ClickFix : comment de faux écrans BSOD Windows déclenchent des attaques malveillantes en 2025
Lysandre Beauchêne
Une nouvelle vague d’attaques par ingénierie sociale, baptisée ClickFix, cible activement le secteur de l’hôtellerie en Europe. Les cybercriminels utilisent des écrans de plantage système (Blue Screen of Death ou BSOD) entièrement factices pour piéger les utilisateurs et les inciter à compiler et exécuter manuellement du malware sur leurs propres postes de travail. Selon les chercheurs de Securonix, qui suivent cette campagne sous le nom de “PHALT#BLYX”, ces attaques exploitent la panique et l’urgence pour contourner les défenses techniques.
Contrairement aux attaques automatisées classiques, cette méthode repose sur une interaction humaine volontaire, mais trompée. En 2025, face à la sophistication croissante des pare-feux et des solutions d’antivirus, les criminels misent de plus en plus sur la psychologie de l’utilisateur. L’objectif est clair : obtenir un accès persistant au réseau de l’entreprise pour voler des données sensibles, déployer des rançongiciels ou des mineurs de cryptomonnaie. Pour plus de détails sur les arnaques aux cryptomonnaies, consultez cet article sur les scams cryptos.
Comprendre le mécanisme de l’attaque ClickFix
L’attaque ClickFix est une forme d’ingénierie sociale où le pirate crée une fausse page web simulant une erreur technique ou un blocage. L’idée est de présenter un problème crédible et d’offrir une solution immédiate qui demande à la victime d’exécuter une commande système. Cette technique d’urgence se retrouve dans de nombreuses arnaques, notamment les offres Cyber Monday trop belles pour être vraies. C’est un détournement des réflexes de dépannage classiques.
Le piège de l’urgence : l’impersonation Booking.com
Le vecteur d’attaque initial repose souvent sur un phishing massif. Dans la campagne analysée, les emails frauduleux se font passer pour des clients annulant une réservation sur Booking.com. Ce type d’arnaque par phishing se retrouve aussi dans d’autres contextes comme les fraudes PayPal exploitant les abonnements. Le message est conçu pour créer un sentiment d’urgence et de panique chez le réceptant (généralement un employé de l’hôtel).
Le mail indique souvent un remboursement conséquent ou une urgence administrative. L’employé, souhaitant résoudre le problème rapidement, clique sur le lien fourni. Ce dernier redirige vers un site hébergé sur un domaine frauduleux (par exemple, low-house[.]com) qui est une copie quasi parfaette du véritable site Booking.com.
L’escalade vers le faux BSOD
Une fois sur le site frauduleux, la mécanique s’affine. Le site injecte un script JavaScript qui simule un dysfonctionnement du navigateur (“Loading is taking too long”).
Lorsque l’utilisateur tente de rafraîchir la page, le navigateur bascule en mode plein écran et affiche un écran BSOD Windows factice. C’est une étape psychologique clé : l’utilisateur pense maintenant que son ordinateur a planté à cause du site, ou qu’il y a un problème système majeur.
L’exploitation technique : de la commande PowerShell au malware
L’écran BSOD factice affiche des instructions de récupération. C’est là que réside le véritable danger. Un véritable écran de plantage Windows ne donne jamais d’instructions pour “réparer” le système en temps réel ; il demande simplement de redémarrer. Cette différence subtile est souvent ignorée par les utilisateurs stressés.
Le copier-coller malveillant
L’écran affiché demande à l’utilisateur d’ouvrir la boîte de dialogue “Exécuter” (Windows + R) et de coller (CTRL + V) une commande qui a été silencieusement copiée dans le presse-papiers de l’ordinateur.
En appuyant sur Entrée, l’utilisateur ne se contente pas de lancer une commande, il initie une chaîne d’infection complexe.
# Exemple simplifié du type de commande malveillante
# (Attention : ne copiez jamais ce genre de commande)
Start-Process powershell -ArgumentList "..."
La compilation à la volée (Living off the Land)
La commande PowerShell exécutée ouvre d’abord une page de décoy (une fausse page d’admin Booking.com) pour rassurer la victime. Pendant ce temps, en arrière-plan, le script télécharge un projet .NET complet (v.proj).
Le point critique est l’utilisation de MSBuild.exe, l’outil de compilation légitime de Microsoft. Le malware se compile lui-même sur la machine de la victime, utilisant un outil de confiance (technique Living off the Land ou LOLBin) pour éviter d’être détecté par les antivirus classiques qui surveillent les téléchargements d’exécutables inconnus.
Le payload final : le Remote Access Trojan (DCRAT)
Une fois compilé et exécuté, le malware installe un cheval de Troie d’accès à distance (RAT) nommé DCRAT. C’est un malware “As-a-Service” vendu sur les forums clandestins, très populaire pour sa polyvalence.
