C’est une attaque informatique qui progresse : appelée ClickFix, elle cherche à pousser la victime inattentive à commettre une faute, en pensant exécuter une série d’actions inoffensives.

C’est une attaque que le site Ars Technica décrit comme étant peut-être « la plus grande menace pour la sécurité dont votre famille n’a jamais entendu parler ».

Une technique par ailleurs « relativement nouvelle », en tout cas largement méconnue du grand public, capable de passer entre les mailles du filet de nombreuses protections situées en bout de chaîne, côté utilisateur.

ClickFix, le stratagème pour inciter la cible à faire une erreur

Son nom ? ClickFix. Elle ne nécessite pas, côté assaillant, d’énormes facultés informatiques pour aboutir. Elle a cependant besoin d’être suffisamment persuasive pour inciter l’internaute à effectuer une série d’actions simples, ce qui est indispensable pour que ça marche.

Dès lors, il faut évidemment miser sur la méconnaissance en sécurité de la cible, en jouant sur ses peurs, en faisant miroiter un gain ou bien en laissant entendre qu’il s’agit juste d’une procédure de routine, qui est tout ce qu’il y a de plus normal.

Mais évidemment, derrière ces actions censées être anodines se cache le vrai piège, qui doit aboutir à l’installation d’un logiciel malveillant sur votre ordinateur — Windows est particulièrement ciblé, en raison de sa grosse part de marché, mais MacOS ou Linux ne sont pas immunisés pour autant.

Un exemple de ClickFix est donné par l’Organisation européenne pour la recherche nucléaire (CERN) : un faux site web est mis en place pour duper les informaticiens, en jouant sur la proximité avec GitHub, une plateforme de développement très connue.

bitdefender-logo
Bitdefender new Box
Votre vie privée doit rester privée.
Face aux cyberattaques, déjouez les pronostics. Les nouvelles arnaques sont plus complexes et plus sophistiquées, alors ne devenez pas une victime de plus, il existe des solutions performantes et accessibles.
Je protège ma vie privée simplement
Source : Capture d'écran
Un exemple donné par le CERN.

Son nom, github-scanner.com, est là pour faire croire qu’il est lié à GitHub, alors qu’il s’agit d’un domaine externe (le site officiel dispose d’outils pour scanner son code). Celles et ceux tombant dans le panneau se retrouvent alors embarqués dans un tunnel d’actions visant à les infecter.

Dans les faits, la ruse consiste à mettre en scène un CAPTCHA demandant de vérifier que vous êtes bien un être humain, et pas un robot. La fenêtre est alors la première étape d’une série de choses à faire, avec, comme but final, de vous faire copier-coller une ligne de commande à envoyer dans la boîte de dialogue « Exécuter ». Et vous voilà infecté, car l’instruction contenait un piège caché.

Le stratagème, qui est « de plus en plus courant » selon Ars Technica, n’est pas d’une grande complexité.

Il requiert d’opérer un site malveillant, de faire une campagne pour attraper des internautes dans les mailles du filet, via des mails ou des messages sur une messagerie quelconque et au besoin en se faisant passer pour une organisation qui endormira la vigilance de la cible. Il reste ensuite à créer le CAPTCHA piégé et d’un peu d’ingénierie sociale pour manipuler les gens.

« Arrêtez-vous, réfléchissez, ne cliquez pas »

« Cette méthode est rapide, contourne la plupart des protections des terminaux », prévient notre confrère, et cela souvent à l’insu des individus. Une fois le PC contaminé, d’autres problèmes peuvent advenir, comme le vol de données personnelles, d’identifiants, de mots de passe, ce qui peut vite avoir un effet boule de neige.

Le succès actuel de la méthode ClickFix vient de son caractère relativement nouveau, à l’égard de laquelle le public n’est pas encore bien acclimaté — à la différence, toutes proportions gardées, d’une campagne de phishing bas de gamme.

Les solutions de sécurité informatique, de Microsoft Defender aux antivirus tiers, peuvent aider à limiter les dégâts, si elles disposent dans leur base de données des signatures adéquates pour repérer les charges piégées — ou si un comportement anormal sur l’ordinateur est décelé.

Cependant, ce n’est pas une protection parfaite, puisque c’est l’utilisateur qui, involontairement, ouvre la porte à l’attaque, en pensant suivre des consignes inoffensives.

Alors que faire ? « La sensibilisation est la meilleure contre-mesure », juge Ars Technica. Même son de cloche du côté du CERN. « Pour ne pas tomber dans ce genre de piège, nous vous recommandons de suivre ces trois règles : arrêtez-vous, réfléchissez, ne cliquez pas. »

Évidemment, plus facile à dire qu’à faire.

Microsoft Defender (Windows Defender Antivirus) – Icon

Microsoft Defender (Windows Defender Antivirus)

Télécharger gratuitement
Play Store
Apple Store
Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !

Pour ne rien manquer de l’actualité, suivez Numerama sur Google !