IA et cybermenaces 2025 : agir face à ClickFix

Une hausse de plus de 500% en quelques mois pour une nouvelle technique d’attaque, et beaucoup d’entreprises n’en ont jamais entendu parler. C’est exactement ce que révèle le panorama du premier semestre 2025 : les attaquants n’ont pas seulement “inventé” de nouveaux malwares, ils ont surtout industrialisé des méthodes qui contournent les défenses classiques.

Le rapport de référence publié mi-2025 par les équipes de recherche d’ESET met en évidence quatre signaux forts : l’explosion de ClickFix (deuxième vecteur après le phishing), les bascules rapides dans le monde des infostealers, l’accélération des menaces Android (adware et fraude NFC), et un écosystème ransomware toujours plus chaotique… mais pas forcément plus rentable.

Dans cette série “Intelligence artificielle dans la cybersécurité”, je défends une idée simple : si vos contrôles reposent surtout sur des règles fixes, vous êtes en retard. Les tendances 2025 montrent que la vitesse d’adaptation des attaquants dépasse celle des mises à jour de procédures. L’IA (bien utilisée) sert justement à réduire ce décalage : détection comportementale, triage d’alertes, corrélation multi-sources, réponse plus rapide.

ClickFix : l’attaque qui transforme l’utilisateur en “exécutant”

ClickFix marche parce qu’il déplace l’attaque dans la zone grise entre “outil légitime” et “action légitime”. Au lieu d’exploiter une faille technique spectaculaire, l’attaquant pousse la victime à exécuter elle-même une commande malveillante sous prétexte de “réparer une erreur”.

Concrètement, l’utilisateur tombe sur une fausse page d’erreur, un message de type support, ou une instruction “copiez-collez cette commande dans votre terminal/PowerShell pour résoudre le problème”. La charge utile à la fin peut varier : infostealer, ransomware, voire outillage associé à des opérations étatiques. Et surtout : le vecteur se décline sur Windows, macOS et Linux.

Pourquoi ClickFix passe sous le radar

Le cœur du problème, c’est que la séquence ressemble à une action d’assistance. Dans beaucoup d’organisations, exécuter des commandes, installer un “patch”, autoriser une macro, ou “valider un certificat” fait partie du quotidien. Les attaquants s’appuient sur :

• la fatigue décisionnelle (trop d’alertes, trop de pop-ups) ;
• la pression du résultat (“faut que ça remarche tout de suite”) ;
• l’illusion d’un geste technique légitime (“c’est une commande standard”).

Ce que l’IA peut faire, concrètement, contre ClickFix

L’IA est utile ici parce que l’attaque est comportementale. Ce n’est pas uniquement une signature de malware.

1. Détection d’anomalies de scripts et commandes : un modèle qui apprend les séquences habituelles (PowerShell, bash, zsh) peut relever une commande rare, exécutée à un moment incohérent, par un utilisateur qui n’a pas ce profil.
2. Corrélation multi-événements : visite d’un domaine fraîchement créé → copie dans le presse-papiers → exécution terminal → création de tâche planifiée. Pris séparément, c’est “bruit”. Corrélé, c’est un scénario.
3. Priorisation et réponse assistée : l’IA générative peut aider un analyste à résumer le contexte, proposer une check-list de confinement, et rédiger des actions immédiates (isoler poste, révoquer tokens, réinitialiser sessions).

Phrase à garder en tête : ClickFix n’exploite pas une vulnérabilité, il exploite un réflexe.

Infostealers 2025 : la donnée d’accès devient la monnaie

Les infostealers restent l’un des meilleurs retours sur investissement pour les cybercriminels : voler des identifiants, des cookies de session, des portefeuilles crypto, des données de navigateur, puis monétiser rapidement.

Le rapport H1 2025 montre une bascule nette : Agent Tesla décline, tandis que SnakeStealer (Snake Keylogger) devient l’infostealer le plus détecté dans la télémétrie. Dans le même temps, des opérations de perturbation ont visé des acteurs “malware-as-a-service” comme Lumma Stealer et Danabot.

Pourquoi ces bascules comptent pour les défenseurs

Le message n’est pas “tel malware remplace tel autre”. Le message, c’est que l’écosystème est fluide : quand un service tombe, un autre prend la place, parfois en quelques semaines. Les équipes sécurité qui attendent un “top 10 stable” se trompent de bataille.

Ce qui devient critique :

• surveiller les signaux de compromission d’identités (sessions anormales, MFA fatigue, tokens réutilisés) ;
• réduire la valeur des données volées (moindre persistance de session, rotation, segmentation) ;
• accélérer la détection post-compromission, pas seulement l’antivirus.

Où l’IA aide le plus sur les infostealers

L’IA apporte un avantage net sur la détection d’usage frauduleux des accès :

• Modèles de User and Entity Behavior Analytics (UEBA) : détection d’un changement brutal de localisation, de device fingerprint, de modèle d’accès aux applications SaaS.
• Classification intelligente des alertes d’authentification : réduction du bruit, mise en avant des événements à fort risque (impossible travel, token replay, atypie horaire).
• Détection de collecte automatisée : accès en rafale à des boîtes mail, export massif, requêtes API inhabituelles.

Android : adware en hausse, NFC en forte accélération

Sur Android, deux tendances se détachent :

• les détections d’adware grimpent de 160%, portées par une nouvelle menace décrite comme sophistiquée ;
• la fraude via NFC explose avec une hausse de plus de 35 fois, même si les volumes globaux restent plus modestes.

