De faux CAPTCHA circulent actuellement sur de nombreux sites web et servent à infecter les ordinateurs avec des malwares.

Ces pages frauduleuses imitent des services connus comme :

• Google reCAPTCHA
• Cloudflare
• hCaptcha

afin de pousser l’utilisateur à exécuter une action dangereuse sur son PC.

Les victimes sont généralement invitées à :

• Ouvrir la fenêtre Exécuter avec Windows + R
• Copier/coller une commande PowerShell
• Autoriser des notifications navigateur
• Télécharger un script malveillant

Dans ce guide, découvrez comment reconnaître un faux CAPTCHA, comprendre le fonctionnement de cette arnaque et protéger votre PC contre ces attaques.

Qu’est-ce qu’un faux CAPTCHA malveillant

Les faux CAPTCHA sont des pages frauduleuses imitant les systèmes de vérification humaine utilisés sur internet, comme :

• Google reCAPTCHA
• Cloudflare Turnstile
• Vérifications anti-bot

Leur objectif n’est pas de vérifier que vous êtes humain, mais de vous pousser à exécuter une action dangereuse sur votre ordinateur afin d’infecter le PC avec un malware.

Contrairement à un vrai CAPTCHA, ces fausses pages demandent souvent :

• D’ouvrir la fenêtre Exécuter avec Windows + R
• De copier/coller une commande PowerShell
• D’autoriser des notifications navigateur
• Ou d’exécuter un script malveillant

Les cybercriminels utilisent cette technique pour contourner les protections de sécurité et faire exécuter eux-mêmes le malware par l’utilisateur.

A lire :

Comment fonctionne l’arnaque des faux CAPTCHA

Le scénario est généralement le suivant :

Étape	Action frauduleuse
1	L’utilisateur arrive sur une page compromise ou malveillante
2	Un faux CAPTCHA ou faux Cloudflare apparaît
3	La page demande d’effectuer une manipulation Windows
4	Une commande PowerShell ou script est exécuté
5	Le malware est téléchargé et lancé silencieusement

Ces attaques utilisent souvent :

• PowerShell
• JavaScript
• Scripts téléchargés à distance
• Commandes encodées
• Chargeurs de malware (“loaders”)
• Afficher des publicités en bas à droite de l’écran

Pourquoi les faux CAPTCHA piègent facilement les utilisateurs

Cette arnaque fonctionne très bien car :

• Les utilisateurs connaissent les CAPTCHA
• Les faux messages semblent légitimes
• Les pages imitent des services connus
• Les victimes pensent résoudre un problème de sécurité ou anti-bot

Ce guide montre aussi un autre type d’arnaque assez similaire :

À quoi ressemble une page de faux CAPTCHA

Les faux CAPTCHA imitent les systèmes de vérification utilisés par des services connus comme :

• Google reCAPTCHA
• Cloudflare
• hCaptcha
• Vérifications anti-bot

L’objectif est de donner l’impression qu’il s’agit d’une vérification de sécurité légitime afin de pousser l’utilisateur à effectuer une action dangereuse.

Les éléments typiques des faux CAPTCHA

Élément affiché	Objectif des cybercriminels
“Je ne suis pas un robot”	Inspirer confiance avec une interface connue
Faux logo Cloudflare ou Google	Faire croire à une protection officielle
Message “Vérification humaine requise”	Créer un sentiment d’urgence ou de sécurité
Demande d’utiliser Windows + R	Faire exécuter une commande malveillante
Copier/coller une commande	Lancer PowerShell ou un script malware
Demande d’autoriser les notifications	Envoyer ensuite du spam ou des arnaques
Faux message de sécurité navigateur	Faire croire à un blocage légitime

Exemples de faux messages CAPTCHA malveillants

Les faux CAPTCHA utilisent souvent des phrases comme :

• “Cliquez sur Autoriser pour vérifier que vous êtes humain”
• “Appuyez sur Windows + R puis collez cette commande”
• “Cloudflare Security Check”
• “Votre navigateur nécessite une vérification”
• “Confirmez que vous n’êtes pas un robot”

Certaines pages affichent également :

• Une fausse animation de chargement
• Un faux scan de sécurité
• Un faux blocage navigateur
• Des alertes de sécurité alarmantes

Quels malwares sont diffusés par les faux CAPTCHA

Les faux CAPTCHA sont aujourd’hui utilisés pour diffuser de nombreux types de malwares. Une fois la commande exécutée ou la permission accordée, le malware peut être téléchargé discrètement sur le PC sans que l’utilisateur s’en aperçoive immédiatement.

