Faux CAPTCHA : le piège qui installe des malwares

Les bots représentent désormais plus de la moitié du trafic internet, et près de 2 sur 5 sont malveillants. On comprend pourquoi les sites multiplient les contrôles « Je ne suis pas un robot ». Le problème, c’est que les attaquants l’ont compris aussi — et ils exploitent notre réflexe le plus banal : cliquer vite pour accéder au contenu.

Depuis 2024-2025, on voit se généraliser une famille d’arnaques très rentable : les faux CAPTCHA (ou pages de “vérification humaine” frauduleuses). Elles ne cherchent pas à vous faire recopier des lettres tordues ou à choisir des feux rouges sur des images. Elles cherchent à vous faire exécuter une commande sur votre machine. Et quand ça marche, l’issue est souvent la même : vol de mots de passe, prise de contrôle de session, ou dépôt d’un ransomware.

Dans cette publication de notre série « Intelligence artificielle dans la cybersécurité », je prends un angle simple : les faux CAPTCHA ne sont pas seulement un sujet “grand public”. Ce sont un cas d’école de social engineering industrialisé, et l’IA est à la fois une arme pour les attaquants… et un excellent bouclier pour les défenseurs.

Pourquoi les faux CAPTCHA fonctionnent aussi bien (et pourquoi ça s’aggrave)

Un faux CAPTCHA marche parce qu’il s’attaque à un automatisme. On fait confiance à ce type de contrôle : il est devenu un rituel du web, comme le paiement 3D Secure ou les doubles confirmations.

Le combo gagnant : confiance, impatience, routine

Le schéma psychologique est presque toujours le même :

• Familiarité : “Ah, encore un reCAPTCHA… ok.”
• Impatience : on veut lire l’article, télécharger le document, accéder au service.
• Routine multi-étapes : on est déjà habitué à valider, recopier, confirmer, puis reconfirmer.

Les attaquants n’ont pas besoin d’être subtils. Ils ont juste besoin d’être plausibles pendant 10 secondes.

L’IA côté attaquant : des campagnes plus propres, plus massives

L’accélérateur, c’est l’usage de l’IA générative pour industrialiser le social engineering :

• textes de phishing quasi parfaits, sans fautes grossières
• adaptation en plusieurs langues (dont un français très correct)
• variantes A/B de pages de vérification pour contourner les filtres
• ciblage plus précis (thèmes, métiers, périodes)

En décembre 2025, avec les pics saisonniers (achats de fin d’année, e-cards, livraison, bilans comptables), ce type de tromperie trouve un terrain fertile : on clique plus vite, souvent depuis un poste perso, parfois hors VPN, parfois sur mobile.

À quoi ressemble un faux CAPTCHA “ClickFix” dans la vraie vie

Le signe distinctif n’est pas l’apparence. Les pages sont souvent convaincantes. Le signal d’alarme, c’est ce qu’on vous demande de faire.

Les demandes qui doivent vous faire couper net

Un CAPTCHA légitime vous demandera une action dans le navigateur (cocher une case, sélectionner des images). Un faux CAPTCHA façon “ClickFix” demande souvent :

1. de cliquer pour “vérifier”
2. d’appuyer sur Windows + R (ouvrir Exécuter)
3. de coller (CTRL + V) une commande “déjà copiée”
4. d’appuyer sur Entrée

Ce scénario est une passerelle vers des outils Windows légitimes (PowerShell, mshta.exe, parfois cmd) utilisés pour télécharger un second payload depuis un serveur externe.

Phrase à retenir : un CAPTCHA qui vous fait quitter le navigateur n’est pas un CAPTCHA.

Ce que l’attaquant cherche à installer

Le plus souvent, la cible finale est un infostealer (logiciel voleur d’informations). Les chiffres donnent le vertige : au moins 23 millions de victimes d’infostealers en 2024 et plus de deux milliards d’identifiants subtilisés.

Concrètement, un infostealer vise :

• identifiants enregistrés dans les navigateurs
• cookies et jetons de session (pour “se connecter sans mot de passe”)
• comptes mail et messageries
• portefeuilles crypto
• captures d’écran, presse-papiers, saisies clavier (keylogging)

Autre charge utile fréquente : le RAT (Remote Access Trojan), qui donne un accès distant à la machine. Des souches comme AsyncRAT restent très présentes dans les incidents.

Pourquoi l’IA est un vrai avantage défensif contre ce type d’attaque

Bloquer les faux CAPTCHA uniquement avec des règles statiques (listes noires, signatures) est insuffisant. Les attaquants changent d’URL, d’hébergement, de visuel et de texte en continu. L’approche la plus efficace combine détection comportementale et analyse par IA.

