Semaine 8 : Les dessous de la méthode « ClickFix »

Service navigation

Recherche

Navigation

Semaine 8 : Les dessous de la méthode « ClickFix »

24.02.2026 - L’OFCS observe actuellement une hausse des annonces en lien avec la méthode « ClickFix ». Cette arnaque fait croire aux internautes qu’ils rencontrent des problèmes techniques et les incite à insérer et à exécuter eux-mêmes un code malveillant dans la ligne de commande de leur ordinateur. La manœuvre contourne habilement les mesures de sécurité techniques, car les victimes autorisent directement l’infection de leur système. 

Derrière « ClickFix » se cache en fait une tactique d’ingénierie sociale sophistiquée. Comme son nom l’indique, « ClickFix » propose de résoudre un problème technique (« fix ») grâce à un simple clic (« click »). Les cybercriminels manipulent des sites web existants mais mal sécurisés ou diffusent des publicités qui redirigent les victimes vers des pages qu’ils ont spécialement préparées. Dès qu’une personne consulte le site, une fenêtre contextuelle ou une fenêtre superposée très réaliste s’affiche.

Ces fenêtres contiennent un message prétendant qu’un problème technique est survenu : la mise à jour du navigateur a par exemple échoué, une erreur DNS s’est produite, un problème est apparu lors de l’affichage du contenu ou, le plus souvent, un CAPTCHA doit être exécuté. Un bouton s’affiche pour inciter l’utilisateur à résoudre le problème.
Exemples d’affichages « ClickFix ».
Exemples d’affichages « ClickFix ».

Du navigateur à la ligne de commande

Les internautes ne savent pas qu’en ouvrant la page web, une commande malveillante « PowerShell » (pour Windows) ou « Terminal » (pour macOS) est copiée dans le presse-papiers. La victime est ensuite invitée à effectuer des combinaisons de touches qui peuvent sembler anodines, mais qui ne le sont en fait pas du tout. Elles permettent en effet d’ouvrir la console et de coller le code qui a été copié au préalable dans le presse-papiers. En cliquant sur la touche Enter, la commande est exécutée immédiatement et le code malveillant est téléchargé.

Potentiel de dommages

Dès que la commande est exécutée, le script essaie d’établir une connexion avec un serveur et de télécharger un programme malveillant. Si les programmes antivirus permettent en principe de bloquer le téléchargement direct d’un logiciel malveillant, la commande de téléchargement provient ici directement de l’utilisateur dans le cadre des autorisations dont il dispose, ce qui permet de contourner de nombreux mécanismes de sécurité. Très souvent, un « infostealer » (voleur d’informations) est alors téléchargé. Ce logiciel malveillant est capable de lire les mots de passe des navigateurs, de vider les portefeuilles de cryptomonnaie ou de voler des cookies de session sur les navigateurs internet. Les cybercriminels peuvent ensuite se connecter sans mot de passe à des comptes (p. ex. comptes de messagerie électronique ou systèmes d’entreprise). Dans les réseaux d’entreprise, cette méthode peut en outre ouvrir la porte à une attaque ultérieure par rançongiciel. 

« CrashFix » : Une autre arnaque élaborée

D’autres méthodes ont fait leur apparition depuis le début de l’année. L’une d’elles est connue sous le nom de « CrashFix ». Elle consiste à diffuser de fausses extensions de navigateur, qui font croire à des outils utiles comme des bloqueurs de publicité. Ces extensions sont programmées pour faire planter intentionnellement le navigateur après un certain temps. Après le redémarrage du navigateur, un message s’affiche pour demander à l’utilisateur de « réparer » la prétendue erreur en saisissant certaines commandes. En réalité, ces commandes permettent aussi d’installer des logiciels malveillants. 

Recommandations

  • Méfiez-vous des sites web qui prétendent qu’une mise à jour du navigateur est nécessaire ou qu’une erreur peut être corrigée uniquement en effectuant certaines commandes. Les mises à jour officielles sont toujours effectuées par l’intermédiaire des paramètres internes du navigateur et jamais depuis un site web.
  • Ne copiez jamais des codes ou des commandes provenant de sources inconnues directement dans « PowerShell », « Terminal » ou l’invite de commande.
  • N’installez jamais des programmes qui proviennent de sources inconnues.
  • Informez le personnel au sujet de ces arnaques spécifiques. Savoir qu’un site web n’exige jamais de saisir manuellement des commandes dans le système est une protection efficace.
  • Vérifiez dans les environnements de l’entreprise si l’exécution des scripts « PowerShell » peut être limitée aux utilisateurs habituels.
  • Annoncez les attaques dont vous pourriez être victime.

Statistiques et chiffres actuels

Les annonces de la dernière semaine selon les catégories sont publiées sous:

Chiffres actuels

Dernière modification 24.02.2026

Début de la page

https://www.ncsc.admin.ch/content/ncsc/fr/home/aktuell/im-fokus/2026/wochenrueckblick_8.html