Comment se protéger contre l'attaque ClickFix : Guide de sécurité 2025

Célestine Rochefour

Une attaque sophistiquée ciblant l’hôtellerie européenne utilise de faux écrans de plantage Windows (BSOD) pour infecter les systèmes. Cette technique, baptisée ClickFix, force les victimes à compiler elles-mêmes le malware sur leur ordinateur.

Face à la recrudescence des cybermenaces en 2025, les entreprises du secteur touristique et hôtelier doivent comprendre ce nouveau vecteur d’attaque. Contrairement aux campagnes de phishing classiques qui exploitent une faille technique automatique, l’approche ClickFix repose sur l’ingénierie sociale pour manipuler l’utilisateur. Il ne s’agit plus seulement de cliquer sur un lien douteux, mais d’exécuter volontairement une commande malveillante.

Comprendre le mécanisme de l’attaque ClickFix

L’attaque ClickFix est une méthode d’ingénierie sociale où le cybercriminel présente un problème fictif et fournit une solution qui, en réalité, exécute un code malveillant. En 2025, cette technique a évolué pour devenir extrêmement convaincante.

Dans la campagne récente observée par des chercheurs de sécurité, les attaquants se font passer pour des clients Booking.com souhaitant annuler une réservation. L’e-mail, envoyé à un hôtel, annonce un remboursement important, créant un sentiment d’urgence chez le réceptant.

Le processus se déroule en plusieurs étapes :

  1. Le leurre : L’utilisateur clique sur un lien dans l’e-mail et atterrit sur un site clone parfait de Booking.com.
  2. L’erreur simulée : Un message d’erreur indique que la page met trop de temps à charger.
  3. Le déclencheur : En cliquant pour rafraîchir, l’utilisateur active un mode plein écran affichant un faux écran de plantage Windows (BSOD).
  4. La manipulation : Le message BSOD faux demande à l’utilisateur d’ouvrir la boîte de dialogue “Exécuter” (Win + R) et de coller une commande (CTRL + V).

Note : Un véritable écran BSOD ne propose jamais de instructions de récupération, seulement un code d’erreur et une demande de redémarrage.

Pourquoi cette technique fonctionne-t-elle ?

Cette attaque exploite deux leviers psychologiques majeurs :

  • L’urgence financière : L’annulation d’une réservation coûteuse pousse le personnel à agir vite pour “sauver” la transaction.
  • La peur du dysfonctionnement : Le visuel d’un écran de plantage Windows déclenche une réponse stressée, incitant l’utilisateur à suivre les instructions pour “réparer” le problème.

En pratique, nous observons que les gestionnaires d’hôtels, souvent peu formés aux subtilités de la cybersécurité, sont des proies faciles. Ils cherchent à résoudre le problème client immédiatement, contournant ainsi leur vigilance habituelle.

Analyse technique du payload DCRAT

Une fois la commande collée et validée par l’utilisateur, une chaîne de compromission complexe s’enclenche. Il est crucial de comprendre que l’infection ne se fait pas via un téléchargement classique, mais par une compilation à la volée.

La compilation du malware

La commande PowerShell copiée dans le presse-papiers ne télécharge pas directement un fichier exécutable. À la place, elle récupère un projet .NET (fichier v.proj). Elle utilise ensuite le compilateur légitime Windows MSBuild.exe pour compiler ce projet en un exécutable.

Cette technique, appelée Living off the Land (LotL), est redoutable car :

  • Elle utilise des outils système légitimes (MSBuild).
  • Elle contourne souvent les détections basiques des antivirus qui surveillent les téléchargements mais pas la compilation de code.

Le payload final : DCRAT

Le malware compilé est DCRAT (DarkCrystal Remote Access Trojan). C’est un RAT commercial vendu sur les forums underground, connu pour sa polyvalence et son prix abordable.

Une fois lancé, le malware effectue les actions suivantes :

  • Éviction de la défense : Il ajoute des exclusions dans Windows Defender pour ne pas être détecté.
  • Élévation de privilèges : Il déclenche des invites UAC (User Account Control) pour obtenir les droits administrateur.
  • Persistance : Il dépose un fichier .url dans le dossier de démarrage pour se réactiver à chaque boot.
  • Exécution en mémoire : Il s’injecte dans un processus légitime (aspnet_compiler.exe) via le process hollowing. Cela signifie qu’il ne vit pas sur le disque dur sous un fichier suspect, mais directement dans la RAM.

Une fois installé, l’attaquant dispose d’un accès complet : bureau à distance, keylogger, exécution de commandes shell, et même déploiement de mineurs de cryptomonnaie.

Les secteurs à risque et l’impact en France

Bien que cette campagne ait été signalée ciblant l’hôtellerie en Europe, le risque s’étend à tous les secteurs recevant des communications externes fréquentes.

L’hôtellerie : une cible privilégiée

Le secteur hôtelier est particulièrement vulnérable en 2025 pour plusieurs raisons :

  • Flux de données constant : Réception de milliers d’e-mails de réservation par jour.
  • Pression opérationnelle : Le personnel de réception doit réagir immédiatement aux demandes clients.
  • Partage d’accès : Plusieurs employés utilisent souvent les mêmes postes de travail.

Selon une étude récente de l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information), 95% des cyberattaques débutent par une erreur humaine, souvent liée à un e-mail de phishing.

