🕵️ L'arnaque du mois

L'arnaque du mois : ClickFix, le faux captcha qui vous fait pirater votre propre ordinateur

Une page « Vérifiez que vous êtes humain » vous demande de coller une commande avec Windows + R ? C'est ClickFix, l'arnaque qui a explosé ce printemps. Décryptage et parades.

Publié le 1 juillet 2026 · 3 min de lecture

Chaque mois, nous décryptons une arnaque réellement observée en circulation. Ce mois-ci : ClickFix, une technique redoutable qui a explosé ce printemps - et dont la force est de vous faire exécuter vous-même le logiciel malveillant.

Le scénario type

Vous naviguez sur un site (parfois un site légitime piraté), ou vous cliquez sur un lien reçu par email. Une page s'affiche, imitant un contrôle de sécurité familier : un captcha Cloudflare « Vérifiez que vous êtes humain », une fausse erreur Google Chrome, ou un message « Impossible d'afficher ce document ».

Pour « corriger le problème », la page vous guide pas à pas :

  1. Appuyez sur Windows + R (ou ouvrez le terminal sur Mac)
  2. Collez le texte déjà copié dans votre presse-papiers (Ctrl + V)
  3. Appuyez sur Entrée

Trois gestes anodins. Sauf que la page a discrètement placé dans votre presse-papiers une commande qui télécharge et exécute un logiciel malveillant - le plus souvent un voleur de mots de passe, qui aspire en quelques secondes tous les identifiants, cookies de session et données bancaires enregistrés dans votre navigateur.

Pourquoi cette arnaque fonctionne si bien

  • Elle contourne vos protections. Ce n'est pas une pièce jointe piégée ni un téléchargement suspect : c'est vous qui tapez la commande. Beaucoup d'antivirus laissent passer, puisque l'action vient de l'utilisateur légitime.
  • Elle imite des gestes devenus banals. Nous avons été conditionnés à cliquer sur des captchas sans réfléchir. ClickFix exploite exactement cet automatisme.
  • Elle cible tout le monde. Particuliers via de faux sites de streaming ou de fausses mises à jour, salariés via de faux emails de visioconférence ou de fausses erreurs de document RH.

La règle d'or pour ne jamais se faire avoir

Réflexe Cyvio : aucun site web légitime ne vous demandera jamais d'ouvrir Windows + R, un terminal ou une invite de commandes. Jamais, dans aucun contexte. Cette demande = arnaque, à 100 %, sans exception.

C'est ce qui rend ClickFix à la fois dangereux et facile à neutraliser : contrairement à un faux email parfois difficile à distinguer d'un vrai, ici un seul signe suffit à trancher.

Si vous avez déjà exécuté la commande

  1. Déconnectez la machine d'Internet (Wi-Fi coupé, câble débranché).
  2. Lancez une analyse antivirus complète ; en cas de doute sur un poste professionnel, prévenez immédiatement votre service informatique - ce n'est pas une honte, c'est le bon réflexe, et chaque minute compte.
  3. Depuis un autre appareil sain, changez vos mots de passe critiques (email principal en premier, puis banque), et déconnectez les sessions actives de vos comptes.
  4. Surveillez vos comptes bancaires les jours suivants, et signalez l'attaque sur cybermalveillance.gouv.fr.

S'entraîner à reconnaître ces pièges

La théorie ne suffit pas : c'est en manipulant de vrais exemples qu'on ancre les réflexes. Les abonnés Cyvio retrouvent la leçon interactive complète sur ClickFix dans le parcours L'arnaque du mois, et vous pouvez déjà évaluer vos réflexes avec notre test anti-phishing gratuit - 1 minute, sans compte.

L'équipe Cyvio

Articles rédigés par le fondateur de Cyvio, ingénieur cybersécurité en exercice. Chaque conseil vient du terrain : les attaques décrites ici sont celles que nous voyons réellement circuler.

Sauriez-vous repérer une arnaque ?

Testez-vous en 1 minute sur 5 vrais exemples de SMS et d'emails - gratuit, sans compte.

🎣 Faire le test anti-phishing