Menaces 2025 : ClickFix, infostealers et IA anti-ransomware

La réalité des cyberattaques en 2025, c’est qu’elles ne gagnent pas seulement en volume. Elles gagnent en vitesse et en créativité. En quelques mois, une technique quasi inconnue peut devenir un standard opérationnel chez les attaquants. C’est exactement ce que montre le Threat Report H1 2025 d’ESET : ClickFix grimpe à une vitesse impressionnante, les infostealers se font régulièrement démanteler… et le monde du ransomware ressemble de plus en plus à une arène où les gangs se sabotent entre eux.

Ce mélange — nouvelles arnaques “simples”, industrialisation du vol d’identifiants, et chaos côté ransomware — pose un problème concret aux équipes sécurité : les défenses “à la main” n’évoluent pas au même rythme. Dans cette série « Intelligence artificielle dans la cybersécurité », j’insiste souvent sur un point : l’IA ne remplace pas les analystes, mais elle permet d’absorber l’échelle et la complexité. Sur ces trois familles de menaces, c’est même devenu une condition de survie.

ClickFix et FakeCaptcha : l’attaque qui contourne vos outils

Réponse directe : ClickFix fonctionne parce qu’elle transforme la victime en “opérateur” de l’attaque, en la poussant à exécuter elle‑même une action dangereuse (coller/valider une commande, autoriser un script, lancer un binaire) tout en pensant résoudre un problème banal.

Pourquoi ClickFix explose en 2025

Les organisations ont investi dans des antivirus nouvelle génération, des filtrages web, des passerelles mail, du sandboxing. Les attaquants, eux, se sont adaptés : plutôt que de forcer un exploit, ils misent sur un scénario où l’utilisateur fait le dernier mètre.

Dans l’exemple cité par ESET, FakeCaptcha détourne un mécanisme familier (la vérification humaine) et amène l’internaute à “prouver qu’il n’est pas un robot”… en exécutant une suite d’actions qui installe une charge malveillante.

Ce qui rend la technique efficace :

• Elle ressemble à de la friction normale (une vérification, un site qui “bug”, une étape de sécurité).
• Elle évite certains contrôles : si l’utilisateur télécharge/ouvre/autorise, on sort du schéma “pièce jointe évidente”.
• Elle s’adapte bien : mêmes scripts, messages localisés, variantes A/B, et ciblage par secteur.

Où l’IA fait une vraie différence contre ClickFix

L’IA est utile ici parce que l’attaque est comportementale, pas uniquement basée sur une signature. Les indicateurs “faibles” pris isolément (copier-coller, exécution powershell, script WSH, navigation vers un domaine récent) deviennent très parlants lorsqu’on les corrèle.

Concrètement, une approche IA (ou ML) bien pensée aide à :

1. Détecter des séquences anormales : navigation → presse‑papiers → exécution d’une commande → connexion sortante inhabituelle.
2. Classer le risque par contexte : poste standard vs poste admin, heure, géolocalisation, historique utilisateur.
3. Réagir vite : isoler la machine, invalider la session, déclencher une collecte forensique.

Phrase à garder en tête : ClickFix n’attaque pas vos pare-feu, elle attaque vos réflexes.

Mesures pratiques (sans attendre un “grand projet”)

• Désactiver/contraindre les interpréteurs sur les postes non‑IT (PowerShell en mode contraint, restriction WSH selon contexte, contrôle d’exécution).
• Réduire les privilèges locaux (oui, c’est vieux. Non, ce n’est pas “réglé” dans la plupart des entreprises).
• Durcir la navigation : blocage des domaines très récents, filtrage DNS, protection contre l’hameçonnage.
• Former avec des scénarios réalistes : un faux “captcha”, un faux message d’erreur, un faux “support”. La sensibilisation doit refléter 2025, pas 2015.