L’impact économique

Le coût d’une telle attaque dépasse largement le simple nettoyage du poste de travail. Si le DCRAT permet un accès au réseau interne de l’hôtel, les conséquences peuvent être :

  • Vol des données clients (cartes de crédit, identités).
  • Chiffrement des données par un ransomware déployé ultérieurement.
  • Pertes de réputation et amendes RGPD.

Comment détecter et bloquer l’attaque ClickFix

La détection de l’attaque ClickFix repose sur la vigilance humaine autant que sur les outils techniques. Voici une approche en couches.

1. La vigilance utilisateur (Première ligne de défense)

L’éducation est la clé. Il faut former le personnel à reconnaître les signaux d’alerte :

  • Vérifier l’URL : Toujours regarder la barre d’adresse. Un site clone peut ressembler à l’original, mais l’URL sera différente (ex: low-house[.]com).
  • Méfiance envers les erreurs techniques : Si un site web affiche une erreur Windows ou demande d’ouvrir l’invite de commande, c’est une arnaque.
  • Ne jamais coller de commandes : Le presse-papiers est un outil de travail, pas une solution à un problème web.

2. Contrôles techniques et restrictions

Pour les administrateurs système, il est possible de restreindre l’environnement pour limiter les dégâts :

  • Restreindre PowerShell : Utiliser les stratégies de groupe (GPO) pour limiter l’exécution de scripts PowerShell aux utilisateurs autorisés uniquement.
  • Surveiller MSBuild.exe : Un usage inhabituel de ce compilateur par un utilisateur standard doit déclencher une alerte.
  • Bloquer les processus inattendus : Utiliser des solutions EDR (Endpoint Detection and Response) pour surveiller l’injection de code dans des processus légitimes comme aspnet_compiler.exe.

Tableau comparatif : Vrai BSOD vs Faux ClickFix

Pour aider à la formation des équipes, voici les différences fondamentales à identifier rapidement.

| Caractéristique | Vrai BSOD (Plantage Windows) | Faux BSOD ClickFix | | :— | :— | :— | | Origine | Système d’exploitation Windows (erreur noyau/driver) | Navigateur web (JavaScript / Plein écran) | | Contenu | Code d’erreur (ex: CRITICAL_PROCESS_DIED) | Message demandant d’ouvrir “Exécuter” et de coller | | Action requise | Redémarrage de la machine | Exécution manuelle de commandes PowerShell | | Visibilité | Prend tout l’écran, bloque la navigation | Apparaît dans le navigateur, on peut souvent alt+tab | | Fermeture | Impossible de le fermer sans reboot | Peut être fermé via le gestionnaire de tâches (alt+ctrl+suppr) |

Les étapes de mitigation en cas d’infection

Si l’attaque a réussi et que le personnel a exécuté la commande, la réaction doit être immédiate.

  1. Isoler la machine : Déconnectez immédiatement le poste du réseau (débranchez le câble Ethernet, désactivez le Wi-Fi). Cela empêche le malware de communiquer avec son serveur C2 ou de se propager.
  2. Ne pas éteindre tout de suite : Si possible, conservez la mémoire vive (RAM) pour l’analyse forensique, mais dans la majorité des cas, une coupure électrique est préférable pour stopper l’activité en cours.
  3. Changer les mots de passe : Considérez que tous les mots de passe saisis sur ce poste (ou accessibles via lui) sont compromis. Changez les accès aux outils de réservation (Booking, Expedia, etc.) et aux comptes administrateurs.
  4. Analyse complète : Le poste doit être formaté et réinstallé à partir d’une sauvegarde saine ou d’une image système vierge. Un simple nettoyage antivirus est insuffisant face à un RAT persistant.
  5. Signalement : Contactez votre CERT (Computer Emergency Response Team) national ou l’ANSSI en France pour signaler l’incident.

L’évolution des menaces en 2025 : Vers plus d’interactivité

L’attaque ClickFix marque un tournant dans l’évolution des cybermenaces. Nous passons d’attaques passives (où la victime subit une faille) à des attaques actives où la victime devient complice de son infection.

Cette tendance s’inscrit dans un contexte où les défenses automatiques s’améliorent. Les attaquants doivent donc trouver des failles non pas dans le code, mais dans le cerveau humain.

En 2025, nous voyons une augmentation des attaques qui :

  • Utilisent des interfaces utilisateur ultra-polies (clones de sites officiels).
  • Exploitent le contexte actuel (cannulars téléphoniques, faux remboursements).
  • Demandent une action humaine spécifique (coller, taper).

Le rôle de l’IA générative

Les cybercriminels utilisent désormais l’IA pour rédiger des e-mails de phishing parfaits, sans fautes, adaptés au ton de l’entreprise ciblée. Cela rend la détection des e-mails frauduleux de plus en plus difficile. L’attaque ClickFix est d’autant plus dangereuse qu’elle s’appuie sur un visuel (le faux BSOD) que l’IA peut générer très fidèlement.

Conclusion

L’attaque ClickFix démontre que la sécurité informatique ne repose plus uniquement sur des pare-feux et des antivirus. Elle exige une culture de la sécurité où chaque employé sait que demander de coller une commande dans l’invite de commande est un danger mortel.

Pour les entreprises françaises, particulièrement dans l’hôtellerie, la priorité en 2025 est double : durcir les postes de travail (restreindre les droits d’exécution) et former intensément le personnel. Ne laissez pas vos employés devenir le maillon faible qui compile volontairement le malware qui détruira votre entreprise.

Action immédiate à prendre : Organisez dès cette semaine une session d’information sur les faux écrans BSOD et vérifiez les droits d’accès PowerShell de vos utilisateurs non techniques.