{"id":23419,"date":"2025-12-10T18:34:03","date_gmt":"2025-12-10T16:34:03","guid":{"rendered":"https:\/\/www.kaspersky.fr\/blog\/?p=23419"},"modified":"2025-12-10T18:34:03","modified_gmt":"2025-12-10T16:34:03","slug":"filefix-attack-windows-file-explorer","status":"publish","type":"post","link":"https:\/\/www.kaspersky.fr\/blog\/filefix-attack-windows-file-explorer\/23419\/","title":{"rendered":"FileFix : une nouvelle variante de ClickFix"},"content":{"rendered":"

Nous avons r\u00e9cemment pr\u00e9sent\u00e9 la technique ClickFix<\/a>. Aujourd\u2019hui, des acteurs malveillants ont commenc\u00e9 \u00e0 d\u00e9ployer une nouvelle variante de cette m\u00e9thode, baptis\u00e9e \u00ab\u00a0FileFix\u00a0\u00bb par les chercheurs. Le principe fondamental reste le m\u00eame : utiliser des techniques d\u2019ing\u00e9nierie sociale pour inciter la victime \u00e0 ex\u00e9cuter \u00e0 son insu un code malveillant sur son propre appareil. La diff\u00e9rence entre ClickFix et FileFix r\u00e9side essentiellement dans l\u2019endroit o\u00f9 la commande est ex\u00e9cut\u00e9e.<\/p>\n

Avec ClickFix, les pirates persuadent la victime d\u2019ouvrir la bo\u00eete de dialogue Ex\u00e9cuter de Windows et d\u2019y coller une commande malveillante. Par contre, dans le cas de FileFix, les cybercriminels manipulent la victime en lui faisant coller une commande dans la barre d\u2019adresse de l\u2019Explorateur de fichiers Windows. Du point de vue de l\u2019utilisateur, cette action ne para\u00eet pas anormale\u00a0: la fen\u00eatre de l\u2019Explorateur de fichiers est couramment utilis\u00e9e, ce qui rend son utilisation moins susceptible d\u2019\u00eatre per\u00e7ue comme dangereuse. Par cons\u00e9quent, les utilisateurs qui ne connaissent pas cette technique sont nettement plus susceptibles de se faire pi\u00e9ger par l\u2019escroquerie FileFix.<\/p>\n

Comment les pirates manipulent la victime pour qu\u2019elle ex\u00e9cute leur code<\/h2>\n

Tout comme ClickFix, une attaque FileFix commence lorsqu\u2019un utilisateur est redirig\u00e9, le plus souvent via un email de phishing, vers une page qui imite le site Web d\u2019un service en ligne l\u00e9gitime. Le site frauduleux affiche un message d\u2019erreur emp\u00eachant l\u2019acc\u00e8s aux fonctionnalit\u00e9s normales du service. Pour r\u00e9soudre le probl\u00e8me, l\u2019utilisateur est invit\u00e9 \u00e0 suivre une s\u00e9rie d\u2019\u00e9tapes afin de proc\u00e9der \u00e0 une \u00ab\u00a0v\u00e9rification de l\u2019environnement\u00a0\u00bb ou \u00e0 un \u00ab\u00a0diagnostic\u00a0\u00bb.<\/p>\n

Pour ce faire, l\u2019utilisateur est inform\u00e9 qu\u2019il doit ex\u00e9cuter un fichier particulier qui, selon les pirates, se trouve d\u00e9j\u00e0 sur l\u2019ordinateur de la victime ou vient d\u2019\u00eatre t\u00e9l\u00e9charg\u00e9. Il suffit \u00e0 l\u2019utilisateur de copier le chemin d\u2019acc\u00e8s au fichier local et de le coller dans la barre d\u2019adresse de l\u2019Explorateur de fichiers Windows. En effet, le champ \u00e0 partir duquel l\u2019utilisateur est invit\u00e9 \u00e0 copier la cha\u00eene affiche le chemin d\u2019acc\u00e8s au fichier, d\u2019o\u00f9 le nom \u00ab\u00a0FileFix\u00a0\u00bb donn\u00e9 \u00e0 cette attaque. L\u2019utilisateur est ensuite invit\u00e9 \u00e0 ouvrir l\u2019Explorateur de fichiers, \u00e0 appuyer sur les touches [CTRL] + [L] pour mettre en \u00e9vidence la barre d\u2019adresse, \u00e0 coller le \u00ab\u00a0chemin d\u2019acc\u00e8s au fichier\u00a0\u00bb \u00e0 l\u2019aide de la combinaison [CTRL] + [V], puis \u00e0 appuyer sur [ENTR\u00c9E].<\/p>\n

