IA en cybersécurité : ClickFix, voleurs et ransomwares

La technique ClickFix est passée de « quasi inexistante » à l’une des menaces les plus répandues en à peine un an. Ce genre de bascule rapide, on le voit de plus en plus en 2025 : une tactique de fraude apparaît, s’industrialise, puis se décline en dizaines de variantes. Et pendant que les équipes sécurité courent après les alertes, les attaquants optimisent une seule chose : la vitesse d’exécution.

Ce qui change vraiment la donne opérationnelle, ce n’est pas un nouveau pare-feu ou une règle de filtrage de plus. C’est la capacité à détecter un signal faible, à le relier à d’autres signaux (poste, identité, réseau, navigateur, cloud), puis à décider vite. Autrement dit : l’IA appliquée à la détection et à la réponse.

Dans cet article (série Intelligence artificielle dans la cybersécurité), je prends trois tendances mises en avant par un panorama de menaces 2025 : ClickFix/FakeCaptcha, les infostealers (voleurs d’identifiants) bousculés par des opérations de démantèlement, et la scène ransomware qui se fragmente au point de tourner à la guerre interne. L’objectif est simple : comprendre ce que l’IA voit dans ces attaques, et comment s’en servir pour réduire le risque dès maintenant.

ClickFix et FakeCaptcha : l’attaque qui contourne vos filtres

Réponse directe : ClickFix fonctionne parce qu’il transforme la victime en “exécutant”, et l’IA est l’un des meilleurs moyens de détecter les incohérences comportementales que ça génère.

ClickFix est une famille de scénarios d’ingénierie sociale qui pousse l’utilisateur à « réparer » un problème… en exécutant lui-même une action dangereuse. Le cas le plus parlant est FakeCaptcha : au lieu d’un vrai contrôle anti-robot, la page affiche un faux parcours (souvent très crédible) qui incite l’utilisateur à copier/coller une commande ou à autoriser une action.

Pourquoi ClickFix marche aussi bien

Les défenses traditionnelles aiment ce qui est stable : un fichier malveillant connu, un domaine déjà classé, une signature. ClickFix, lui, adore le flou :

• Peu de malware visible au départ : parfois, c’est “juste” une page web.
• Un chemin d’attaque piloté par l’humain : l’utilisateur clique, autorise, copie, lance.
• Des variantes infinies : même idée, mille habillages.

Il y a un point clé : ClickFix déplace l’attaque vers des zones où les contrôles sont souvent plus permissifs (navigateur, scripts, outils natifs du système). Et ça crée un paradoxe : plus votre organisation est outillée, plus elle peut être victime d’une attaque qui ressemble à une action “normale”.

Ce que l’IA peut détecter (mieux) que des règles statiques

L’IA en cybersécurité est utile ici pour une raison concrète : elle excelle à repérer des séquences anormales, pas juste des objets malveillants.

Exemples de signaux “IA-friendly” :

1. Chaînes d’événements improbables : ouverture d’un navigateur → visite d’un site rarement vu → collage dans un terminal → exécution d’un binaire inconnu.
2. Dérives de comportement utilisateur : un utilisateur non-tech qui lance soudain powershell ou des commandes inhabituelles.
3. Anomalies de navigation : pages “captcha” sur des domaines nouveaux, avec redirections atypiques.

Un bon modèle (ou une bonne couche de scoring comportemental) ne se contente pas de dire “c’est malveillant”. Il dit : “cette séquence est incohérente pour ce poste, ce profil, ce créneau horaire et ce contexte”.

Phrase à garder en tête : ClickFix n’attaque pas votre antivirus, il attaque votre logique de décision.

Infostealers : l’industrialisation… puis les disruptions

Réponse directe : les infostealers restent l’un des meilleurs “retours sur investissement” pour les attaquants, et l’IA sert surtout à détecter l’exfiltration discrète et la fraude d’identité qui suit.