Les cybercriminels utilisent souvent :

• PowerShell et Malware FileLess
• JavaScript
• Scripts distants
• Chargeurs de malware (“loaders”)
• Notifications navigateur malveillantes

Voici les principales menaces diffusées via ces faux CAPTCHA :

Type de menace	Objectif du malware	Conséquences possibles
Infostealer	Voler les mots de passe, cookies et données navigateur	Comptes Google, Microsoft, Discord, Steam ou réseaux sociaux compromis
Cheval de Troie (Trojan)	Ouvrir un accès distant au PC	Contrôle à distance et installation d’autres malwares
Ransomware	Chiffrer les fichiers du PC	Demande de rançon et perte de données
Malware bancaire	Intercepter les données bancaires	Vol de comptes ou paiements frauduleux
Loader / Downloader	Télécharger d’autres malwares	Infection silencieuse du système
Cryptominer	Utiliser le PC pour miner de la cryptomonnaie	PC lent, forte utilisation CPU/GPU
Notifications navigateur malveillantes	Envoyer du spam, publicités ou fausses alertes	Popups, arnaques, redirections dangereuses
Adware	Afficher des publicités ou modifier le navigateur	Navigation perturbée et risques supplémentaires

Les faux CAPTCHA et les notifications navigateur malveillantes

De nombreux faux CAPTCHA demandent également :

• De cliquer sur Autoriser
• Ou d’accepter les notifications navigateur

Une fois autorisées, ces notifications peuvent ensuite afficher :

• Des publicités frauduleuses
• De faux antivirus
• De fausses alertes Windows
• Des arnaques au support technique
• Des liens vers d’autres malwares

Même sans installer de malware directement, ces notifications peuvent devenir très envahissantes et dangereuses.

Supprimer les publicités en bas à droite et notification sur Chrome, Firefox, Opera ou Smartphone :

Pourquoi les faux CAPTCHA sont dangereux

Les faux CAPTCHA sont particulièrement efficaces car :

• L’utilisateur exécute lui-même la commande
• Certains antivirus détectent difficilement l’attaque au départ
• L’infection peut rester silencieuse plusieurs heures ou jours

Dans certains cas, les données volées sont revendues ou utilisées très rapidement après l’infection.

Comment reconnaître un faux CAPTCHA

Les faux CAPTCHA cherchent à imiter les systèmes de vérification légitimes afin de pousser l’utilisateur à exécuter une action dangereuse. Certains indices permettent toutefois de repérer rapidement une tentative d’arnaque.

Les signes d’un faux CAPTCHA malveillant

Élément suspect	Pourquoi c’est dangereux
Demande d’utiliser Windows + R	Un vrai CAPTCHA ne demande jamais d’ouvrir la fenêtre Exécuter
Copier/coller une commande PowerShell	Technique utilisée pour lancer un malware
Demande d’exécuter une commande système	Aucun service légitime ne demande cela via une page web
Faux message Cloudflare ou Google	Les cybercriminels imitent souvent des services connus
Bouton “Autoriser” pour les notifications	Peut déclencher du spam navigateur et des arnaques
Message alarmant ou urgent	Technique de manipulation pour pousser à agir rapidement
URL étrange ou inconnue	Les faux CAPTCHA utilisent souvent des domaines suspects
Téléchargement automatique	Un CAPTCHA ne doit jamais télécharger un fichier
Page plein écran bloquée	Souvent utilisée pour empêcher l’utilisateur de quitter la page

Les faux CAPTCHA imitent des services connus

Les cybercriminels copient souvent :

• Google reCAPTCHA
• Cloudflare
• hCaptcha
• Vérifications anti-bot

Les pages peuvent sembler très crédibles avec :

• Logos officiels
• Animations de chargement
• Messages de sécurité
• Interface proche des vrais CAPTCHA

L’objectif est de donner confiance afin que l’utilisateur :

• Exécute une commande
• Autorise des notifications
• Télécharge un script malveillant

Que faire si vous avez exécuté une commande d’un faux CAPTCHA

Si vous avez exécuté la commande demandée par le faux CAPTCHA, il est possible que le PC ait été infecté par un malware, même si aucun fichier visible n’a été téléchargé.

