Une fausse erreur technique dans un contexte de confiance suffit à faire installer un malware (ClickFix)

Ce qu’il faut retenir

Le ClickFix exploite le réflexe de résolution de problème : face à une erreur technique pendant un appel, l’instinct est de corriger pour continuer. Ne jamais installer un logiciel ou exécuter une commande suggérée par un interlocuteur lors d’un appel vidéo, quelle que soit la légitimité apparente du contexte.

La réaction de Wessman est utile à retenir : quand il a refusé l’installation, les attaquants ont immédiatement proposé une alternative (curl) puis sont partis. Pression croissante puis disparition — c’est le pattern.

Illustrations

Cas 1 : Axios / UNC1069 — faux appel Teams (2026)

Ce qui s’est passé : Pendant un faux appel Microsoft Teams, les attaquants ont affiché un message d’erreur indiquant qu’un composant était obsolète et qu’une mise à jour était nécessaire pour continuer. La cible a installé la “mise à jour Teams” — en réalité un RAT (Remote Access Trojan) qui a donné aux attaquants un accès complet à la machine. Un autre mainteneur ciblé (Pelle Wessman, mainteneur de Mocha) a refusé d’installer l’application — les attaquants ont alors tenté de lui faire exécuter une commande curl. Quand il a refusé, ils ont disparu et supprimé toutes les conversations.

Pourquoi c’est arrivé : Le pattern ClickFix exploite le réflexe de résolution de problème : face à une erreur technique dans un contexte professionnel, l’instinct est de “corriger pour continuer”. Le message d’erreur n’est pas suspect en lui-même — des erreurs techniques arrivent. C’est le contexte préalable (faux Slack crédible, réunion planifiée) qui désactive la méfiance.

Conséquences : Installation d’un RAT → capture des credentials npm → publication de versions malveillantes d’Axios → supply chain compromise touchant les projets utilisant Axios.

Articles liés

• Axios npm hack — BleepingComputer — angle : post-mortem complet
• Device code phishing attacks surge 37x — angle : autre technique d’ingénierie sociale en forte progression

Principes liés

• Un environnement fictif crédible suffit à établir la confiance avant une attaque d’ingénierie sociale
• Compromettre un mainteneur de package populaire revient à compromettre tous les projets qui en dépendent