Infostealers : le vol d’identifiants à l’échelle industrielle

Réponse directe : les infostealers restent l’un des meilleurs “ROI” du cybercrime, parce qu’ils monétisent rapidement des identifiants, cookies de session, portefeuilles crypto, accès VPN, et accès SaaS.

Le report mentionne plusieurs opérations de démantèlement majeures sur les 12 derniers mois, notamment Redline/Meta Stealer (fin 2024) et des actions récentes contre LummaStealer et Danabot. Bonne nouvelle ? Oui. Problème : l’économie des infostealers est structurée comme un service, donc elle se recompose vite.

Pourquoi les démantèlements ne suffisent pas

Les offres infostealer-as-a-service attirent des affiliés car elles abaissent les barrières : panneau web, logs “propres”, support, mises à jour, et parfois intégration avec des places de marché. Quand un service tombe, les opérateurs et les affiliés migrent : autre stealer, autre infrastructure, mêmes méthodes.

Donc l’objectif côté défense n’est pas de “survivre au prochain nom” (Lumma, Redline, etc.). C’est de casser la chaîne : infection → collecte → exfiltration → réutilisation.

Comment l’IA aide à limiter l’impact des infostealers

L’IA est particulièrement forte sur deux points : priorisation et corrélation multi-sources.

• Détection d’exfiltration atypique : volumes, destinations, protocoles, timings.
• Repérage de comportements navigateur suspects : extraction de cookies, accès aux coffres, dumping d’identifiants.
• Scoring de compromission d’identité : quand l’IA voit un changement de device, de posture, de géographie + un modèle d’accès SaaS incohérent, elle peut pousser une action (MFA renforcé, réauth, invalidation sessions).

Les contrôles “anti-infostealer” qui paient vite

1. MFA résistant au phishing (FIDO2 / passkeys quand possible) : les stealers adorent les mots de passe et les cookies.
2. Rotation et invalidation des sessions : surtout après suspicion d’infection.
3. Accès conditionnel : posture du poste, risque, géolocalisation, heure, conformité.
4. EDR + télémétrie : sans visibilité endpoint, vous jouez à cache-cache.

Une règle simple : si un infostealer passe, vous devez supposer que l’identité est compromise, pas seulement le poste.

Ransomware en “deathmatch” : opportunité et danger pour les défenseurs

Réponse directe : l’infighting ransomware ne réduit pas automatiquement le risque, car la capacité d’attaque reste disponible, et le chaos peut même augmenter l’imprévisibilité.

Le report décrit une dynamique marquante : un acteur relativement mineur, Dragonforce, aurait attaqué des rivaux en défacant ou en faisant tomber leurs sites de fuite (DLS), y compris ceux de groupes plus établis.

Ce que cette guerre interne change vraiment

• Volatilité des “marques” : un groupe disparaît, un autre récupère outils, affiliés, accès.
• Pression sur la vitesse d’extorsion : pour exister, certains accélèrent le cycle intrusion → chiffrement → publication.
• Augmentation des risques collatéraux : attaques plus agressives, moins “disciplinées”, parfois plus destructrices.

Pour une entreprise, la conclusion est claire : compter sur le désordre chez l’adversaire est une stratégie perdante.

IA et réponse ransomware : où elle apporte le plus

L’IA (et l’automatisation associée) est utile à trois moments :

1. Avant le chiffrement (pré-chiffrement)

   • détection d’exploration anormale (scan SMB, enumeration AD)
   • détection d’escalade de privilèges et mouvements latéraux
   • corrélation d’alertes “faibles” en un incident unique prioritaire

2. Au moment critique (minutes qui comptent)

   • isolement automatique de segments ou d’endpoints
   • blocage de comptes / tokens soupçonnés
   • playbooks SOAR déclenchés selon le score de confiance

3. Après l’incident

   • analyse rapide des chemins d’attaque
   • recherche d’indicateurs proches (machines “frères”, mêmes TTP)
   • durcissement guidé par les données, pas par intuition

Une position assumée : si votre SOC ne peut pas contenir un ransomware en moins d’une heure, il vous faut plus d’automatisation — et souvent plus d’IA.