Dans ce cas, il est recommandé d’agir rapidement afin de limiter les risques :

• Déconnectez le PC d’internet
• Fermez le navigateur
• Lancez une analyse antivirus complète
• Vérifiez les extensions du navigateur
• Changez les mots de passe importants depuis un appareil sain
• Contrôlez les sessions Google, Microsoft, Steam ou réseaux sociaux

Même si le PC semble fonctionner normalement, une infection peut rester discrète pendant plusieurs heures ou jours.

Guide complet pour supprimer un virus et désinfecter le PC :

Comment éviter les faux CAPTCHA et les pages malveillantes

Les faux CAPTCHA exploitent principalement la méfiance limitée des utilisateurs et les poussent à exécuter eux-mêmes des actions dangereuses. Quelques bonnes pratiques permettent toutefois d’éviter la grande majorité de ces arnaques.

Les règles de sécurité contre les faux CAPTCHA

Bonne pratique	Pourquoi c’est important
Ne jamais exécuter une commande depuis une page web	Un vrai CAPTCHA ne demande jamais cela
Ne jamais utiliser Windows + R à la demande d’un site	Technique fréquemment utilisée pour lancer des malwares
Refuser les notifications suspectes	Évite le spam navigateur et les arnaques
Vérifier l’adresse du site web	Les faux CAPTCHA utilisent souvent des domaines suspects
Maintenir Windows et le navigateur à jour	Corrige les failles de sécurité exploitées par les pirates
Utiliser un antivirus à jour	Permet de bloquer certaines attaques et scripts malveillants
Utiliser un bloqueur de publicités ou scripts	Réduit les risques de redirections vers des pages frauduleuses
Se méfier des messages alarmants	Les cybercriminels utilisent souvent l’urgence pour manipuler les victimes

Pour aller plus loin :

Ce qu’un vrai CAPTCHA ne fera jamais

Un vrai CAPTCHA ne demandera jamais :

• D’ouvrir PowerShell
• D’utiliser Windows + R
• De copier/coller une commande
• De télécharger ou installer un logiciel
• De désactiver l’antivirus
• D’autoriser des notifications pour continuer

Si une page web demande ce type d’action, il s’agit presque toujours d’une tentative d’infection ou d’arnaque visant à exécuter un malware sur votre PC

Sécuriser Windows et son navigateur contre les faux CAPTCHA

Pour limiter les risques :

• Maintenez Windows Update actif
• Utilisez Microsoft Defender ou un antivirus fiable
• Vérifiez régulièrement les extensions navigateur
• Désactivez les notifications suspectes
• Utilisez un navigateur à jour

Guide complet :

L’article Faux CAPTCHA : l’arnaque qui infecte votre PC avec un malware est apparu en premier sur malekal.com.

Microsoft Defender for Cloud Apps is a Cloud Access Security Broker (CASB) solution that delivers comprehensive security for Software as a Service (SaaS) applications across your organization. This security platform provides visibility into shadow IT, threat protection, data loss prevention capabilities, and security posture management for cloud-based applications. The tool integrates with Microsoft Defender XDR to offer extended detection and response across the full attack chain. Recent updates include March 2026 changes to Secure Score category calculations that reclassify some recommendations from the Cloud apps category to Identity, more accurately reflecting where controls apply without changing the overall Secure Score.

Source

Microsoft announced several new Defender features at the RSA Conference 2026, most of which are in preview and have minimal technical documentation. The primary additions include AI-powered triage agents in Security Copilot that automatically classify security alerts, a new dashboard that consolidates identity-related security events, automated hardening actions based on attack predictions, and voice-call monitoring in Microsoft Teams.

Source

At RSA Conference 2026, Microsoft announced a comprehensive set of updates to Microsoft Sentinel, its cloud-native Security Information and Event Management (SIEM) platform. The announcements focus on AI-driven automation, simplified multi-tenant management, and enhanced data integration capabilities designed to help security operations centers (SOCs) operate more efficiently at scale.

