutôt que d’analyse.
Le mode opératoire : détourner les réflexes de l’utilisateur
Une fois le faux écran bleu affiché, des instructions apparaissent. Elles sont simples, directes et présentées comme une procédure officielle. Il est demandé d’ouvrir la fenêtre « Exécuter » avec Win + R, puis de coller une commande et de valider. À ce stade, la manipulation est déjà avancée.
Techniquement, la page web a utilisé du JavaScript pour copier silencieusement une commande PowerShell dans le presse-papiers dès le clic précédent. L’utilisateur ne voit rien. Il pense coller une instruction fournie à l’écran, alors qu’il exécute en réalité un script préparé par l’attaquant. C’est le cœur de ClickFix : la victime devient l’opérateur de l’attaque. La commande télécharge ensuite un projet distant et invoque des outils standards de Windows, notamment MSBuild.
Après l’exécution : une compromission complète et discrète
Une fois compilé et exécuté, le code met en place les premières mesures de contrôle. Les protections intégrées sont affaiblies, des exclusions antivirus sont ajoutées et des mécanismes de persistance sont installés pour survivre aux redémarrages. La charge finale est ensuite injectée dans un processus Windows existant afin de se dissimuler.
Dans de nombreuses campagnes observées, le payload final est DCRat, un cheval de Troie d’accès distant disponible depuis plusieurs années sur les marchés clandestins. DCRat offre à l’attaquant une palette complète de capacités : enregistrement des frappes clavier, récupération des mots de passe, accès aux fichiers, contrôle à distance du bureau, activation de la webcam et du microphone. Il peut également servir de point d’entrée pour d’autres attaques, notamment le déploiement de rançongiciels. Dans un contexte professionnel, ce type d’accès initial est particulièrement critique. Il peut être exploité pour se déplacer latéralement sur le réseau interne, collecter des identifiants supplémentaires et compromettre d’autres systèmes.
Se protéger efficacement contre ClickFix
La défense contre ClickFix repose d’abord sur la compréhension de son principe fondamental. Aucun site web légitime ne doit jamais demander l’exécution d’une commande système pour résoudre un problème. Un véritable écran bleu Windows n’apparaît pas dans un navigateur, ne fournit pas d’instructions et ne sollicite aucune action de l’utilisateur.
Sur le plan opérationnel, il est crucial d’interdire les habitudes dangereuses. Copier-coller une commande depuis un site web vers PowerShell ou la fenêtre Exécuter doit être considéré comme un comportement à risque majeur. En cas de navigateur bloqué en plein écran, les raccourcis clavier standards permettent toujours de fermer l’onglet, ce qui confirme qu’il ne s’agit pas d’un incident système.
Pour les organisations, la sensibilisation des utilisateurs est une mesure clé. ClickFix contourne les solutions techniques traditionnelles précisément parce qu’il exploite la confiance et l’urgence. Former les personnels à reconnaître les signaux faibles, comme une page demandant Win + R ou affichant un faux incident critique, réduit fortement l’efficacité de ces attaques.
