ClickFix : comment des écrans BSOD factices déclenchent des attaques malveillantes en 2025
Théophane Villedieu
Une nouvelle campagne d’ingénierie sociale nommée ClickFix cible activement le secteur de l’hôtellerie en Europe, utilisant des écrans de mort bleue (BSOD) Windows factices pour tromper les utilisateurs. Selon les dernières données de sécurité, 85 % des attaques par phishing reposent désormais sur une manipulation psychologique avancée plutôt que sur des failles techniques complexes.
Cette attaque sophistiquée exploite la panique immédiate que provoque un écran de crash système. Les victimes, souvent sous pression dans un environnement professionnel, sont incitées à exécuter manuellement des commandes malveillantes pour “résoudre” le problème. C’est un retour inquiétant aux attaques par commande manuelle, une technique que l’on pensait dépassée.
Comprendre le mécanisme d’attaque ClickFix
Le ClickFix n’est pas un virus en soi, mais une méthode d’ingénierie sociale pure. L’attaquant crée une page web qui simule un problème technique urgent. Contrairement aux attaques automatisées, c’est la victime elle-même qui compile et exécute le malware.
Cette technique repose sur plusieurs piliers psychologiques :
- L’urgence : La victime croit que son système est compromis ou en panne.
- L’autorité : Les messages usurpent l’apparence de systèmes d’exploitation ou de services légitimes.
- La solution simple : L’attaquant fournit une “correction” immédiate qui demande une action technique.
Les étapes techniques de l’infection
Dans la campagne observée fin 2025, le flux d’attaque se déroule ainsi :
- Le leurre : Un email de phishing impersonne une plateforme de réservation hôtelière (type Booking.com).
- Le site clone : Le lien mène vers un site web à l’apparence parfaitement reproduite.
- L’erreur simulée : Un message d’erreur JavaScript annonce que la page ne se charge pas.
- Le BSOD factice : En cliquant, l’écran passe en plein écran et affiche un écran de crash Windows.
- L’instruction manuelle : La victime copie et colle une commande PowerShell.
“Les écrans BSOD factices sont particulièrement dangereux car ils détournent une habitude : les utilisateurs associent ce visuel à une panne réelle, pas à une attaque web.” — Securonix
Le ciblage du secteur hôtelier français
Le secteur de l’hôtellerie est une cible de choix pour plusieurs raisons.
Pourquoi l’hôtellerie ?
- Flux de données sensible : Noms, dates de carte bancaire, informations de clients.
- Pression opérationnelle : Un réceptionniste doit résoudre un problème client immédiatement.
- Hétérogénéité des postes : Les outils métiers (PMS) sont souvent anciens ou spécifiques.
En pratique, un réceptionniste qui reçoit un email signalant l’annulation d’une réservation à 2000 € se sent obligé d’agir vite. La peur de perdre un client ou un revenu important prime sur la vigilance.
La psychologie de l’urgence
L’attaque joue sur la gestion de la relation client. En France, où le service est roi, la moindre friction avec le client est vécue comme une défaillance majeure.
L’attaquant sait que le personnel réception de l’hôtel de Paris ou de Lyon ne laissera pas un email non traité, surtout s’il concerne une annulation coûteuse.
Analyse du payload : DCRAT et la compromission réseau
Une fois la commande exécutée, le mécanisme d’infection est redoutablement efficace.
La chaîne d’infection
La commande PowerShell copiée dans le presse-papier effectue plusieurs actions en arrière-plan :
- Téléchargement : Récupération d’un projet .NET malveillant (
v.proj). - Compilation locale : Utilisation du compilateur légitime
MSBuild.exepour générer l’exécutable. - Évasion : Ajout d’exclusions Windows Defender pour passer inaperçu.
- Élévation de privilèges : Déclenchement des invites UAC (User Account Control).
- Persistance : Création d’un fichier
.urldans le dossier de démarrage.
Le malware final : DCRAT
Le payload final est DCRAT (Dark Crystal Remote Access Trojan), un RAT commercialisé sur les forums de hackers.
Fonctionnalités du DCRAT :
- Remote Desktop : Prise de contrôle totale de l’écran.
- Keylogger : Enregistrement de toutes les frappes (identifiants, mots de passe).
- Reverse Shell : Exécution de commandes arbitraires.
- Injection mémoire : Le malware s’injecte dans
aspnet_compiler.exepour éviter le disque.
Dans un cas observé, les attaquants ont déployé un mineur de cryptomonnaie, mais le risque principal est le vol de données et l’ouverture d’un point d’entrée vers le réseau complet de l’hôtel.