Voici le pi\u00e8ge\u00a0: le chemin d\u2019acc\u00e8s visible au fichier ne correspond qu\u2019aux derni\u00e8res dizaines de caract\u00e8res d\u2019une commande beaucoup plus longue. Le chemin d\u2019acc\u00e8s au fichier est pr\u00e9c\u00e9d\u00e9 d\u2019une s\u00e9rie d\u2019espaces, et avant cela se trouve la charge utile malveillante que les pirates ont l\u2019intention d\u2019ex\u00e9cuter. Ces espaces sont essentiels pour s\u2019assurer que l\u2019utilisateur ne voit rien de suspect apr\u00e8s avoir coll\u00e9 la commande. \u00c9tant donn\u00e9 que la cha\u00eene compl\u00e8te est nettement plus longue que la zone visible de la barre d\u2019adresse, seul le chemin d\u2019acc\u00e8s au fichier inoffensif reste visible. Le contenu r\u00e9el n\u2019est r\u00e9v\u00e9l\u00e9 que si les informations sont coll\u00e9es dans un fichier texte plut\u00f4t que dans la fen\u00eatre de l\u2019Explorateur de fichiers. Par exemple, dans un article de Bleeping Computer<\/a> inspir\u00e9 des recherches men\u00e9es par Expel, il a \u00e9t\u00e9 d\u00e9couvert que la commande r\u00e9elle lan\u00e7ait un script PowerShell via conhost.exe.<\/p>\n

\"Exemple<\/a>

L\u2019utilisateur pense coller un chemin d\u2019acc\u00e8s \u00e0 un fichier, mais la commande contient en r\u00e9alit\u00e9 un script PowerShell. Source <\/a><\/p><\/div>\n

Que se passe-t-il apr\u00e8s l\u2019ex\u00e9cution du script malveillant\u00a0?<\/h2>\n

Un script PowerShell ex\u00e9cut\u00e9 par un utilisateur l\u00e9gitime peut causer des probl\u00e8mes de multiples fa\u00e7ons. Tout d\u00e9pend des strat\u00e9gies de s\u00e9curit\u00e9 de l\u2019entreprise, des privil\u00e8ges de l\u2019utilisateur concern\u00e9 et de la pr\u00e9sence de solutions de s\u00e9curit\u00e9 sur l\u2019ordinateur de la victime. Dans le cas<\/a> mentionn\u00e9 pr\u00e9c\u00e9demment, l\u2019attaque a utilis\u00e9 une technique appel\u00e9e \u00ab\u00a0cache smuggling\u00a0\u00bb (attaque par manipulation du cache). Le m\u00eame faux site qui a mis en \u0153uvre la technique FileFix a enregistr\u00e9 un fichier au format JPEG dans le cache du navigateur, mais ce fichier contenait en r\u00e9alit\u00e9 une archive avec un programme malveillant. Le script malveillant a ensuite extrait ce programme malveillant et l\u2019a ex\u00e9cut\u00e9 sur l\u2019ordinateur de la victime. Cette m\u00e9thode permet de transmettre la charge utile malveillante finale \u00e0 l\u2019ordinateur sans t\u00e9l\u00e9chargement de fichiers apparent ni requ\u00eates r\u00e9seau suspectes, ce qui la rend particuli\u00e8rement furtive.<\/p>\n

Comment d\u00e9fendre votre entreprise contre les attaques ClickFix et FileFix<\/h2>\n

