ClickFix : comment une fausse erreur Windows peut vider vos comptes (et comment s’en protéger)

Une page web affiche une erreur. Pour « réparer », on vous demande d’appuyer sur deux touches, puis de coller une ligne dans une fenêtre noire qui s’ouvre. Vous le faites. En quelques secondes, un logiciel espion s’installe et commence à siphonner les mots de passe enregistrés dans votre navigateur. Cette arnaque porte un nom, ClickFix, et Microsoft a documenté début 2026 une variante particulièrement vicieuse qui détourne Windows Terminal, l’outil de commande intégré à Windows 11.

Le piège est redoutable parce qu’il ne casse aucune protection. C’est vous qui exécutez la commande, de votre main. Cette technique est aujourd’hui le premier mode d’entrée des pirates : selon le rapport Microsoft Digital Defense Report 2025, ClickFix est à l’origine de 47 % des attaques détectées par les équipes de Microsoft, devant le phishing classique. Voici comment fonctionne l’attaque, pourquoi elle passe sous les radars, et les réflexes qui vous mettent à l’abri.

ClickFix, c’est quoi exactement ?

ClickFix est une technique d’ingénierie sociale (manipulation psychologique pour pousser la victime à agir). Le principe tient en une phrase : au lieu de pirater votre machine, on vous convainc de la saboter vous-même.

Le scénario est toujours le même. Vous tombez sur une page qui imite une vérification anti-robot, un message « votre document n’a pas pu s’afficher » ou une fausse alerte technique. La page vous donne des instructions précises : appuyez sur telle combinaison de touches, collez ce qui a été copié automatiquement, validez. En suivant ces étapes, vous lancez sans le savoir une commande qui télécharge et installe un malware. Aucun fichier piégé à ouvrir, aucune pièce jointe suspecte. Juste un copier-coller qui paraît anodin.

Le nouveau piège passe par Windows Terminal

Jusqu’ici, ClickFix passait surtout par la boîte Exécuter (la petite fenêtre qu’on ouvre avec Windows + R). Les éditeurs de sécurité ont fini par surveiller ce canal. Les attaquants ont donc changé de porte d’entrée.

La campagne repérée par Microsoft demande à la victime d’utiliser le raccourci Windows + X puis I. Ce raccourci ouvre directement Windows Terminal, la console d’administration de Windows 11. L’astuce est maligne pour deux raisons. D’abord, Windows Terminal est un outil parfaitement légitime, signé Microsoft, que les protections laissent tourner sans broncher. Ensuite, beaucoup d’utilisateurs ne connaissent pas ce raccourci et ne réalisent pas qu’ils viennent d’ouvrir une fenêtre de commande aux pleins pouvoirs.

La commande collée n’a rien de lisible. Elle est encodée (transformée en une suite de caractères illisibles) pour masquer ce qu’elle fait vraiment. Impossible, pour un œil non averti, de deviner qu’on vient de lancer une infection.

Ce qui se passe une fois la commande collée

La suite est automatique et silencieuse. La commande se décode toute seule, puis télécharge une archive et une copie renommée du logiciel de décompression 7-Zip. Le tout se déballe dans un coin discret du disque. Pour survivre à un redémarrage, le malware crée une tâche planifiée, c’est-à-dire une instruction qui le relance automatiquement à intervalles réguliers.

La charge finale s’appelle Lumma Stealer, un voleur d’informations bien connu des spécialistes. Il avait été partiellement démantelé par Microsoft et les autorités en 2025, avant de refaire surface. Sa cible : votre navigateur. Lumma s’injecte directement dans les processus de Chrome et d’Edge pour aspirer ce qu’ils contiennent de plus sensible, les identifiants de connexion enregistrés, les cookies de session, les données de remplissage automatique. Concrètement, tous les comptes où vous restez connecté en permanence deviennent accessibles : messagerie, réseaux sociaux, boutiques en ligne, parfois bien plus.

Le vol des cookies est le plus traître. Avec eux, un attaquant peut parfois ouvrir vos sessions sans même avoir besoin de votre mot de passe, ni de votre double authentification. D’où l’intérêt de ne jamais déclencher l’infection en premier lieu.

Comment ne pas se faire avoir

La bonne nouvelle, c’est que cette attaque a un point faible : elle a besoin de votre coopération. Sans le copier-coller, il ne se passe rien. Voici les réflexes à ancrer.

Premier réflexe : aucune page web légitime ne vous demandera jamais de coller une commande dans Windows. C’est la règle d’or, et elle ne souffre pas d’exception. Un vrai site, un vrai service technique, un vrai « captcha » ne vous fera jamais ouvrir Windows Terminal, la boîte Exécuter ou PowerShell. Si une page vous demande d’appuyer sur Windows + R, Windows + X, ou de coller quoi que ce soit dans une fenêtre noire, fermez l’onglet. Point.

Deuxième réflexe : méfiez-vous du copier-coller invisible. Ces pages piégées remplissent votre presse-papiers à votre insu. Vous croyez coller un texte anodin, vous collez une commande malveillante. Dès qu’un site vous pousse à coller quelque chose que vous n’avez pas vous-même copié sciemment, considérez que c’est une arnaque.

Troisième réflexe : si vous avez déjà collé la commande, agissez vite. Coupez la connexion internet de la machine pour stopper l’exfiltration. Depuis un autre appareil sain (votre téléphone par exemple), changez les mots de passe de vos comptes importants en commençant par votre messagerie principale. Un gestionnaire de mots de passe vous aide à générer des mots de passe uniques pour limiter la casse en cas de fuite. Lancez ensuite une analyse complète avec Microsoft Defender, idéalement une analyse hors ligne (Sécurité Windows, Protection contre les virus et menaces, Options d’analyse, Analyse hors ligne). Vérifiez enfin le Planificateur de tâches pour repérer une tâche suspecte créée récemment. En cas de doute persistant, redémarrez la machine en mode sans échec avant de relancer une analyse.

Quatrième réflexe : gardez les protections de base actives. SmartScreen, le filtre de réputation de Windows, bloque une partie de ces pages piégées avant même qu’elles s’affichent. La protection en temps réel de Defender et un compte utilisateur standard (plutôt qu’administrateur au quotidien) limitent les dégâts si une commande passe. Si vous cherchez une couche de protection supplémentaire, notre comparatif des meilleurs antivirus gratuits vous aidera à choisir. Ces réglages sont activés par défaut sur Windows 11. Ne les désactivez pas pour « gagner en confort ».

Ce qu’il faut retenir

ClickFix ne casse rien, ne force rien. Il mise sur votre bonne volonté et sur un réflexe d’utilisateur pressé qui veut juste que « ça marche ». La parade tient en une habitude simple : un copier-coller demandé par une page web vers une fenêtre de commande Windows est toujours une arnaque, sans exception.

Si je devais résumer en une phrase : traitez Windows Terminal, PowerShell et la boîte Exécuter comme des outils que vous seul ouvrez, pour des raisons que vous seul connaissez. Le jour où une page vous tient la main pour vous y emmener, vous saurez exactement quoi faire. Fermer l’onglet.

Cela pourrait aussi vous intéresser

4 façons de protéger vos comptes sur les réseaux sociaux contre le piratage Peut-on vraiment protéger sa vie privée sur Facebook ? Protéger vos données peut être un jeu d’enfant avec les bons outils Erreur Video Dxgkrnl Fatal Error sous Windows : que faire ?