Comparaison : Vrai BSOD vs ClickFix
| Critère | Vrai BSOD Windows | ClickFix (Attaque) |
|---|---|---|
| Origine | Panne matérielle ou pilote défectueux | Page web malveillante |
| Instructions | Aucune (code d’erreur + redémarrage) | Commande PowerShell à copier/coller |
| Contexte | Système figé, redémarrage forcé | Navigateur web fonctionnel |
| Visuel | Fond bleu, texte blanc simple | Identique, mais dans le navigateur |
| Action requise | Redémarrer | Exécuter une commande manuelle |
Point clé : Un vrai BSOD ne vous demande jamais d’ouvrir l’invite de commande.
Comment se protéger contre ClickFix ?
La défense repose sur une combinaison de sensibilisation, de restrictions techniques et de surveillance.
1. Sensibilisation et procédures
- Formation obligatoire : Tout le personnel, surtout en réception, doit savoir que les écrans BSOD dans un navigateur sont impossibles.
- Procédure d’urgence : En cas de problème informatique, contacter le support IT, jamais copier de commandes depuis le web.
- Vérification des emails : Double vérification systématique des emails d’annulation de réservation.
2. Restrictions techniques (Group Policy)
Pour les administrateurs système, il est crucial de limiter l’exécution de scripts :
# Exemple de restriction PowerShell
Set-ExecutionPolicy Restricted -Scope LocalMachine
Néanmoins, cela peut bloquer des outils légitimes. Une approche plus fine utilise les AppLocker ou WDAC (Windows Defender Application Control) pour bloquer la compilation MSBuild.exe par les utilisateurs standards.
3. Surveillance et détection
Surveiller les événements suivants dans vos logs :
- Processus MSBuild.exe lancé par un utilisateur standard.
- Création de fichiers .url dans
%AppData%\Microsoft\Windows\Start Menu\Programs\Startup. - Trafic BITS (Background Intelligent Transfer Service) anormal.
- Modifications du pare-feu Windows ou des exclusions Defender.
4. Mises à jour et patchs
Bien que ClickFix soit une attaque par ingénierie sociale, maintenir Windows à jour reste vital. Les versions récentes de Windows 11 (24H2) intègrent des mécanismes de sécurité renforcés contre l’injection mémoire.
L’évolution des attaques par ingénierie sociale en 2025
ClickFix marque un tournant. Après des années d’automatisation, les cybercriminels reviennent à l’attaque manuelle ciblée.
De la massification à la précision
Les campagnes de phishing de masse (spray and pray) laissent place à des attaques “spear phishing” où l’attaquant étudie sa cible (hôtel spécifique).
Statistique clé : Selon le rapport de référence sur le phishing, le taux de clic augmente de 30 % lorsque l’email est contextuellement pertinent (ex: annulation de réservation pour un hôtel).
L’impact sur la confiance
Cette attaque détruit la confiance non seulement dans le système informatique, mais aussi dans les outils métiers. Un réceptionniste qui se fait “avoir” par un faux Booking.com perdra confiance dans ses propres outils, créant un risque de paralysie ou d’erreur future.
Étapes actionnables pour une réponse d’urgence
Si vous soupçonnez une attaque ClickFix sur un poste de l’hôtel :
- Isoler immédiatement : Déconnectez le poste du réseau (câble Ethernet/Wi-Fi).
- Ne pas éteindre : Conservez la mémoire vive (RAM) pour l’analyse forensique.
- Identifier la commande : Si possible, notez la commande PowerShell exécutée.
- Analyser les logs : Vérifier les processus lancés (
msbuild.exe,powershell.exe). - Réinitialiser les mots de passe : Tous les comptes utilisés ou potentiellement volés sur ce poste.
- Nettoyage : Réinstaller le système à partir d’une image saine (pas de simple suppression de fichiers).
Priorisation des actions
- Urgence immédiate : Isolation du poste compromis.
- Dans l’heure : Analyse du réseau pour propagation (DCRAT peut se propager via SMB).
- Dans la journée : Sensibilisation flash du personnel et audit des emails similaires.
Conclusion : La vigilance humaine comme dernier rempart
ClickFix démontre une fois de plus que la technologie seule ne suffit pas. Face à des écrans factices ultra-réalistes et à des scénarios d’urgence crédibles, l’humain reste la variable critique.
La solution réside dans une culture de sécurité où le personnel hôtelier est outillé pour dire “non” à une demande technique urgente, même si elle semble venir d’un client important. En 2025, savoir ralentir pour vérifier est une compétence de sécurité essentielle.
Pour aller plus loin, équipez vos équipes des outils de gestion des identités (MFA obligatoire) et auditez vos exclusions antivirus. La sécurité ne se résume pas à un écran bleu, qu’il soit vrai ou faux.