Source

Microsoft Defender for Endpoint now includes an effective settings feature, generally available as of March 2026, that shows which security configurations are actually enforced on a device.

Source

The Defender deployment tool for Windows now ships as a single .exe with the onboarding package baked in, with configurable expiry dates, a required portal key to activate it, and onboarding event logs visible in the device timeline — replacing the old script/blob approach. The previous tool gave no clear status feedback, leaving admins unable to tell if onboarding was in progress or had failed.

Source

Un processus inconnu dans le Gestionnaire des tâches, un nom étrange, une forte utilisation CPU ou une activité réseau inhabituelle peuvent susciter des inquiétudes.

Sous Windows 11/10, des dizaines de processus légitimes s’exécutent en arrière-plan. Mais un malware peut se dissimuler derrière un nom trompeur pour passer inaperçu.

Pour déterminer si un processus est légitime ou malveillant, il faut analyser plusieurs éléments : son emplacement, sa signature numérique, son comportement, sa persistance et son éventuelle détection par des antivirus.

Ce guide vous donne une méthode claire pour vérifier un processus suspect sans supprimer par erreur un composant système légitime.

Comment identifier un processus suspect sous Windows 11/10

Un virus ou un autre logiciel malveillant s’exécute généralement sous la forme d’un processus actif en arrière-plan. Examiner les processus en cours d’exécution sous Windows 11/10 est donc une étape essentielle pour déterminer si votre PC est infecté.

L’objectif est d’identifier un programme inhabituel, mal nommé ou incohérent avec votre utilisation.

Examiner les processus avec le Gestionnaire des tâches

Pour afficher les processus actifs :

• Ouvrez le gestionnaire de tâches par un clic droit sur le menu Démarrer ou utilisez le raccourci clavier + X
• Puis Gestionnaire des tâches. Vous pouvez aussi utiliser le raccourci clavier CTRL+MAJ+ESC
• Ouvrez l’onglet Processus
• Cliquez sur Plus de détails si nécessaire

Vérifiez :

• Les programmes que vous ne reconnaissez pas
• Une utilisation CPU ou disque anormalement élevée
• Un nom étrange ou mal orthographié

Un processus consommant beaucoup de ressources alors que vous n’utilisez aucun logiciel lourd peut être suspect.

Identifier le processus exact (onglet Détails)

Pour une analyse plus précise :

• Ouvrez l’onglet Détails
• Notez le nom exact du processus
• Vérifiez le PID si nécessaire

Les malwares utilisent parfois un nom proche d’un processus système légitime (ex : svch0st.exe au lieu de svchost.exe).

Vérifier l’emplacement du fichier

Pour contrôler où se trouve le programme :

• Faites un clic droit sur le processus
• Cliquez sur Ouvrir l’emplacement du fichier

Un fichier situé dans :

• C:\Windows\System32
• C:\Program Files

est généralement légitime.

En revanche, un exécutable placé dans :

• AppData
• Temp
• Un dossier au nom aléatoire

mérite une analyse approfondie.

Vérifier la signature numérique

Pour savoir si un fichier est signé :

• Faites un clic droit sur le fichier
• Cliquez sur Propriétés
• Ouvrez l’onglet Signatures numériques

Une signature valide provenant de Microsoft ou d’un éditeur reconnu est rassurante.
L’absence de signature n’est pas forcément malveillante, mais elle doit inciter à la prudence.

Signature numérique des fichiers sur Windows et sécurité

Analyser un processus suspect avec VirusTotal

Si un processus vous semble suspect (nom inhabituel, forte utilisation CPU, comportement étrange), vous pouvez analyser son fichier exécutable avec VirusTotal, un service en ligne qui vérifie un fichier à l’aide de dizaines de moteurs antivirus.

Pour analyser un processus :

• Faites un clic droit sur le processus dans le Gestionnaire des tâches
• Cliquez sur Ouvrir l’emplacement du fichier
• Copiez le fichier exécutable
• Téléversez-le sur VirusTotal

VirusTotal affiche un résultat du type :

0/70 → Aucun moteur ne détecte le fichier
5/70 → 5 moteurs signalent un problème

Plus le nombre de détections est élevé, plus le risque est important.