Kaleidoscope : la stratégie de “jumeau maléfique”

Le mécanisme est simple à décrire et pénible à contrer : un attaquant diffuse une application qui ressemble à une app légitime (ou s’en inspire fortement), mais qui bombarde l’utilisateur de publicités intrusives, dégrade les performances et peut servir de marchepied pour d’autres abus.

Le risque côté entreprise est réel, surtout avec le BYOD : baisse de performance, collecte de données, redirections, et parfois introduction d’autres charges.

NFC : l’attaque suit les usages du paiement sans contact

La fraude NFC progresse parce que le sans contact est devenu un réflexe. Les attaquants l’ont compris et itèrent vite : campagnes de phishing, relais, nouvelles variantes (on a vu ces derniers cycles se succéder rapidement). Ce n’est pas une menace “de laboratoire”, c’est une course d’adaptation.

Position claire : si vous gérez des flottes mobiles (ou des populations terrain), traiter la sécurité mobile comme un sujet secondaire en 2025 n’est plus défendable.

IA + mobile : le duo qui manque souvent

Sur mobile, l’IA est surtout utile pour :

• repérer des patterns d’installation et de permissions incohérents (app lampe torche qui veut l’accessibilité, SMS, overlay, etc.) ;
• détecter les comportements anormaux (surconsommation réseau, réveils fréquents, superpositions) ;
• scorer le risque device/utilisateur et déclencher des contrôles adaptatifs (accès conditionnel, step-up MFA).

Ransomware : plus de gangs, moins de paiements

Le paysage ransomware continue de se fragmenter : rivalités, fuites, rebrandings, et tensions entre groupes. Le rapport évoque aussi un point qui mérite qu’on s’y arrête : les données 2024 indiquent une hausse des attaques et du nombre de gangs actifs, mais une baisse significative des paiements.

Ça ne veut pas dire “le ransomware recule”. Ça veut dire que :

• les victimes négocient différemment, restaurent mieux, ou refusent plus souvent ;
• la confiance dans la “promesse criminelle” (déchiffrement, non-divulgation) s’érode ;
• les démantèlements et “exit scams” ont rendu l’écosystème plus instable.

Ce que ça change pour votre stratégie

Votre objectif n’est pas de prédire quel gang frappera demain. Votre objectif est de réduire le temps de présence et de rendre l’attaque coûteuse :

• limiter les mouvements latéraux ;
• détecter tôt l’exfiltration ;
• rendre la sauvegarde réellement restaurable ;
• couper les chaînes d’accès initial (phishing, infostealers, VPN mal protégés).

IA pour la réponse : utile, à condition d’être cadrée

L’IA peut accélérer la réponse à incident si elle est intégrée à un processus solide :

• génération de chronologies à partir des logs (qui a fait quoi, quand) ;
• regroupement d’alertes redondantes, réduction du bruit SOC ;
• suggestions de playbooks (isolement, blocage, rotation des secrets).

Mais elle ne remplace pas la gouvernance : qui décide d’isoler 200 postes ? Qui valide la communication de crise un samedi soir ? En décembre, avec des équipes réduites, cette question devient très concrète.

Plan d’action en 30 jours : passer d’une défense “statique” à “adaptative”

La meilleure réponse aux tendances H1 2025, c’est d’accélérer votre boucle détection → décision → action. Voici un plan pragmatique, applicable dans beaucoup d’organisations.

Semaine 1 : casser le scénario ClickFix

• Bloquer ou restreindre l’exécution de scripts non signés selon les postes.
• Déployer une règle simple : aucun copier-coller de commandes depuis un navigateur sans validation interne.
• Mettre un message court dans Teams/Slack : “Si une page vous demande d’exécuter une commande pour ‘réparer’, stop → support.”

Semaine 2 : réduire l’impact des infostealers

• Réviser la durée de vie des sessions et tokens pour les applications critiques.
• Forcer le MFA résistant au phishing quand c’est possible.
• Mettre en place une détection d’anomalies de connexions (UEBA) ou, au minimum, des alertes sur patterns à haut risque.

Semaine 3 : sécuriser le mobile (vraiment)

• Contrôler permissions, installation hors stores, et posture device.
• Activer l’accès conditionnel : poste/phone “à risque” → restrictions.
• Sensibiliser sur phishing mobile (SMS, QR, fausses pages support) avec 2 scénarios concrets.

Semaine 4 : tester votre capacité ransomware

• Exercice table-top de 60 minutes : “infostealer → accès admin → exfiltration → chiffrement”.
• Test de restauration : une sauvegarde, une application, un délai mesuré.
• Formaliser une check-list “week-end / jours fériés” (décembre est un bon moment pour la faire avant la reprise).

Une organisation mature ne cherche pas la perfection. Elle cherche la répétabilité : détecter, trier, agir, apprendre.

L’IA en cybersécurité : un amplificateur, pas un talisman

Les tendances du premier semestre 2025 sont cohérentes : les attaques privilégient les chemins où l’humain et l’outil se confondent (ClickFix), où la valeur est immédiate (infostealers), où les usages explosent (mobile/NFC), et où le crime organisé s’adapte en continu (ransomware).

Mon avis : l’IA est indispensable, mais uniquement si elle est connectée à votre réalité opérationnelle — vos logs, vos endpoints, votre IAM, vos playbooks. Une IA “posée à côté” ne fera pas grand-chose. Une IA intégrée à une chaîne de détection et de réponse, oui.

Si vous deviez choisir une seule priorité pour démarrer dès maintenant : utilisez l’IA pour réduire le temps entre le premier signal faible et la première action de confinement. C’est là que se joue la différence entre un incident contenu et une crise.

Et vous, votre organisation est-elle structurée pour réagir en minutes… ou en jours, quand la prochaine vague “ClickFix-like” arrivera ?