Détection IA : repérer l’intention, pas juste la page

Les bons signaux ne sont pas “est-ce que l’image ressemble à un reCAPTCHA”. Ils sont plutôt :

• la page pousse à lancer PowerShell ou mshta
• tentative de copier une commande dans le presse-papiers via script
• chaîne d’exécution typique : navigateur → commande → téléchargement → persistance
• corrélation avec une navigation issue d’un email/SMS récemment reçu

Les modèles de détection (souvent intégrés aux EDR/XDR) excellent pour repérer :

• des séquences anormales d’événements sur le poste
• des comportements “living off the land” (outils Windows utilisés à des fins malveillantes)
• des patterns de communication sortante vers des infrastructures éphémères

L’IA dans le navigateur et côté proxy : casser la chaîne avant exécution

Les entreprises qui réduisent vraiment le risque agissent avant le poste utilisateur :

• filtrage web avec classification dynamique (pages nouvellement vues, faible réputation)
• détection de scripts suspects (presse-papiers, redirections en chaîne, faux boutons)
• analyse de pages à la volée (sandboxing) pour observer les comportements

L’objectif est simple : éviter que l’utilisateur arrive sur la page, parce qu’une fois la manipulation lancée, l’erreur humaine devient probable.

Mesures concrètes : une checklist qui tient en 10 minutes

Vous n’avez pas besoin d’un programme de transformation sur 12 mois pour faire baisser ce risque. Voici ce qui marche vite — et ce qui change vraiment la donne.

Côté utilisateurs (pratico-pratique)

• Coupez court aux CAPTCHA qui demandent Windows + R, CTRL + V ou une commande.
• Méfiez-vous des pages de vérification qui “apparaissent de nulle part” (surtout après un clic depuis un message).
• Évitez les téléchargements hors stores officiels et les logiciels piratés (vecteur fréquent de malvertising).
• Activez un bloqueur de publicités sur les postes non administrés (ou appliquez une politique d’entreprise équivalente).

Côté entreprise (ce que je recommande en priorité)

1. EDR/XDR avec détection comportementale : indispensable contre PowerShell et les charges fileless.
2. Durcissement PowerShell : journalisation, mode contraint lorsque possible, alertes sur commandes encodées.
3. Filtrage DNS/Web : blocage des domaines jeunes, inconnus, ou à réputation faible.
4. MFA partout + résistance au vol de session : idéalement avec politiques de risque (connexion “impossible travel”, nouvel appareil, etc.).
5. Sensibilisation courte mais fréquente : 10 minutes par trimestre sur les faux CAPTCHA valent mieux qu’un e-learning annuel oublié.

Une règle opérationnelle utile : si une “vérification” vous demande une action système, c’est une tentative d’exécution.

Si quelqu’un a exécuté la commande : plan d’action immédiat

Quand un faux CAPTCHA a été “validé” au sens ClickFix, il faut agir comme si des identifiants étaient déjà compromis. La rapidité compte.

Les 6 actions à déclencher

1. Déconnecter du réseau (Wi‑Fi/Ethernet) pour casser l’exfiltration.
2. Scanner avec un outil de sécurité à jour (idéalement via EDR géré).
3. Sauvegarder les fichiers essentiels (sans recopier d’exécutables douteux).
4. Réinitialiser le poste si le doute persiste (réinstallation / retour usine selon contexte).
5. Changer les mots de passe depuis un appareil sain, avec un gestionnaire de mots de passe.
6. Activer/renforcer la MFA et révoquer les sessions actives (cookies/jetons) quand c’est possible.

Point souvent oublié : la compromission de session

Même avec MFA, certains infostealers volent des cookies/jetons permettant de reprendre une session déjà ouverte. Côté entreprise, prévoyez :

• révocation de tokens
• rotation de clés API
• contrôle des connexions récentes
• surveillance des règles de messagerie (redirections, filtres frauduleux)

Les faux CAPTCHA : un signal faible d’un problème plus large

On pourrait traiter ça comme une “arnaque de plus”. Je pense que ce serait une erreur. Les faux CAPTCHA montrent une tendance de fond : l’attaque se déplace vers l’interface entre humain et machine. Et c’est précisément là que l’IA, bien utilisée, devient un avantage : elle détecte des patterns invisibles à l’œil nu et trop rapides pour des approches purement manuelles.

Si vous travaillez dans un contexte public ou privé, posez-vous une question simple : vos contrôles actuels savent-ils repérer une chaîne navigateur → commande → téléchargement en moins de 60 secondes ? Si la réponse est “pas sûr”, vous avez un angle mort exploitable.

La bonne nouvelle : ce risque se réduit vite avec une combinaison de détection par IA, de durcissement des postes, et d’une hygiène d’authentification (MFA, gestionnaire, révocation des sessions). Le reste, c’est de la discipline.

Et vous, dans votre organisation, qui est responsable d’identifier ce type de manipulation — l’utilisateur, l’IT, la sécurité… ou personne ?