Pour un guide détaillé expliquant :

• Comment utiliser VirusTotal
• Comment interpréter les résultats
• Comment analyser un hash au lieu d’un fichier
• Comment vérifier une URL suspecte

Consultez le guide complet : VirusTotal : analyser et scanner des fichiers avec plusieurs antivirus

Analyser automatiquement les processus avec VirusTotal via Process Explorer

Plutôt que de vérifier manuellement chaque fichier suspect, vous pouvez utiliser Process Explorer (outil Microsoft Sysinternals) pour analyser automatiquement les processus actifs via VirusTotal.

Process Explorer est un gestionnaire des tâches avancé qui permet notamment :

• D’afficher l’arborescence complète des processus
• De vérifier les signatures numériques
• D’analyser automatiquement les exécutables en ligne

Pour l’utiliser :

• Téléchargez et lancez Process Explorer :

• Cliquez sur Options
• Activez Check VirusTotal.com
• Acceptez les conditions d’utilisation

Une nouvelle colonne VirusTotal apparaît alors avec un score du type 0/75.

Ce score indique :

• Le nombre de moteurs antivirus ayant détecté le fichier
• Le nombre total de moteurs utilisés

Un résultat 0/75 est généralement rassurant.
Un score élevé (par exemple 10/75 ou plus) doit attirer votre attention.

Pour un guide détaillé d’utilisation, consultez : Process Explorer : gestionnaire des tâches avancé

Vérifier la persistance d’un processus suspect

Un processus malveillant ne se contente pas d’être actif.
Il tente généralement de se relancer automatiquement après un redémarrage.

Si vous suspectez un processus précis, vous devez vérifier s’il est configuré pour démarrer automatiquement.

Vérifier si le processus est présent au démarrage

• Ouvrez le Gestionnaire des tâches
• Cliquez sur l’onglet Démarrage
• Recherchez le nom exact du processus suspect

S’il apparaît dans la liste avec un statut Activé, cela peut indiquer une tentative de persistance.

Vérifier les tâches planifiées liées au processus

• Appuyez sur Windows + R
• Tapez taskschd.msc
• Recherchez une tâche qui lance le même fichier exécutable

Ouvrez la tâche et vérifiez le chemin du programme exécuté.

Si la tâche lance précisément le fichier suspect, cela confirme une persistance programmée.

Vérifier s’il est installé comme service

• Appuyez sur Windows + R
• Tapez msconfig
• Allez dans l’onglet Services
• Cochez « Masquer tous les services Microsoft« 
• Vérifier si un service inconnu ou suspicieux est présent

Analyser un processus avec Process Explorer et Autoruns

Le Gestionnaire des tâches de Windows 11/10 permet une première analyse, mais il reste limité. Pour examiner en profondeur un processus suspect ou détecter une persistance cachée, il est recommandé d’utiliser des outils avancés de Microsoft Sysinternals.

Deux outils sont particulièrement utiles : Process Explorer et Autoruns.

Analyser un processus en détail avec Process Explorer

Process Explorer est un gestionnaire des tâches avancé qui fournit beaucoup plus d’informations que l’outil intégré à Windows.

Il permet notamment de :

• Voir l’arborescence complète des processus
• Identifier le processus parent
• Vérifier la signature numérique en temps réel
• Consulter les DLL chargées
• Interroger automatiquement VirusTotal

Pour l’utiliser :

• Téléchargez et lancez Process Explorer
• Recherchez le processus suspect
• Vérifiez la colonne Verified Signer
• Activez l’option Check VirusTotal.com dans le menu Options

Un processus non signé, situé dans un dossier inhabituel et signalé par VirusTotal mérite une analyse approfondie.

Guide détaillé : Process Explorer : gestionnaire des tâches avancé

Détecter la persistance avec Autoruns

Si vous suspectez qu’un processus malveillant se relance automatiquement, Autoruns est l’outil le plus complet pour analyser les mécanismes de démarrage.

Il affiche :

• Les programmes au démarrage
• Les services
• Les tâches planifiées
• Les pilotes
• Les extensions navigateur
• Les clés de registre liées au lancement automatique

Autoruns permet d’identifier des éléments que le Gestionnaire des tâches ne montre pas.

Pour analyser :

• Lancez Autoruns
• Recherchez le nom du processus suspect
• Vérifiez le chemin du fichier
• Contrôlez la signature numérique

Un élément au nom étrange, non signé et situé dans AppData ou Temp doit être examiné avec prudence.

