ClickFix : comment les faux écrans de panique BSOD déclenchent des attaques malware en 2025

Apollinaire Monteclair

Une nouvelle attaque par ingénierie sociale baptisée ClickFix cible activement le secteur de l’hôtellerie en Europe dès la fin de l’année 2025. Les cybercriminels utilisent de faux écrans de panique Windows (Blue Screen of Death ou BSOD) pour inciter les victimes à compiler manuellement et exécuter du malware sur leurs propres postes de travail.

Le secteur hôtelier est une cible privilégiée en raison de la pression opérationnelle et de la nécessité de réagir rapidement aux réservations. En 2025, les groupes de pression criminels intensifient leurs méthodes d’extorsion, et la chaîne d’attaque ClickFix représente une menace insidieuse car elle repose sur la confiance de l’utilisateur et non sur une faille technique logicielle.

Les mécanismes de l’attaque ClickFix

L’attaque ClickFix est une forme d’ingénierie sociale où le cybercriminel présente à la victime une situation d’urgence informatique (fausse erreur, faux CAPTCHA, ou mise à jour bloquée) et lui fournit une “solution” manuelle. Contrairement aux attaques par téléchargement direct, celle-ci demande à l’utilisateur d’effectuer des manipulations techniques.

Dans la campagne observée fin 2025, les attaquants usurpent l’identité de Booking.com. L’objectif est de créer un sentiment d’urgence financier.

Le vecteur d’attaque : l’usurpation d’identité

L’attaque commence par un email de phishing. Les criminels se font passer pour un client annulant une réservation chère, envoyant ce message aux réceptionnistes ou aux gestionnaires d’hôtel. Le montant du remboursement fictif est souvent élevé pour déclencher une réaction émotionnelle immédiate.

L’email contient un lien vers un site hébergé sur un domaine frauduleux (par exemple, un domaine “low-house[.]com” récemment enregistré). Ce site est une copie quasi parfaite de l’interface Booking.com, utilisant les mêmes polices, couleurs et logos. Pour un œil non averti, la distinction est impossible.

Le déclencheur : une erreur de chargement factice

Une fois sur le site frauduleux, un script JavaScript injecté déclenche un message d’erreur : “Loading is taking too long”. Un bouton “Rafraîchir la page” est proposé. C’est le point de bascule psychologique.

Lorsque l’utilisateur clique, le navigateur passe en mode plein écran et affiche un faux écran BSOD Windows. C’est une technique brutale car l’écran de panique système est universellement associé à une panique grave et immédiate.

L’ingénierie sociale du faux BSOD

Le faux écran BSOD diffère d’un vrai sur un point crucial : il propose des instructions de résolution. Un vrai écran de panique Windows ne fait qu’afficher un code d’erreur et demander un redémarrage.

L’escalade des privilèges manuelle

Le faux écran demande à l’utilisateur d’ouvrir la boîte de dialogue “Exécuter” (Windows + R), de coller une commande copiée dans le presse-papiers (CTRL + V), puis de valider (Entrée).

Cette commande est un script PowerShell complexe. En l’exécutant, la victime pense réparer son système, mais elle lance en réalité le téléchargement et la compilation d’un projet malveillant.

Analyse technique de la charge utile

Le fonctionnement de la charge utile (payload) démontre une sophistication croissante des attaques ciblées en 2025.

  1. Décoy et Compilation : La commande PowerShell ouvre d’abord une page d’administration Booking.com factice pour rassurer la victime. En arrière-plan, elle télécharge un fichier .proj (projet .NET) et utilise le compilateur légitime MSBuild.exe présent sur Windows pour générer l’exécutable malveillant.
  2. Éviction de la Défense : Le malware ajoute des exclusions dans Windows Defender pour ne pas être détecté.
  3. Élévation de droits : Il déclenche des invites UAC (Contrôle de compte d’utilisateur) pour obtenir les droits administrateur.
  4. Persistance : Il crée un fichier .url dans le dossier de démarrage Windows pour se relancer à chaque boot.

Le malware final : DCRAT

Le payload final est DCRAT (DarkCrystal Remote Access Trojan), un RAT répandu sur le marché noir. Il est injecté dans un processus légitime (aspnet_compiler.exe) via une technique appelée “process hollowing” (forage de processus), s’exécutant directement en mémoire pour éviter l’écriture sur le disque.

Une fois actif, il communique avec un serveur de commande et contrôle (C2) et peut :

  • Prendre le contrôle à distance du bureau (RDP).
  • Enregistrer les frappes clavier (Keylogging).
  • Ouvrir un shell inversé.
  • Télécharger d’autres payloads, comme des mineurs de cryptomonnaie.

