Faux CAPTCHA : une nouvelle arnaque qui installe des virus sur votre ordinateur

Vous avez sans doute déjà vu ces petits tests en ligne qui demandent de cocher une case ou de choisir des feux tricolores. Ces CAPTCHA servent à prouver que vous êtes humain. Mais depuis peu, certains de ces tests cachent de mauvaises surprises : des pirates les utilisent pour installer des virus sur les ordinateurs. Une escroquerie bien rodée, et de plus en plus répandue.

Comment les pirates détournent les CAPTCHA pour piéger les internautes ?

Les pirates ont trouvé un moyen astucieux de détourner un outil familier. Le CAPTCHA rassure, car il semble fiable. Vous pensez valider un test classique, mais vous exécutez en réalité une commande piégée. Ces faux tests circulent sur des sites à risque : plateformes de streaming illégal, casinos en ligne ou pages truffées de publicités douteuses. En apparence, tout semble normal. Mais derrière cette interface anodine se cache une manipulation redoutable. Pour éviter de tomber dans le même genre de piège, découvrez comment les hackers utilisent les partaes de documents pour lancer une arnaque sur Google Drive.

Les cybercriminels exploitent aussi des campagnes de « malvertising », c’est-à-dire des publicités malveillantes injectées dans des sites pourtant légitimes. Leur objectif est de vous faire cliquer sur un faux test qui exécute un script malveillant à votre insu. Certains de ces tests imitent parfaitement les vrais systèmes de vérification, jusqu’à reproduire les logos de grands services connus. Cela joue sur notre réflexe de confiance : on clique sans réfléchir. Certains malwares connus comme Vidar ou AsyncRAT sont d’ailleurs diffusés par ce biais, selon Cyberveille. Et si vous pensiez qu’un simple QR code ne peut rien vous faire, lisez comment les cybercriminels utilisent le Quishing pour voler vos informations.

Le déroulement complet de l’arnaque au faux CAPTCHA

L’escroquerie cible surtout les ordinateurs sous Windows. Elle se déroule en plusieurs étapes. Voici le scénario type d’une attaque par faux CAPTCHA :

• Vous cliquez sur un lien ou tentez d’accéder à un site mal sécurisé.
• Une page s’affiche avec un message du type : « Verify You Are Human ». Jusque-là, rien d’anormal.
• Vous remplissez le test, puis une nouvelle instruction apparaît : appuyer sur les touches Windows + R, ce qui ouvre un exécuteur de commande.
• La page vous demande de coller un code et d’appuyer sur Entrée.
• C’est à ce moment-là que tout dérape : cette action télécharge un fichier malveillant depuis un serveur pirate.

Pour mieux comprendre comment des formulaires en ligne peuvent aussi être détournés pour voler vos données bancaires, découvrez l’arnaque du FormJacking.

Ce malware, souvent un infostealer, a pour mission de voler les données de votre ordinateur. Certains, comme Lumma Stealer (ou LummaC2), récupèrent les cookies, sessions, portefeuilles de cryptomonnaies et identifiants stockés dans vos navigateurs. Ils peuvent aussi désactiver l’antivirus, modifier vos paramètres système ou maintenir un accès distant au PC, sans que vous ne vous en rendiez compte. L’étude d’IT-Connect montre que plus de la moitié des appareils infectés par ce type de logiciel appartiennent à des entreprises, preuve que la menace dépasse le cadre personnel.

Les conséquences d’un virus voleur d’informations

Le malware installé est un infostealer, un voleur de données. Il fouille votre ordinateur, collecte vos identifiants et les envoie directement aux cybercriminels. Ce type de programme peut aussi s’infiltrer dans vos navigateurs et voler vos sessions ouvertes. Le danger est donc réel : accès à vos comptes, vol de vos données bancaires, ou encore utilisation frauduleuse de vos identités. Et si vous recevez un SMS, un appel ou un e-mail suspect, rappelez-vous que certaines fraudes sont encore plus simples à repérer : voici comment rester vigilant face aux arnaques du quotidien.

Les infostealers fonctionnent de manière furtive. Ils collectent les données sensibles et les envoient à un serveur de commande distant, contrôlé par les pirates. Les informations volées se retrouvent revendues sur le dark web, alimentant des fraudes bancaires et des usurpations d’identité. Leur discrétion les rend redoutables : l’utilisateur ne se rend compte de rien jusqu’à ce qu’il constate un usage anormal de ses comptes. Certains modèles sont même proposés en location sur des plateformes de cybercriminalité, selon le principe du « malware-as-a-service ».

Une menace grandissante signalée par les autorités

Le site Cyberveille.gouv.fr, spécialisé dans la sécurité numérique, a publié une alerte officielle sur ce type d’arnaque. Selon une étude de Kaspersky, plus de 140 000 publicités en ligne contiennent déjà ce type de piège, preuve que le phénomène prend de l’ampleur. Autrement dit, ces faux tests se cachent partout. Ils exploitent la confiance que nous accordons à une interface familière. C’est justement ce qui les rend dangereux. L’utilisateur ne se méfie pas d’un test qu’il a l’habitude de voir.

Les signes pour reconnaître un faux CAPTCHA

Avant d’agir, il faut apprendre à repérer les signes d’un faux test. Voici les indices les plus courants qui doivent immédiatement vous alerter :

• Si un site vous demande d’utiliser une combinaison de touches (Windows + R), partez immédiatement.
• Un véritable CAPTCHA ne vous fera jamais coller du code dans une fenêtre.
• Les fautes de grammaire, les adresses web étranges ou les publicités excessives doivent aussi éveiller vos soupçons.

Si vous rencontrez ce genre de page, fermez-la sans hésiter. Et pour renforcer la sécurité de vos comptes, pensez à activer la double authentification sur votre téléphone.

Les bons réflexes pour éviter l’infection

Pour vous protéger durablement, adoptez des gestes simples mais efficaces. Voici les réflexes à suivre pour éviter qu’un faux CAPTCHA ne vous infecte :

• Ne jamais exécuter un code dont vous ignorez la fonction.
• Éviter les sites illégaux ou suspects.
• Mettre à jour régulièrement Windows et votre antivirus.
• Vérifier la présence du cadenas HTTPS sur les pages internet que vous visitez
• Désactiver les pop-ups automatiques et les publicités intrusives.

Ces petits réflexes réduisent considérablement le risque d’infection. Enfin, sachez que certaines arnaques utilisent déjà l’intelligence artificielle pour piéger les internautes, un phénomène à découvrir dans notre article sur les arnaques à l’IA.