Guide détaillé :Autoruns : analyser et désactiver les programmes au démarrage de Windows

Quand faut-il réellement s’inquiéter ?

Un processus inconnu ne signifie pas automatiquement qu’il est malveillant. Windows 11/10 exécute de nombreux services en arrière-plan, dont certains portent des noms peu explicites. Il est donc important de ne pas paniquer au premier doute.

En revanche, certains signaux doivent réellement vous alerter, surtout lorsqu’ils se cumulent.

Combinaison de plusieurs indicateurs suspects

Vous devez commencer à vous inquiéter si le processus présente plusieurs des caractéristiques suivantes :

Indicateur	Niveau d’alerte
Nom proche système	Élevé
Absence signature	Moyen
Dossier Temp	Élevé
Score VirusTotal élevé	Critique
Persistance automatique	Critique

Un seul critère isolé ne suffit généralement pas. C’est la combinaison de plusieurs éléments qui doit attirer votre attention.

Le processus réapparaît après suppression

Si vous tentez de :

• Terminer le processus
• Supprimer le fichier
• Désactiver son démarrage

et qu’il réapparaît automatiquement, cela peut indiquer :

• Une persistance installée (tâche planifiée, service, clé registre)
• Une infection plus avancée
• Un malware actif en mémoire

Dans ce cas, une analyse plus poussée est nécessaire.

Modifications système associées

Un processus devient particulièrement suspect s’il s’accompagne de :

• Désactivation de l’antivirus
• Modification des paramètres proxy
• Ajout d’un compte administrateur
• Redirections navigateur

Ces comportements sont plus caractéristiques d’un malware que d’un simple programme mal configuré.

Signes complémentaires d’infection

Vous devez également vous inquiéter si le processus suspect est lié à :

• Des fichiers chiffrés (ransomware)
• Une activité réseau constante au repos
• L’impossibilité d’accéder à des sites de sécurité
• Des messages d’erreur inhabituels au démarrage

Que faire si le processus est malveillant ?

Si vos vérifications confirment qu’un processus est réellement malveillant sous Windows 11/10, il est important d’agir avec méthode. Supprimer un fichier au hasard ou forcer l’arrêt d’un processus sans analyse peut rendre le système instable.

Voici les étapes à suivre.

Isoler temporairement le PC du réseau

Si le processus communique vers l’extérieur :

• Déconnectez le Wi-Fi
• Débranchez le câble Ethernet

Cela limite les communications avec un serveur distant (exfiltration de données, réception d’instructions).

Mettre fin au processus suspect

Dans un premier temps :

• Ouvrez le Gestionnaire des tâches
• Sélectionnez le processus
• Cliquez sur Fin de tâche

Si le processus refuse de se fermer ou se relance immédiatement, cela peut indiquer une persistance active.

Supprimer le fichier malveillant

Après avoir arrêté le processus :

• Faites un clic droit sur le fichier
• Supprimez-le
• Videz la corbeille

Effectuer une analyse antivirus complète

Même si vous avez identifié le fichier, il est indispensable d’effectuer une analyse complète du système :

• Lancez une analyse complète avec Microsoft Defender
• Utilisez un outil de seconde opinion comme Malwarebytes

Cela permet de détecter :

• D’autres composants liés
• Une éventuelle persistance
• Des modifications système associées

Le guide à suivre : Supprimer les virus et désinfecter son PC

L’article Comment vérifier si un processus est légitime ou malveillant sous Windows 11/10 est apparu en premier sur malekal.com.

Microsoft Defender for Endpoint has received a set of new features and enhancements in February 2026, covering live response management, configuration visibility, vulnerability reporting, and predictive threat mitigation. These updates span endpoints running Windows, macOS, Linux, Android, and iOS. This article covers the most significant additions to the Defender portal and their operational impact on security teams.

Source

Library management is a new feature in Microsoft Defender for Endpoint that provides security operations teams with a centralized interface for uploading, organizing, and reviewing scripts and files before a live response session begins. Previously, analysts had to upload tools during an active investigation, which delayed response times. The feature is now generally available for enterprise customers and integrates with Microsoft Security Copilot for automated script analysis.

Source