Les infostealers volent identifiants, cookies de session, données navigateur, portefeuilles crypto, mots de passe enregistrés, jetons MFA mal protégés, etc. En 2024-2025, plusieurs opérations de perturbation/démantèlement ont ciblé des services d’infostealer connus (on a vu une succession d’actions contre des offres “as-a-service”, très attractives pour les affiliés).

Pourquoi les démantèlements ne “réglent” pas le problème

Quand un service d’infostealer tombe :

• les opérateurs migrent,
• les affiliés changent de fournisseur,
• les charges utiles se recompilent,
• les méthodes d’exfiltration évoluent.

Le bénéfice, lui, est réel : on casse des infrastructures, on brûle des chaînes d’approvisionnement criminelles, on récupère parfois des indicateurs. Mais côté entreprise, le risque ne disparaît pas : il se déplace.

L’IA, utile avant et après le vol

J’ai constaté que beaucoup d’organisations focalisent leur réponse “infostealer” sur le poste de travail. C’est nécessaire, mais insuffisant. Le vrai drame, c’est souvent après : prise de contrôle de comptes SaaS, création de règles de transfert mail, achats frauduleux, latéralisation.

L’IA aide à deux niveaux :

1) Détection technique (poste + réseau)

• Détection d’exfiltrations anormales (volumes faibles mais réguliers, destinations rares, timings).
• Corrélation d’événements EDR + proxy + DNS pour repérer un scénario “vol + sortie”.
• Classement automatique de nouvelles variantes par similarité (comportement, graphes d’appels, artefacts).

2) Détection “identité” (le point aveugle fréquent)

• Anomalies de connexion : nouvel appareil, nouvel ASN, créneau horaire atypique.
• Impossibles voyages (improbable travel) et sessions parallèles.
• Changements à risque : ajout d’un facteur MFA, création de jetons, élévation de privilèges.

Le bon réflexe 2025 : traiter l’infostealer comme un incident Identity-first.

Playbook simple en 60 minutes après suspicion d’infostealer

Si vous devez standardiser une réponse rapide :

1. Isoler le poste (réseau) et préserver les preuves.
2. Révoquer les sessions (SSO, messagerie, CRM, ERP, outils dev).
3. Réinitialiser les secrets : mots de passe, clés API, tokens, clés SSH.
4. Revoir les règles mail (transferts, redirections, suppressions).
5. Activer une surveillance renforcée sur l’identité pendant 7 à 14 jours.

Là encore, l’IA sert à prioriser : quels comptes révoquer d’abord, quels événements expliquent le scénario, quelle propagation est la plus plausible.

Ransomware “deathmatch” : quand les gangs s’attaquent entre eux

Réponse directe : la guerre interne entre groupes ransomware augmente l’instabilité, mais ne réduit pas le risque pour les entreprises — elle accélère la rotation des marques, des infrastructures et des tactiques, ce qui rend l’IA de corrélation encore plus précieuse.

La scène ransomware ressemble de plus en plus à un marché violent : alliances, scissions, rebranding, attaques entre rivaux, sabotage de sites de fuite de données. Des acteurs plus petits peuvent frapper des structures plus visibles, dégrader leurs opérations, voire faire tomber des “leaders” du moment.

Ce que ça change pour les défenseurs

Beaucoup d’équipes pensent : “s’ils se battent entre eux, on respire”. En réalité :

• Plus de volatilité = plus de changements d’infrastructure (donc moins d’indicateurs durables).
• Plus de pression sur les affiliés = plus d’attaques opportunistes.
• Plus de fuites = plus de tentatives d’extorsion secondaires.

Le ransomware moderne n’est pas un seul événement (chiffrement). C’est une chaîne : accès initial → persistance → vol de données → mouvement latéral → sabotage de sauvegardes → chiffrement → extorsion.

Où l’IA est vraiment utile contre le ransomware

L’IA apporte de la valeur quand elle est placée sur les points qui déterminent l’issue : détection précoce et réduction du dwell time (temps passé par l’attaquant). Les signaux pertinents :

• Élévation de privilèges atypique et création de comptes.
• Exploration AD (énumération) et scans internes.
• Accès massif à des partages ou à des fichiers sensibles.
• Désactivation de protections, arrêt de services, suppression de shadow copies.

