Faux CAPTCHA : quand cliquer pour “prouver que vous êtes humain” installe un malware
Sur Internet, les CAPTCHA sont devenus familiers : cocher une case, sélectionner des feux de circulation ou taper des lettres déformées, tout cela pour prouver qu’on n’est pas un robot. Mais récemment, des cybercriminels ont détourné cette mécanique bien connue pour faire passer discrètement des malwares.
Une attaque simple, mais redoutablement efficace
Des chercheurs en cybersécurité ont identifié une campagne dans laquelle des sites frauduleux intègrent de faux CAPTCHA interactifs. Le scénario est le suivant :
- L’utilisateur accède à un site qui semble proposer un contenu intéressant (film gratuit, document, outil, etc.).
- Avant d’accéder au contenu, une page s’affiche avec un CAPTCHA “Cochez ici si vous n’êtes pas un robot”.
- L’utilisateur clique sur la case, pensant qu’il s’agit d’une étape de sécurité classique.
Mais en réalité, ce clic déclenche un script qui copie automatiquement une commande dans le presse-papiers de l’utilisateur.
L’étape suivante : le piège
Après avoir cliqué, un message s’affiche à l’écran, souvent formulé comme une instruction système :
“Si la page ne se charge pas, appuyez sur Win + R et collez cette commande.”
La commande copiée est en fait un script PowerShell déguisé (par exemple, avec une fausse extension en .jpg ou .mp3) qui, une fois exécuté, télécharge et installe un logiciel malveillant sur l’ordinateur.
Les risques associés
Ces scripts peuvent installer différents types de malwares, dont :
- des stealers, capables de récupérer vos identifiants de connexion, mots de passe, et cookies de session,
- des RATs (Remote Access Trojans), qui permettent à un attaquant de prendre le contrôle à distance de votre machine.
Et tout cela… en pensant simplement “valider un CAPTCHA”.
Comment se protéger ?
1. Ne suivez jamais des instructions système affichées par un site web
Un site web légitime ne vous demandera jamais d’ouvrir le menu “Exécuter” de Windows ou de coller une commande système. Si un site le fait : fermez-le immédiatement.
2. Évitez les sites à contenu douteux
Films gratuits, générateurs en ligne, versions “crackées”… ces sites sont souvent des pièges à malware déguisés.
3. Utilisez un antivirus capable de bloquer les scripts
Les solutions de sécurité modernes peuvent détecter l’exécution automatique de scripts ou l’exploitation du presse-papiers à des fins suspectes.
4. Surveillez ce qui est copié dans votre presse-papiers
Certains navigateurs ou extensions peuvent vous avertir lorsqu’un site tente d’y accéder. Activez ces options si disponibles.
En résumé
Cette attaque fonctionne parce qu’elle repose sur un élément familier : le CAPTCHA. Et parce qu’elle transforme un simple clic en une exécution de code, sans que l’utilisateur ne s’en rende compte.
La vigilance reste la meilleure défense. Même face à des éléments qu’on pense anodins, comme une case à cocher.