Fonctionnalités et persistence
Le malware ne se contente pas de s’installer, il s’assure de rester invisible et actif :
- Exclusions Windows Defender : Il ajoute des exclusions pour ne pas être scanné.
- Élévation de privilèges : Il déclenche des invites UAC (Contrôle de compte d’utilisateur) pour obtenir les droits administrateur.
- Persistence : Il dépose un fichier
.urldans le dossier de démarrage de Windows pour relancer le malware à chaque reboot. - Injection de processus : Il s’injecte dans un processus légitime (
aspnet_compiler.exe) via le Process Hollowing pour masquer sa présence dans le gestionnaire de tâches.
Les capacités du DCRAT
Une fois installé, l’attaquant dispose d’une porte dérobée complète sur la machine. Les capacités incluent :
- Bureau à distance (Remote Desktop).
- Keylogger (enregistrement des frappes clavier pour voler mots de passe et banque).
- Exécution de commandes Shell à distance.
- Téléchargement et exécution de payloads supplémentaires (comme des mineurs de cryptomonnaie ou des rançongiciels).
Impacts et conséquences pour le secteur de l’hôtellerie
Le choix de cibler l’hôtellerie n’est pas anodin. Ces structures manipulent une quantité massive de données personnelles et financières (cartes de crédit, identités des clients).
Risques de violation de données et de conformité
Une fois le DCRAT installé sur un poste de travail, les attaquants peuvent se déplacer latéralement sur le réseau interne. Ils peuvent potentiellement atteindre les serveurs de réservation ou de comptabilité.
En France et en Europe, une telle fuite de données déclencherait l’obligation de notification à la CNIL et à la CNIL et pourrait entraîner des amendes colossales au titre du RGPD, sans compter la perte de confiance des clients.
Comment se protéger contre ClickFix ?
Face à une attaque qui dépend de l’action humaine, la sensibilisation est la première ligne de défense, mais elle doit être soutenue par des contrôles techniques.
Sensibilisation et détection des signaux d’alerte
Il est crucial d’enseigner aux employés que :
- Un vrai BSOD ne donne pas de solution : Si un écran de plantage vous demande d’ouvrir l’invite de commande et de coller du texte, c’est une arnaque.
- Le lien de vérification : Toujours vérifier l’URL exacte avant de se connecter à un service.
- L’urgence est un piège : Prendre une minute pour vérifier l’identité de l’expéditeur d’un email urgent.
Mesures techniques et de prévention
Voici une liste de critères de sécurité à implémenter pour bloquer ce type de vecteur d’attaque :
| Critère de Sécurité | Description | Impact sur ClickFix |
|---|---|---|
| Restreindre PowerShell | Utiliser les stratégies AppLocker ou WDAC pour limiter l’exécution de scripts PowerShell aux administrateurs uniquement. | Bloque la commande initiale. |
| Détection MSBuild | Surveiller l’utilisation de MSBuild.exe par des utilisateurs non développeurs ou sur des fichiers réseau inconnus. | Empêche la compilation du malware. |
| Navigateur sécurisé | Utiliser des navigateurs configurés avec des extensions de sécurité strictes et bloquer les entrées en plein écran non sollicitées. | Rend le faux BSOD moins crédible. |
| Analyse EDR | Utiliser des solutions de détection et de réponse sur les points de terminaison (EDR) pour repérer l’injection de processus. | Détecte le DCRAT une fois lancé. |
Étapes actionnables de réponse
Si une attaque est suspectée ou réussie :
- Isoler immédiatement : Déconnectez le poste du réseau (Ethernet et Wi-Fi) pour stopper la communication avec le serveur C2.
- Changer les mots de passe : Révoquer tous les mots de passe et jetons de session utilisés sur ce poste (y compris les accès VPN).
- Analyse forensique : Ne pas formater tout de suite. Conserver les logs pour comprendre la portée de l’infection et voir si le réseau a été compromis (mouvements latéraux).
- Nettoyage : Réinstaller le système d’exploitation à partir d’une image saine.
Conclusion : La vigilance face à l’ingénierie sociale avancée
L’attaque ClickFix démontre une fois de plus que la sécurité informatique ne repose plus uniquement sur la technologie. En 2025, les cybercriminels exploitent la confiance et l’urgence. Le faux écran BSOD est une ruse brillamment simple : il utilise la peur d’une panne machine pour pousser l’utilisateur à faire ce qu’on lui interdit habituellement : exécuter du code inconnu.
Pour les entreprises françaises, particulièrement dans l’hôtellerie, la leçon est claire : il est impératif de durcir les configurations Windows (via des outils comme l’ANSSI ou les recommandations ISO 27001) et de former régulièrement les équipes à identifier ces pièges d’ingénierie sociale. La prochaine action à entreprendre est d’auditer vos postes de travail pour vérifier qui a le droit d’exécuter PowerShell et d’analyser les logs d’événements Windows pour repérer les utilisations anormales de MSBuild.exe.