Un modèle qui corrèle ces signaux peut déclencher une réponse avant le chiffrement. Et c’est là que vous gagnez : empêcher l’étape “impact”.

Une phrase “terrain” : si vous détectez le ransomware au moment du chiffrement, vous êtes déjà en retard.

Mettre l’IA au travail : une approche pragmatique (et mesurée)

Réponse directe : l’IA en cybersécurité est efficace quand elle alimente des décisions opérationnelles (prioriser, corréler, automatiser), pas quand elle remplace votre stratégie.

On voit deux erreurs fréquentes : acheter une “IA magique” sans données propres, ou refuser l’IA par peur du faux positif. Il y a une voie simple entre les deux.

1) Unifier les signaux : endpoint, identité, réseau, cloud

L’IA n’est pas devin. Elle a besoin de contexte. Si vos données sont en silos, vous aurez des alertes “intelligentes” mais myopes.

Minimum viable en entreprise :

• télémétrie endpoint (EDR)
• logs d’identité (SSO, MFA, IAM)
• DNS/proxy
• logs cloud (SaaS + IaaS)

2) Utiliser le machine learning pour scorer, pas pour “juger”

L’usage le plus robuste en 2025 : un score de risque (utilisateur, poste, session, action), qui nourrit des règles d’action.

Exemples concrets :

• Score élevé sur une session SaaS → demander une réauthentification MFA + bloquer le téléchargement massif.
• Score élevé sur un poste → isoler automatiquement + forcer une rotation de secrets.
• Score élevé sur une séquence ClickFix → avertir l’utilisateur + stopper l’exécution du script.

3) Automatiser la réponse là où ça compte

Automatiser “tout” est une mauvaise idée. Automatiser les 3 actions qui vous font gagner 30 minutes en est une excellente.

Mes trois candidates :

1. Révocation de sessions et invalidation de tokens (infostealers).
2. Isolement du poste en cas de chaîne d’événements suspecte (ClickFix).
3. Blocage des mouvements latéraux (ransomware) : coupe-feu réseau ciblé, désactivation temporaire de comptes.

4) Mesurer l’efficacité avec des métriques utiles

Si vous voulez piloter l’IA comme un outil métier, suivez :

• MTTD (temps de détection) sur scénarios “pré-chiffrement”
• MTTR (temps de réponse) sur compromission d’identité
• Taux de faux positifs sur les top playbooks (pas sur “tout”)
• Temps économisé par automatisation (en minutes réelles)

Questions fréquentes (et réponses nettes)

L’IA remplace-t-elle un SOC ?

Non. Elle réduit la charge, améliore la corrélation et accélère la réponse. Le SOC reste indispensable pour l’enquête, le contexte métier et la décision finale.

ClickFix se bloque-t-il “facilement” ?

On peut réduire fortement le risque, mais il n’y a pas de bouton unique. La combinaison gagnante : durcissement poste, contrôle des scripts, filtrage web, et surtout détection comportementale.

Les démantèlements d’infostealers suffisent-ils à nous protéger ?

Non. Ils améliorent l’écosystème global, mais votre exposition dépend de vos identités, de vos postes et de votre vitesse de réponse.

Prochaine étape : utiliser ces signaux pour améliorer votre détection

ClickFix, infostealers et ransomware ont un point commun : ils prospèrent quand la défense ne relie pas les points. L’IA en cybersécurité n’est pas un slogan ; c’est une discipline d’ingénierie qui consiste à transformer des signaux dispersés en décisions fiables.

Si vous deviez n’en retenir qu’une idée pour 2026 : la sécurité “centrée sur l’identité + comportement” devient la ligne de front. Les attaques bougent vite, vos contrôles doivent apprendre vite.

Vous voulez savoir si vos outils actuels détecteraient un scénario ClickFix ou une compromission infostealer avant qu’elle ne devienne un ransomware ? Quels signaux avez-vous déjà… et lesquels vous manquent encore ?