Construire une défense “IA-ready” (sans empiler des outils)

Réponse directe : une stratégie IA en cybersécurité marche quand les données sont exploitables et les actions sont décidables. Sinon, vous achetez juste du bruit.

Voici un cadre simple, adapté aux menaces du report (ClickFix, infostealers, ransomware) :

1) Unifier la visibilité (le nerf de la guerre)

• Endpoint (EDR)
• Identité (IdP, MFA, logs d’auth)
• Messagerie et web
• Réseau (DNS, proxy, NDR si possible)

L’IA est d’autant plus pertinente qu’elle peut relier : un comportement utilisateur + un événement endpoint + un signal réseau.

2) Miser sur la corrélation et le tri, pas sur la “prédiction magique”

Dans la vraie vie, la valeur vient de :

• réduire le temps moyen de détection
• remonter les incidents “composites” (une campagne, pas 47 alertes)
• prioriser ce qui mène à une perte métier (données, arrêt prod, fraude)

3) Automatiser des actions sûres

Un bon déclenchement automatique n’est pas “tout bloquer”. C’est :

• isoler un endpoint à haut risque
• forcer une réauthentification
• révoquer des sessions
• ouvrir un ticket enrichi (contexte + chronologie + hypothèse)

4) Mesurer ce qui compte

Quelques métriques orientées “réalité opérationnelle” :

• temps pour isoler un poste suspect
• délai entre première alerte et décision (contenu / escalade)
• nombre d’identités révoquées après compromission (et délai)
• taux de faux positifs sur les playbooks automatiques

Questions fréquentes (et réponses franches)

« Si les forces de l’ordre démantèlent des infostealers, le risque baisse ? »

Oui, temporairement. Mais le modèle économique survit. Les entreprises doivent se préparer à la relance : réutilisation d’identifiants, revente d’accès, et attaques opportunistes.

« ClickFix, c’est juste de la sensibilisation ? »

Non. La sensibilisation aide, mais le durcissement endpoint (restrictions d’exécution, moindre privilège, contrôle des scripts) et la détection comportementale sont indispensables.

« L’IA suffit pour arrêter un ransomware ? »

Non. Sauvegardes immuables, segmentation, gestion des identités, patching restent non négociables. L’IA est l’accélérateur : elle réduit le temps entre signal et action.

Ce que je ferais dès la semaine prochaine (plan 10 jours)

Réponse directe : commencez par ce qui réduit le risque rapidement, puis industrialisez.

1. Cartographier vos “chemins rapides” ransomware (AD, sauvegardes, hyperviseurs, VPN).
2. Imposer MFA robuste sur comptes admins + accès distants.
3. Mettre en place des règles de détection sur chaînes ClickFix (scripts, commandes, comportement presse‑papiers quand disponible).
4. Définir un playbook : suspicion infostealer → révoquer sessions → reset mots de passe → recontrôler endpoints.
5. Tester un scénario de confinement en condition réelle (tabletop + exercice technique).

Et maintenant : passer d’une posture réactive à une posture augmentée

Les enseignements H1 2025 sont cohérents : l’attaque se déplace vers l’humain (ClickFix), l’identité (infostealers) et la vitesse (ransomware). Les organisations qui s’en sortent le mieux ne sont pas celles qui “ont le plus d’outils”, mais celles qui transforment leurs signaux en décisions rapides.

Dans une démarche « Intelligence artificielle dans la cybersécurité », l’objectif n’est pas de courir après chaque nouvelle technique. C’est de bâtir une défense capable d’absorber le changement : corrélation, priorisation, automatisation, et boucles d’amélioration continues.

Si votre équipe devait contenir une attaque de type ransomware un lundi matin à 09h12, qu’est-ce qui est automatisé aujourd’hui — et qu’est-ce qui dépend encore d’un échange Slack et d’un “on verra” ?