ingénierie sociale

FileFix : une nouvelle variante de ClickFix

Des acteurs malveillants ont commencé à utiliser une nouvelle variante de la technique ClickFix, baptisée « FileFix ». Nous vous expliquons son fonctionnement et comment protéger votre entreprise contre ce type d’attaque.

Alanna Titterington
10 Déc 2025

Nous avons récemment présenté la technique ClickFix. Aujourd’hui, des acteurs malveillants ont commencé à déployer une nouvelle variante de cette méthode, baptisée « FileFix » par les chercheurs. Le principe fondamental reste le même : utiliser des techniques d’ingénierie sociale pour inciter la victime à exécuter à son insu un code malveillant sur son propre appareil. La différence entre ClickFix et FileFix réside essentiellement dans l’endroit où la commande est exécutée.

Avec ClickFix, les pirates persuadent la victime d’ouvrir la boîte de dialogue Exécuter de Windows et d’y coller une commande malveillante. Par contre, dans le cas de FileFix, les cybercriminels manipulent la victime en lui faisant coller une commande dans la barre d’adresse de l’Explorateur de fichiers Windows. Du point de vue de l’utilisateur, cette action ne paraît pas anormale : la fenêtre de l’Explorateur de fichiers est couramment utilisée, ce qui rend son utilisation moins susceptible d’être perçue comme dangereuse. Par conséquent, les utilisateurs qui ne connaissent pas cette technique sont nettement plus susceptibles de se faire piéger par l’escroquerie FileFix.

Comment les pirates manipulent la victime pour qu’elle exécute leur code

Tout comme ClickFix, une attaque FileFix commence lorsqu’un utilisateur est redirigé, le plus souvent via un email de phishing, vers une page qui imite le site Web d’un service en ligne légitime. Le site frauduleux affiche un message d’erreur empêchant l’accès aux fonctionnalités normales du service. Pour résoudre le problème, l’utilisateur est invité à suivre une série d’étapes afin de procéder à une « vérification de l’environnement » ou à un « diagnostic ».

Pour ce faire, l’utilisateur est informé qu’il doit exécuter un fichier particulier qui, selon les pirates, se trouve déjà sur l’ordinateur de la victime ou vient d’être téléchargé. Il suffit à l’utilisateur de copier le chemin d’accès au fichier local et de le coller dans la barre d’adresse de l’Explorateur de fichiers Windows. En effet, le champ à partir duquel l’utilisateur est invité à copier la chaîne affiche le chemin d’accès au fichier, d’où le nom « FileFix » donné à cette attaque. L’utilisateur est ensuite invité à ouvrir l’Explorateur de fichiers, à appuyer sur les touches [CTRL] + [L] pour mettre en évidence la barre d’adresse, à coller le « chemin d’accès au fichier » à l’aide de la combinaison [CTRL] + [V], puis à appuyer sur [ENTRÉE].

Voici le piège : le chemin d’accès visible au fichier ne correspond qu’aux dernières dizaines de caractères d’une commande beaucoup plus longue. Le chemin d’accès au fichier est précédé d’une série d’espaces, et avant cela se trouve la charge utile malveillante que les pirates ont l’intention d’exécuter. Ces espaces sont essentiels pour s’assurer que l’utilisateur ne voit rien de suspect après avoir collé la commande. Étant donné que la chaîne complète est nettement plus longue que la zone visible de la barre d’adresse, seul le chemin d’accès au fichier inoffensif reste visible. Le contenu réel n’est révélé que si les informations sont collées dans un fichier texte plutôt que dans la fenêtre de l’Explorateur de fichiers. Par exemple, dans un article de Bleeping Computer inspiré des recherches menées par Expel, il a été découvert que la commande réelle lançait un script PowerShell via conhost.exe.

Exemple d'une commande malveillante cachée

L’utilisateur pense coller un chemin d’accès à un fichier, mais la commande contient en réalité un script PowerShell. Source

Que se passe-t-il après l’exécution du script malveillant ?

