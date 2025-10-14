Un nouveau genre de fraude consiste à reproduire des captcha (ces test rapides en ligne) afin de permettre l'installation de logiciels malveillants sur les machines visées. Les mots de passe de la victime sont ensuite volés.

Un nouveau type d'escroquerie pour voler vos plus précieuses données. De plus en plus de faux captcha permettent l'installation à distance de virus informatiques visant à dérober certaines informations des utilisateurs en ligne. Le gouvernement a alerté sur ce fléau.

Les captcha sont des tests rapides soumis aux utilisateurs en ligne pour vérifier qu'ils ne sont pas des robots. Questions visuelles, calculs algébriques simples ou encore puzzle à reconstituer sont souvent proposés aux internautes. Mais cette technique d'authentification est parfois détournée à des fins malveillantes.

Comme l'écrit en effet le gouvernement sur son site Cyberveille.gouv, «ces attaques se multiplient, représentant une menace sérieuse». Celles-ci ne concernent que les PC Windows. En cliquant sur ce faux test, l'utilisateur déclenche effectivement une série d'ordres, dont le premier qui lui est indiqué est d'utiliser le raccourci clavier Windows + R. Celà a pour conséquence d'ouvrir un exécuteur de commandes de l'ordinateur.

Plus de 140.000 captcha frauduleux repérés sur internet

Ensuite, «la victime doit coller et exécuter une commande PowerShell», comme le précise le site du gouvernement, qui précise : «Celle-ci déclenche, via l’exécutable "mshta", le téléchargement de fichiers malveillants à partir d’un serveur contrôlé par l’attaquant».

© Cyberveille.gouv

En effectuant ces commandes, certains téléchargements automatiques sont générés par un script volumineux. Ceux-ci ont, la plupart du temps, vocation à voler les informations secrètes de l'internaute, comme ses mots de passe ou encore ses codes de carte de crédit, s'ils ont été enregistrés.

Ces captchas frauduleux sont notamment présents sur les sites de streaming peu sécurisés, notamment ceux diffusant des séries et film illégalement ou proposant du contenu sportif en direct. Ils sont également utilisés lors des campagnes de courriels d'hameçonnage. Une entreprise de cybersécurité appelée Kaspersky, auteure d'une étude, a expliqué avoir été confronté pas moins de 140.000 fois à des publicités contenant des faux captcha sur Internet.