ClickFix : quand l'ingénierie sociale vous fait exécuter vous-même le malware
Une fenêtre d'erreur s'affiche. Un message vous demande de copier une commande dans le presse-papier et de l'exécuter pour « réparer » le problème. Vous le faites. En quelques secondes, un malware s'installe en silence sur votre poste. Bienvenue dans l'ère ClickFix : la technique d'ingénierie sociale qui transforme l'utilisateur lui-même en vecteur d'infection.
Ce qui s'est passé
ClickFix est une technique d'attaque documentée depuis 2024 et en pleine expansion en 2025-2026. Son principe est redoutablement simple : des attaquants créent de fausses interfaces — pages web, pop-ups d'erreur, faux captchas — qui demandent à l'utilisateur d'exécuter une commande système pour résoudre un problème fictif.
Le scénario le plus courant : un message simule une erreur Chrome, Microsoft Office ou un vérification « Je ne suis pas un robot », et invite à ouvrir la boîte de dialogue Windows (Win+R) pour y coller et lancer une commande PowerShell. Cette commande télécharge et exécute discrètement un malware, souvent un infostealer ou un cheval de Troie d'accès à distance (RAT).
La firme de cybersécurité Securonix a documenté l'utilisation de ClickFix par plusieurs groupes étatiques et cybercriminels majeurs : le groupe nord-coréen Lazarus, les groupes iraniens TA427 (Kimsuky) et TA450 (MuddyWater), ainsi que le gang de ransomware Interlock. Des acteurs de premier plan, habituellement associés à des attaques sophistiquées, qui adoptent ici une technique à faible coût mais à fort rendement.
Pourquoi c'est important pour les DPO et RSSI
ClickFix ne présente pas de dimension réglementaire directe — il ne s'agit pas d'une décision de la CNIL ni d'un manquement RGPD en tant que tel. Mais ses conséquences, elles, ont tout à voir avec la conformité des organisations.
Lorsqu'un collaborateur exécute involontairement un malware ClickFix sur son poste de travail, l'attaquant peut accéder à l'ensemble des fichiers et applications ouvertes sur cette machine : messagerie, CRM, bases de données RH, documents contractuels contenant des données à caractère personnel. Si ces données sont exfiltrées, l'organisation se retrouve face à une violation de données personnelles au sens de l'article 4 du RGPD, avec l'obligation de notifier la CNIL dans les 72 heures (article 33) — et potentiellement les personnes concernées (article 34).
Ce risque est d'autant plus élevé que ClickFix contourne presque systématiquement les solutions de sécurité classiques : aucun fichier malveillant n'est déposé sur le disque avant que l'utilisateur n'ait lui-même activé l'exécution. Les EDR et antivirus, qui cherchent des comportements suspects automatiques, peuvent être mis en échec — comme l'illustre d'ailleurs la montée en puissance des EDR Killers utilisés par les ransomwares pour désactiver la détection avant l'attaque.
Le précédent récent du piratage de l'ANTS — qui a exposé les données de milliers d'usagers français — rappelle que même les organisations les mieux équipées peuvent subir des violations conduisant à des notifications RGPD longues et coûteuses.
Ce que ça change pour les organisations — actions concrètes
Face à ClickFix, la protection technique seule ne suffit pas. Le vecteur d'entrée étant l'humain, la réponse doit l'être aussi. Concrètement, les DPO et RSSI doivent agir sur trois niveaux :
1. Sensibiliser les collaborateurs de manière ciblée. ClickFix exploite un réflexe naturel — vouloir « réparer » une erreur — et une confiance parfois aveugle dans les interfaces numériques. Des formations et des simulations d'attaques régulières permettent de créer un réflexe de vigilance. Plusieurs outils de sensibilisation à la cybersécurité permettent de simuler ce type de scénarios et de mesurer la résistance des équipes.
2. Restreindre l'exécution de PowerShell et des scripts système. Dans la grande majorité des organisations, les utilisateurs finaux n'ont aucune raison légitime d'exécuter des scripts PowerShell via la boîte de dialogue Windows. Une politique de restriction des applications (AppLocker, WDAC) appliquée au parc utilisateur réduit drastiquement la surface d'attaque. C'est une mesure technique proportionnée au sens de l'article 32 RGPD sur la sécurité des données.
3. Mettre à jour le registre des risques et le PIA si nécessaire. Si votre organisation traite des données sensibles (données de santé, données RH à grande échelle, données bancaires), ClickFix doit apparaître dans votre cartographie des menaces. Sa montée en puissance, portée par des groupes étatiques, justifie une réévaluation du niveau de risque résiduel associé aux postes utilisateurs.
Ce que Leto pense de cette décision
ClickFix n'est pas une nouveauté technique — c'est la preuve que l'ingénierie sociale reste, en 2026, le vecteur d'attaque le plus efficace, loin devant les exploits zero-day. Que des groupes aussi sophistiqués que Lazarus ou Kimsuky l'adoptent massivement dit quelque chose d'important : la technique fonctionne, et elle fonctionne parce que la sensibilisation des utilisateurs reste le maillon le plus faible de la chaîne de sécurité dans la plupart des organisations.
Pour les DPO, la leçon est claire : la cybersécurité n'est pas seulement l'affaire du RSSI. Toute violation de données résultant d'une infection ClickFix tombera sous le régime de l'article 33 RGPD. Être préparé à cette notification — avoir testé sa chaîne de réaction, formé ses équipes, mis à jour son registre de traitements — c'est précisément ce que le RGPD impose depuis 2018.
Sources : Silicon.fr — ClickFix et l'exploitation du geste de confiance de l'utilisateur · Securonix — ClickFix campaign analysis