Un script PowerShell exécuté par un utilisateur légitime peut causer des problèmes de multiples façons. Tout dépend des stratégies de sécurité de l’entreprise, des privilèges de l’utilisateur concerné et de la présence de solutions de sécurité sur l’ordinateur de la victime. Dans le cas mentionné précédemment, l’attaque a utilisé une technique appelée « cache smuggling » (attaque par manipulation du cache). Le même faux site qui a mis en œuvre la technique FileFix a enregistré un fichier au format JPEG dans le cache du navigateur, mais ce fichier contenait en réalité une archive avec un programme malveillant. Le script malveillant a ensuite extrait ce programme malveillant et l’a exécuté sur l’ordinateur de la victime. Cette méthode permet de transmettre la charge utile malveillante finale à l’ordinateur sans téléchargement de fichiers apparent ni requêtes réseau suspectes, ce qui la rend particulièrement furtive.

Comment défendre votre entreprise contre les attaques ClickFix et FileFix

Dans notre article portant sur la technique d’attaque ClickFix, nous avons expliqué que la défense la plus simple consistait à bloquer la combinaison de touches [Win] + [R] sur les appareils de travail. Il est extrêmement rare qu’un employé de bureau ordinaire ait réellement besoin d’ouvrir la boîte de dialogue Exécuter. Dans le cas de FileFix, la situation est un peu plus complexe, car copier une commande dans la barre d’adresse est tout à fait normal pour un utilisateur.

Le blocage du raccourci [CTRL] + [L] est peu souhaitable pour deux raisons. Tout d’abord, cette combinaison est fréquemment utilisée dans diverses applications pour des raisons légitimes et variées. Deuxièmement, cette solution ne serait pas totalement efficace, car les utilisateurs pourraient toujours accéder à la barre d’adresse de l’Explorateur de fichiers d’un simple clic de la souris. Les pirates fournissent d’ailleurs souvent des instructions détaillées aux utilisateurs au cas où le raccourci clavier ne fonctionnerait pas.

Par conséquent, pour assurer une défense vraiment efficace contre ClickFix, FileFix et tout autre programme similaire, nous recommandons en premier lieu de déployer une solution de sécurité fiable sur l’ensemble des appareils de travail des employés, capable de détecter et de bloquer à temps l’exécution de codes dangereux.

Enfin, nous recommandons de sensibiliser régulièrement les employés aux cybermenaces modernes, notamment aux méthodes d’ingénierie sociale employées dans les techniques ClickFix et FileFix. La plateforme Kaspersky Automated Security Awareness Platform peut aider à automatiser la formation des employés.

Les imprimantes attaquées par… des polices

Nous examinons comment les imprimantes Canon, très répandues, pourraient devenir un point d’ancrage pour les pirates informatiques au sein du réseau d’une organisation.

Conseils

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Pixnapping est une vulnérabilité Android découverte par des chercheurs. Elle permet à des applications de voler des mots de passe, des codes à usage unique et d’autres informations confidentielles à partir de l’écran sans aucune autorisation spéciale du système d’exploitation. En quoi consiste cette vulnérabilité et que pouvez-vous faire pour vous en protéger ?

Extorsion de fonds : comment les escrocs utilisent le chantage

Vous avez reçu un email à caractère menaçant. Que faites-vous ensuite ?

Hacking Black Friday : utiliser les modèles LLM pour faire des économies lors des soldes de fin d’année

Nous partons à la recherche des bonnes affaires d’une nouvelle façon : avec l’IA comme alliée. Lisez cet article pour découvrir des exemples de prompts efficaces.

Confidentialité sur les réseaux sociaux en 2025 : ce que vous devez savoir

Quels réseaux sociaux se contentent principalement d’afficher vos publications à vos amis, et lesquels les utilisent pour l’entraînement de l’IA et le ciblage publicitaire ? Nous examinons le classement 2025 des plateformes de réseaux sociaux populaires sur le plan de la confidentialité.

Protection des enfants

FileFix : une nouvelle variante de ClickFix

Comment les pirates manipulent la victime pour qu’elle exécute leur code

Que se passe-t-il après l’exécution du script malveillant ?

Comment défendre votre entreprise contre les attaques ClickFix et FileFix

Les techniques d’ingénierie sociale

Des attaques informatiques sans programme malveillant

Les imprimantes attaquées par… des polices

Conseils

Vulnérabilité Pixnapping : captures d’écran impossibles à bloquer sur votre téléphone Android

Extorsion de fonds : comment les escrocs utilisent le chantage

Hacking Black Friday : utiliser les modèles LLM pour faire des économies lors des soldes de fin d’année

Confidentialité sur les réseaux sociaux en 2025 : ce que vous devez savoir

Solutions pour les particuliers

TPE

PME

Grande entreprise

Securelist

Eugene Personal Blog

Encyclopédie de Kaspersky