Comment se protéger contre ClickFix ?

Face à des attaques qui manipulent le comportement humain, les solutions purement techniques ne suffisent pas. Il faut une approche combinée.

1. Sensibilisation et Procédures

Il est impératif de former le personnel à identifier les signaux d’alerte :

  • Urgence inhabituelle : Les annulations de dernière minute avec montants élevés doivent être vérifiées par un autre canal (appel téléphonique).
  • Instructions techniques : Aucun logiciel légitime ne demande à un utilisateur standard de copier-coller des commandes PowerShell.
  • Vérification visuelle : Un vrai BSOD ne donne pas d’instructions de correction.

2. Restrictions PowerShell

Dans un environnement hôtelier, il est rare que le personnel ait besoin d’exécuter des scripts PowerShell. Il est recommandé de restreindre son exécution via les stratégies de groupe (GPO) ou d’utiliser l’Antimalware Scan Interface (AMSI) pour analyser les scripts en temps réel.

3. Protection navigateur et EDR

Les solutions de sécurité des terminaux (EDR) modernes peuvent détecter l’injection de code dans MSBuild.exe. De plus, l’utilisation d’extensions de navigateur bloquant les sites de phishing et la mise en place de filtrage DNS empêchent l’accès initial au clone de Booking.com.

Tableau comparatif : Vrai BSOD vs ClickFix

Pour aider les équipes à distinguer la réalité de l’attaque, voici les différences fondamentales :

CaractéristiqueVrai BSOD WindowsFaux BSOD ClickFix
AffichagePrend tout l’écran, opaque.Prend tout l’écran, souvent via le navigateur (Chrome/Edge).
ContenuCode d’erreur (ex: CRITICAL_PROCESS_DIED), QR Code.Message d’erreur générique + instructions de copier-coller.
Action requiseRedémarrage forcé.Exécution de commandes manuelles.
ContexteApparaît lors d’un crash système réel.Apparaît après un clic sur un site web frauduleux.
ProcessusGéré par le noyau Windows (kernel).Géré par un script JavaScript dans un navigateur.

L’importance de la vérification d’identité (MFA)

Bien que l’attaque ClickFix ne vole pas les mots de passe directement, elle s’appuie sur l’accès légitime à l’email. L’activation de l’authentification multifacteur (MFA) sur les comptes email professionnels ajoute une barrière. Si un attaquant compromet un email, il pourrait tenter de siphonner des données ou de lancer des attaques internes.

“L’attaque ClickFix démontre que la confiance est la nouvelle vulnérabilité critique. Les criminels ne cherchent plus à forcer la porte, mais à nous donner les clés pour l’ouvrir nous-mêmes.”

Procédure de réponse aux incidents

Si une attaque ClickFix est suspectée ou réussie, voici les étapes immédiates recommandées par les experts en sécurité (inspirées des référentiels ANSSI et ISO 27001) :

  1. Isolation : Déconnecter immédiatement le poste du réseau (câble Ethernet/Wi-Fi) pour couper la communication C2.
  2. Analyse : Ne pas redémarrer tout de suite pour préserver la mémoire volatile. Lancer une analyse approfondie avec l’antivirus.
  3. Changement de mots de passe : Réinitialiser tous les mots de passe utilisés sur ce poste (email, accès bancaires, CRM).
  4. Nettoyage : En raison de la persistance du malware (fichier .url, exclusions Defender), la seule méthode sûre est souvent le formatage complet et la réinstallation du système d’exploitation.
  5. Signalement : Remonter l’incident à la direction informatique et, si des données clients ont été potentiellement exposées, respecter les délais de notification RGPD (72h).

Conclusion

La menace ClickFix illustre une tendance inquiétante de 2025 : l’automatisation de l’ingénierie sociale. En utilisant des symboles de panique universels comme le BSOD Windows, les attaquants court-circuitent le jugement critique des victimes.

Pour les entreprises, notamment dans l’hôtellerie, la sécurité ne réside plus uniquement dans la mise à jour des logiciels, mais dans la capacité à faire preuve de vigilance face aux sollicitations extérieures. La règle d’or reste simple : jamais une entreprise légitime ne demandera à un utilisateur de coller une commande PowerShell pour résoudre un problème.

En cas de doute, il est préférable de fermer la fenêtre, de vider le cache du navigateur et de contacter le support technique via un canal officiel.