Dans notre article portant sur la technique d\u2019attaque ClickFix, nous avons expliqu\u00e9 que la d\u00e9fense la plus simple consistait \u00e0 bloquer la combinaison de touches [Win] + [R] sur les appareils de travail. Il est extr\u00eamement rare qu\u2019un employ\u00e9 de bureau ordinaire ait r\u00e9ellement besoin d\u2019ouvrir la bo\u00eete de dialogue Ex\u00e9cuter. Dans le cas de FileFix, la situation est un peu plus complexe, car copier une commande dans la barre d\u2019adresse est tout \u00e0 fait normal pour un utilisateur.<\/p>\n

Le blocage du raccourci [CTRL] + [L] est peu souhaitable pour deux raisons. Tout d\u2019abord, cette combinaison est fr\u00e9quemment utilis\u00e9e dans diverses applications pour des raisons l\u00e9gitimes et vari\u00e9es. Deuxi\u00e8mement, cette solution ne serait pas totalement efficace, car les utilisateurs pourraient toujours acc\u00e9der \u00e0 la barre d\u2019adresse de l\u2019Explorateur de fichiers d\u2019un simple clic de la souris. Les pirates fournissent d\u2019ailleurs souvent des instructions d\u00e9taill\u00e9es aux utilisateurs au cas o\u00f9 le raccourci clavier ne fonctionnerait pas.<\/p>\n

Par cons\u00e9quent, pour assurer une d\u00e9fense vraiment efficace contre ClickFix, FileFix et tout autre programme similaire, nous recommandons en premier lieu de d\u00e9ployer une solution de s\u00e9curit\u00e9 fiable<\/a> sur l\u2019ensemble des appareils de travail des employ\u00e9s, capable de d\u00e9tecter et de bloquer \u00e0 temps l\u2019ex\u00e9cution de codes dangereux.<\/p>\n

Enfin, nous recommandons de sensibiliser r\u00e9guli\u00e8rement les employ\u00e9s aux cybermenaces modernes, notamment aux m\u00e9thodes d\u2019ing\u00e9nierie sociale employ\u00e9es dans les techniques ClickFix et FileFix. La plateforme Kaspersky Automated Security Awareness Platform<\/a> peut aider \u00e0 automatiser la formation des employ\u00e9s.<\/p>\n\n","protected":false},"excerpt":{"rendered":"

Des acteurs malveillants ont commenc\u00e9 \u00e0 utiliser une nouvelle variante de la technique ClickFix, baptis\u00e9e \u00ab FileFix \u00bb. Nous vous expliquons son fonctionnement et comment prot\u00e9ger votre entreprise contre ce type d’attaque.<\/p>\n","protected":false},"author":2726,"featured_media":23422,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[2112,3150,3151],"tags":[4546,242,4572,533,204,2703,23],"class_list":{"0":"post-23419","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-business","8":"category-enterprise","9":"category-smb","10":"tag-clickfix","11":"tag-entreprises","12":"tag-filefix","13":"tag-ingenierie-sociale","14":"tag-menaces","15":"tag-navigateurs","16":"tag-windows"},"hreflang":[{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/filefix-attack-windows-file-explorer\/23419\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/filefix-attack-windows-file-explorer\/29814\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/24884\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/13034\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/filefix-attack-windows-file-explorer\/29701\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/28791\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/filefix-attack-windows-file-explorer\/31673\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/filefix-attack-windows-file-explorer\/30319\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/filefix-attack-windows-file-explorer\/40857\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/filefix-attack-windows-file-explorer\/14081\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/filefix-attack-windows-file-explorer\/54752\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/filefix-attack-windows-file-explorer\/24526\/"},{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/filefix-attack-windows-file-explorer\/32969\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/filefix-attack-windows-file-explorer\/29938\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/filefix-attack-windows-file-explorer\/35648\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/filefix-attack-windows-file-explorer\/35276\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.fr\/blog\/tag\/ingenierie-sociale\/","name":"ing\u00e9nierie sociale"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23419","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/users\/2726"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/comments?post=23419"}],"version-history":[{"count":3,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23419\/revisions"}],"predecessor-version":[{"id":23424,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/posts\/23419\/revisions\/23424"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media\/23422"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/media?parent=23419"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/categories?post=23419"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.fr\/blog\/wp-json\/wp\/v2\/tags?post=23419"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}