Vous avez coché des centaines de fois la case “Je ne suis pas un robot” sans y penser. C’est précisément sur ce réflexe que misent les cybercriminels depuis plusieurs mois. Une variante malveillante du CAPTCHA circule activement sur le web, et elle ne ressemble pas à ce à quoi on pourrait s’attendre d’une arnaque classique : pas de lien douteux, pas de pièce jointe suspecte, pas de fausse alerte orange qui clignote. Juste des instructions. Simples, presque banales, et c’est exactement ce qui la rend efficace.

C’est quoi cette arnaque ?

Vous atterrissez sur un site web. Une page de vérification apparaît, avec une interface qui ressemble trait pour trait à un CAPTCHA classique, le genre qu’on croise sur des sites de billetterie, des formulaires d’inscription ou des pages de connexion bancaire.

Sauf que cette fois, au lieu de cocher une case ou de sélectionner des images de vélos ou de feux rouges, la page vous demande de suivre quelques étapes au clavier. Le prétexte avancé est de vérifier que vous n’êtes pas un robot via un processus “avancé”. Le message peut varier, mais la séquence reste la même :

  1. Appuyez sur Windows + R
  2. Appuyez sur Ctrl + V
  3. Appuyez sur Entrée

Ce que vous ne savez pas à ce moment-là, c’est que le site a déjà copié une commande malveillante dans votre presse-papiers. Quand vous collez et validez, vous exécutez vous-même un script sur votre machine. Windows ouvre la fenêtre Exécuter en arrière-plan, le code s’installe sans déclencher aucune alerte, sans téléchargement visible et sans fenêtre pop-up. Vous venez de contourner vos propres protections.

Lire Aussi : Sécurité des mots de passe : ce que vous faites probablement mal (et comment corriger ça)

Quel type de malware est installé

Dans la majorité des cas documentés, cette technique déploie ce qu’on appelle un infostealer, c’est-à-dire un logiciel conçu uniquement pour collecter des données et les envoyer à un serveur distant contrôlé par les attaquants.

L’un des plus répandus dans ce type de campagne s’appelle StealC. Selon les données de Kaspersky publiées début 2025, ce malware a vu sa part dans le total des infections mondiales passer de 3 % à 13 % en l’espace d’un an. Il fait partie d’un écosystème plus large où des groupes criminels proposent ce type d’outil en mode “abonnement” à partir de quelques centaines de dollars par mois.

Une fois installé, un infostealer comme StealC peut récupérer :

  • Les mots de passe enregistrés dans vos navigateurs (Chrome, Firefox, Edge…)
  • Vos cookies de session, ce qui permet de se connecter à vos comptes sans même connaître votre mot de passe
  • Vos données de saisie automatique (adresse, numéro de carte enregistré dans le navigateur)
  • Les portefeuilles de cryptomonnaies s’ils sont installés sur le poste

Ces informations sont ensuite revendues sur des marketplaces du dark web ou utilisées directement pour prendre le contrôle de vos comptes. D’après un rapport publié en janvier 2026, une base de données non protégée contenant 149 millions de paires identifiant-mot de passe issues d’infections par infostealers a été découverte par un chercheur en sécurité, dont 48 millions de comptes Gmail.

Le plus préoccupant dans tout ça, c’est que le malware fonctionne en silence. Aucune alerte, aucun ralentissement notable. Vous pouvez continuer à utiliser votre ordinateur normalement pendant des jours sans vous douter de quoi que ce soit.

Pourquoi cette technique marche aussi bien

Les campagnes de phishing classiques ont du mal à passer les filtres des messageries, et les antivirus bloquent les exécutables téléchargés. Mais ici, c’est l’utilisateur qui exécute lui-même la commande. Il n’y a rien à détecter côté logiciel.

C’est ce qu’on appelle une attaque par ingénierie sociale : on exploite la confiance et les habitudes plutôt qu’une faille technique. Le CAPTCHA est un élément auquel les internautes ont appris à faire confiance, parfois même sur des sites sensibles. Cette confiance devient le vecteur d’infection.

En France, les notifications frauduleuses présentées sous forme de faux CAPTCHA ont enregistré une hausse de plus de 300 % en 2025, selon les données collectées par plusieurs acteurs de la cybersécurité. Cette tendance confirme que la méthode est non seulement efficace, mais qu’elle s’est industrialisée.

