ClickFix : quand les hackers vous convainquent de les aider à pirater votre propre PC
Oubliez le virus qui s'installe en douce ou la pièce jointe piégée. La dernière technique d'attaque à la mode fait bien plus fort : elle vous demande poliment de pirater votre propre machine. Et des millions d'utilisateurs s'exécutent sans le savoir, convaincus de régler un problème technique.
ClickFix, c'est l'attaque qui ne ressemble pas à une attaque. Pas de fichier malveillant qui se télécharge, pas d'exploit qui force une faille, juste un utilisateur qui suit des instructions et appuie sur Entrée. Le résultat est pourtant le même qu'avec n'importe quel malware classique, sauf que c'est vous qui avez tout déclenché.
Les chiffres donnent le vertige. Entre le second semestre 2024 et le premier semestre 2025, les détections ClickFix ont bondi de 517 %. La technique est désormais le deuxième vecteur d'attaque le plus répandu au monde, juste derrière le phishing traditionnel. Et elle continue de progresser.
Le ClickFix, ça ressemble à quoi ?
Imaginez : vous visitez un site, et une fenêtre s'affiche. Elle imite parfaitement un CAPTCHA Cloudflare ou une alerte Chrome. Message affiché : “Votre navigateur doit être vérifié avant de continuer”. Un bouton, un clic, et voilà les instructions qui apparaissent : appuyez sur Win+R, collez la commande dans la fenêtre, appuyez sur Entrée.
Ce que vous ne savez pas : au moment où vous avez cliqué sur “Je ne suis pas un robot”, le site a déjà copié silencieusement une commande malveillante dans votre presse-papiers. Vous ne tapez rien vous-même. Vous collez juste. Et c'est suffisant pour compromettre votre machine.
Les leurres varient à l'infini. Fausse notification d'annulation de réservation Booking.com, fausse page de mise à jour Chrome, fausse vérification DocuSign, tutoriels TikTok qui vous demandent d'activer un logiciel “gratuitement” via PowerShell. La forme change, le mécanisme reste identique.
Pourquoi ça marche aussi bien ?
Plusieurs ressorts psychologiques sont activés simultanément. L'urgence d'abord : votre accès est bloqué tant que vous n'avez pas résolu le problème. La légitimité ensuite : les pages imitent Microsoft, Google, Cloudflare avec un niveau de détail troublant. Et enfin, la complexité apparente des instructions, qui paradoxalement rassure : si c'est technique, c'est sérieux.
Ce qui rend ClickFix particulièrement redoutable, c'est qu'il contourne les réflexes appris. Les formations anti-phishing classiques apprennent à se méfier des pièces jointes et des emails suspects. Personne n'a jamais dit qu'un CAPTCHA pouvait être une arme. Même les développeurs et profils techniques tombent dans le panneau, précisément parce qu'ils sont habitués à taper des commandes dans un terminal.
Qui est vraiment ciblé ?
Tout le monde, sans exception. Mais certains profils sont particulièrement exposés : les utilisateurs de cryptomonnaies, les télétravailleurs qui jonglent avec plusieurs outils en ligne, les gamers qui cherchent des mods ou des cracks, et les développeurs à l'aise avec les lignes de commande.
La difficulté supplémentaire : les antivirus traditionnels peinent à intercepter ce type d'attaque. Puisque c'est l'utilisateur lui-même qui exécute la commande, il n'y a aucun fichier malveillant à scanner, aucun téléchargement suspect à bloquer.
Comment s'en protéger ?
La première règle, à mémoriser définitivement : un site légitime ne vous demandera jamais de coller une commande dans un terminal. Si un CAPTCHA vous demande d'appuyer sur Win+R, fermez l'onglet sans hésiter. La méfiance face à l'urgence est votre meilleure défense comportementale.
Le problème, c'est que même les utilisateurs vigilants peuvent se faire avoir. Et c'est précisément là que les antivirus classiques atteignent leurs limites : sans fichier malveillant à scanner, ils ne voient rien. Bitdefender Ultimate Security fonctionne différemment grâce à son module Advanced Threat Defense, qui surveille en permanence le comportement de toutes les applications actives sur votre machine.
En pratique, si une commande PowerShell tente de télécharger un script depuis un serveur distant, d'injecter du code dans un autre processus, ou d'obtenir des privilèges administrateur de façon inhabituelle, Bitdefender l'intercepte et coupe le processus immédiatement, avant que le moindre dommage ne soit causé. Pas besoin de reconnaître le malware, il suffit de reconnaître le comportement anormal. C'est exactement ce qu'il faut face à une attaque conçue pour passer entre les mailles du filet classique.
ClickFix est la démonstration que la première faille de sécurité, c'est rarement le logiciel. Une règle simple à retenir, une bonne dose de méfiance face aux instructions inattendues, et une protection comportementale comme Bitdefender Ultimate Security pour les moments où le piège est trop bien conçu pour être vu venir.
Cet article est une publication sponsorisée proposée par Bitdefender.
