Le site web iClicker piraté avec un faux CAPTCHA lors d'une attaque ClickFix
Le site web d'iClicker, une plateforme populaire de participation étudiante, a été compromis par une attaque ClickFix. Une fausse vérification « Je ne suis pas un robot » a incité les utilisateurs à installer un logiciel malveillant. Découvrez qui a été touché et comment se protéger.
iClicker, une salle de classe numérique très utilisée dans de nombreuses universités, a récemment été la cible de pirates informatiques. Cet outil, propriété de Macmillan, permet aux enseignants de suivre l'assiduité et de poser des questions aux étudiants en classe. Des millions d'étudiants et des milliers d'enseignants aux États-Unis, notamment à l'Université du Michigan et à l'Université de Floride, utilisent iClicker.
Selon l'avis de l'équipe de sécurité informatique de l'Université du Michigan, entre le 12 et le 16 avril 2025, le site Web iClicker a été compromis, affichant un faux CAPTCHA aux visiteurs du site et leur demandant de cliquer sur « Je ne suis pas un robot ».
Lorsqu'un utilisateur Windows cliquait sur cette fausse vérification, une commande PowerShell masquée était copiée sur son appareil. Il était invité à ouvrir une fenêtre spéciale sur son ordinateur (en appuyant simultanément sur la touche Windows et la lettre « R »), à coller cette commande (en appuyant sur Ctrl et « V »), puis à appuyer sur Entrée. Cette action exécutait la commande masquée.
Cette astuce, connue sous le nom d' attaque ClickFix , est un moyen de tromper les utilisateurs en les incitant à télécharger un logiciel malveillant. Un utilisateur de Reddit a testé cette commande sur Any.Run et a constaté qu'elle se connectait à un serveur Internet pour télécharger un autre ensemble d'instructions, selon la personne visitant le site web. S'il s'agissait d'une personne réelle utilisant un ordinateur classique, les instructions téléchargeraient un logiciel malveillant, ce qui pourrait donner à l'attaquant un contrôle total sur l'appareil.
Ce logiciel malveillant a probablement été conçu pour voler des informations personnelles, telles que des noms d'utilisateur, des mots de passe, des informations de carte de crédit et même des informations de portefeuille de crypto-monnaie stockées sur l'ordinateur.
Si le visiteur était un système utilisé par des experts en sécurité pour analyser les logiciels malveillants, la commande cachée téléchargerait plutôt un programme inoffensif de Microsoft afin que les attaquants puissent échapper à la détection.
Dans son bulletin de sécurité, iClicker a confirmé que son système principal et les informations utilisateur étaient sûrs, expliquant qu'un tiers avait placé un faux contrôle de sécurité sur son site Web avant que les utilisateurs ne se connectent.
Comme Hackread.com l'a déjà signalé, ClickFix est devenu une préoccupation croissante dans le monde de la cybersécurité. En mars 2024, nous avons signalé une utilisation croissante des attaques ClickFix par des groupes de cybercriminels comme TA571 et ClearFake. Plus tard, en octobre 2024, l'entreprise de sécurité Sekoia a observé davantage d'attaques ClickFix utilisant de fausses pages Google Meet, Chrome et Facebook pour propager des logiciels malveillants.
Récemment, en avril 2025, Hackread.com a rapporté que des groupes de piratage soutenus par le gouvernement de pays comme la Corée du Nord, l'Iran et la Russie utilisaient cette méthode dans leurs opérations d'espionnage et ont même publié un article de blog détaillé sur la façon de se protéger des attaques ClickFix.
iClicker conseille à toute personne ayant visité son site web entre le 12 et le 16 avril et ayant cliqué sur le faux contrôle de sécurité de modifier immédiatement tous les mots de passe enregistrés sur son ordinateur, y compris le mot de passe iClicker, et d'utiliser un gestionnaire de mots de passe pour optimiser la sécurité de son compte. Les personnes ayant uniquement utilisé l'application mobile iClicker ou n'ayant pas vu le faux contrôle de sécurité ont été épargnées par cette attaque.
Debbie Gordon , PDG et fondatrice de Cloud Range, a commenté le développement en déclarant : « Cet incident montre avec quelle facilité les attaquants peuvent transformer une simple interaction utilisateur, comme cliquer sur un CAPTCHA, en une compromission totale. »
La vraie question est : à quelle vitesse votre équipe peut-elle détecter et contenir le problème ? C’est l’essence même de la préparation à la réponse aux incidents. La formation par simulation donne aux défenseurs la mémoire musculaire nécessaire pour repérer les signaux d’alerte comportementaux, enquêter efficacement et coordonner les actions de confinement en temps réel avant que de petites failles ne se transforment en failles majeures.
HackRead
