ClickFix, le faux CAPTCHA qui pousse l'utilisateur à s'infecter lui-même, vient de franchir un palier. Plus de 250 sites WordPress transformés en pièges.
La première apparition documentée de ClickFix remonte à 2024. À l'époque, le procédé avait déjà inquiété les chercheurs en sécurité : un faux formulaire de vérification, une commande à copier-coller, et le logiciel malveillant s'installe sans forcer aucune porte. Ce qui ressemblait alors à une curiosité de laboratoire s'est depuis transformé en opération criminelle structurée. Les chercheurs de Rapid7 en ont cartographié la nouvelle ampleur, et le tableau est préoccupant.
Une campagne active depuis décembre 2025
L'opération a démarré en décembre 2025 et reste active à l'heure actuelle. Rapid7 a identifié plus de 250 sites WordPress piratés, reconvertis en relais d'infection. Aucun secteur d'activité n'est épargné en particulier : médias locaux, petites entreprises, associations... La seule constante, c'est WordPress comme terrain de jeu.
- moodVersion d'essai disponible
- settingsHébergé / pré-installé
- storage1 Go à 200 Go de stockage
- extensionPlugins disponibles
- format_paintThemes disponibles
- shopping_bagAdapté aux sites e-commerce
Le mécanisme est bien rodé. L'internaute atterrit sur un site compromis et se voit présenter une page imitant le système de vérification de Cloudflare. Ce faux CAPTCHA lui demande d'ouvrir la fenêtre « Exécuter » de Windows (ou le Terminal dans macOS et d'y coller une commande. Cette commande déclenche le téléchargement silencieux d'un logiciel espion. La cible : les identifiants de connexion, les témoins d'authentification et les portefeuilles de cryptomonnaies stockés en local.
WordPress, rappelons-le, n'en est pas à sa première mésaventure. Une faille critique découverte en 2024 avait permis à des attaquants de prendre le contrôle administrateur de 60 000 sites. La plateforme, qui fait tourner plus d'un tiers des sites du web mondial, reste une cible de choix par l'ampleur de sa surface exposée.
De la technique artisanale à l'outil industriel
Ce qui frappe dans cette campagne, ce n'est pas le procédé lui-même. ClickFix est documenté et connu des équipes de sécurité. Ce qui change, c'est son déploiement à grande échelle sur un réseau de sites piratés. On ne parle plus d'une opération ciblant un profil précis : on parle d'un filet jeté large, automatisé, dont la logique est purement volumétrique.
La force de l'attaque tient aussi à sa discrétion technique. Aucune faille du navigateur n'est exploitée. Aucun fichier suspect ne transite par le réseau. C'est le système d'exploitation lui-même qui exécute la commande, via un outil Windows parfaitement légitime. Les solutions de sécurité classiques peinent à intercepter ce vecteur, précisément parce qu'il emprunte des chemins habituellement autorisés.
La trajectoire de ClickFix est révélatrice d'une tendance plus large : les méthodes criminelles qui fonctionnent ne restent pas artisanales longtemps. En 18 mois, ce procédé est passé du stade expérimental à celui d'infrastructure déployée à l'échelle. Pour les administrateurs WordPress, la réponse passe par une surveillance active des modifications de fichiers et une politique stricte de mise à jour. Pas de remède miracle : juste de la rigueur.
La vraie question n'est pas de savoir si ClickFix va continuer à évoluer. C'est de savoir combien de sites servent déjà de pièges sans que leurs propriétaires le sachent.