Lire Aussi : Arnaques à l’offre d’emploi par SMS : comment les reconnaître et quoi faire

Comment reconnaître un faux CAPTCHA

La règle est simple et sans exception : un vrai CAPTCHA ne vous demandera jamais d’ouvrir une application, d’utiliser des raccourcis clavier ou d’exécuter quoi que ce soit sur votre ordinateur.

Les faux CAPTCHA se repèrent à quelques signes :

  • Ils vous demandent d’appuyer sur Windows + R, ou toute autre combinaison de touches système
  • Ils vous invitent à “coller” quelque chose dans une fenêtre
  • Ils apparaissent sur des sites que vous n’avez pas l’habitude de fréquenter, souvent des sites de streaming non officiels, de téléchargement ou de jeux en ligne
  • La mise en page imite celle de Google reCAPTCHA ou de Cloudflare Turnstile, mais le comportement demandé est anormal

Si vous voyez ce type d’instruction, fermez l’onglet immédiatement. N’interagissez avec rien d’autre sur la page.

Que faire si vous avez exécuté la commande

Si vous avez suivi les étapes sans réaliser ce que vous faisiez, agissez vite car chaque minute compte.

Étape 1 : Coupez la connexion internet

Déconnectez le Wi-Fi ou débranchez le câble Ethernet. L’objectif est d’interrompre la communication entre le malware et le serveur distant avant que trop de données soient exfiltrées.

Étape 2 : Lancez une analyse complète avec un antivirus à jour

Si vous n’en avez pas, c’est le moment d’en installer un. Des solutions comme Malwarebytes, Bitdefender ou ESET sont disponibles en version d’essai et font un travail sérieux sur ce type de menace.

Étape 3 : Changez vos mots de passe depuis un autre appareil

N’utilisez pas la machine potentiellement infectée pour ça. Passez par votre smartphone ou un autre ordinateur, et commencez par vos comptes les plus sensibles : messagerie, banque, réseaux sociaux.

Étape 4 : Activez la double authentification (2FA) partout où c’est possible

Même si un attaquant dispose de votre mot de passe, le second facteur bloque l’accès dans la grande majorité des cas.

Étape 5 : Surveillez vos comptes pendant les semaines suivantes

Les données volées ne sont pas toujours utilisées immédiatement. Vérifiez les alertes de connexion, les emails de réinitialisation que vous n’avez pas demandés et les transactions inhabituelles.

Lire Aussi : Spoofing téléphonique : comment réagir quand votre numéro est usurpé par des arnaqueurs

Les bonnes habitudes pour éviter ce type d’arnaque

Au-delà de ce cas précis, quelques règles générales permettent de limiter considérablement l’exposition à ce type de menace.

  • Gardez votre système et vos navigateurs à jour : Les mises à jour corrigent des failles qui sont régulièrement exploitées en parallèle de ces techniques d’ingénierie sociale.
  • Utilisez un gestionnaire de mots de passe : Des outils comme Bitwarden (gratuit et open source) ou 1Password génèrent et stockent des mots de passe uniques pour chaque service. Si un compte est compromis, les autres restent protégés.
  • Ne réutilisez jamais le même mot de passe : Selon les données de Verizon (rapport DBIR 2025), l’utilisation d’identifiants compromis représente 22 % des vecteurs d’accès initial dans les violations analysées. La réutilisation de mots de passe est l’un des problèmes les plus courants.
  • Méfiez-vous des sites qui imposent un CAPTCHA pour accéder à du contenu gratuit, notamment des films, des séries ou des logiciels. Ce sont des vecteurs d’infection fréquents.

Les cybercriminels ont trouvé comment contourner les défenses techniques en s’en prenant directement au comportement des utilisateurs. Le faux CAPTCHA est un bon exemple de cette évolution : pas de faille exploitée dans un logiciel, pas de fichier malveillant à télécharger. Juste une série d’instructions qui semblent anodines, et une confiance accordée à tort à une interface familière. La bonne nouvelle, c’est que cette arnaque se repère facilement une fois qu’on sait ce qu’on cherche. Un CAPTCHA normal ne vous demandera jamais d’ouvrir quoi que ce soit sur votre machine. Si une page web vous donne des instructions au clavier, la bonne réaction est de fermer l’onglet, sans hésiter.