🎓 Universités mondiales
🚨 Malware actif
Harvard, Oxford et DuckDuckGo piratés : si vous avez visité leur site, vous avez peut-être installé un virus sans le savoir
Plus de 700 sites web réputés ont été piratés — dont Harvard University, Oxford University et DuckDuckGo. Ces sites affichaient une fausse fenêtre de vérification Cloudflare qui demandait aux visiteurs d'exécuter une commande sur leur ordinateur. Ceux qui ont suivi les instructions ont installé un malware eux-mêmes sans le savoir. La campagne est toujours active. Si vous avez visité l'un de ces sites en mai 2026 et vu cette popup — lisez ceci maintenant.
700+
Sites web piratés dans 30+ pays
9.8/10
Score de gravité de la faille — "Critique"
0
Clic malveillant nécessaire — la victime s'infecte elle-même
🏫 Les victimes les plus connues
La campagne ne discrimine pas — les hackers ont touché aussi bien des universités mondiales que des moteurs de recherche, des blogs et des entreprises tech :
🎓 Harvard University
🎓 Oxford University
🎓 Auburn University
🔍 DuckDuckGo
🤖 Entreprises IA/SaaS
📰 Médias en ligne
💰 Fintechs
📝 Blogs personnels
😱 La technique ClickFix — vous vous infectez vous-même
Ce qui rend cette attaque particulièrement vicieuse, c'est sa technique. Les hackers n'ont pas besoin d'exploiter une faille de votre ordinateur. Ils vous manipulent pour que vous vous infectiez vous-même — c'est ce qu'on appelle une attaque "ClickFix".
⚠️ Voici à quoi ressemblait la fausse popup
Cloudflare — Vérification de sécurité
Une activité inhabituelle a été détectée. Veuillez vérifier que vous êtes humain en suivant ces étapes :
1. Appuyez sur Windows + R
2. Collez la commande ci-dessous
3. Appuyez sur Entrée
1. Appuyez sur Windows + R
2. Collez la commande ci-dessous
3. Appuyez sur Entrée
powershell -exec bypass -c "iex..."
✓ Je ne suis pas un robot
🚨 C'est une arnaque ! Ne collez jamais une commande copiée depuis un site web dans votre terminal ou invite de commandes.
Cloudflare ne vous demande jamais d'exécuter des commandes PowerShell ou Terminal. Si vous voyez ce type de popup sur n'importe quel site — fermez immédiatement l'onglet.
🔍 Comment le piratage a-t-il fonctionné ?
La faille exploitée s'appelle CVE-2026-26980 — une injection SQL critique (score 9.8/10) dans Ghost CMS, un logiciel de blog utilisé par plus de 100 000 sites dans le monde. Le correctif existait depuis le 19 février 2026, mais des centaines d'administrateurs ne l'avaient pas installé.
- Un attaquant envoie une simple requête HTTP au site — sans avoir de compte, sans mot de passe
- La faille lui donne accès aux clés API administrateur du site
- Il injecte alors du JavaScript malveillant dans tous les articles du site
- Les visiteurs voient la fausse popup Cloudflare et, s'ils suivent les instructions, installent un malware
🚨 Ce que le malware faisait une fois installé
- Vol de mots de passe sauvegardés dans votre navigateur
- Vol de cookies de session — accès à vos comptes sans mot de passe
- Enregistrement de frappe — tout ce que vous tapez est capturé
- Accès à distance — le hacker peut contrôler votre PC
- Vol de fichiers — documents, photos, données personnelles
⚠️ Pourquoi DuckDuckGo est particulièrement choquant
- DuckDuckGo est le moteur de recherche "privé" — utilisé par ceux qui se méfient de Google
- Ses utilisateurs font confiance à la marque — ils sont moins méfiants face à une popup sur ce site
- C'est le blog de DuckDuckGo qui a été compromis, pas le moteur de recherche lui-même
- Ironie cruelle : les plus soucieux de leur vie privée ont été les plus ciblés
✅ Ce que vous devez faire maintenant
✅ Si vous avez visité ces sites en mai 2026
- Faites un scan antivirus complet avec Malwarebytes (gratuit) ou Bitdefender
- Changez vos mots de passe importants depuis un autre appareil — email, banque, réseaux sociaux
- Déconnectez-vous de tous vos appareils sur vos comptes importants (option disponible dans les paramètres)
- Vérifiez l'historique de connexion de vos comptes — toute connexion depuis un lieu ou appareil inconnu est suspecte
💡 La règle d'or à retenir à vie
- Jamais, au grand jamais une popup sur un site web ne vous demandera de coller une commande dans votre terminal ou invite de commande Windows
- Cloudflare, Google, Microsoft ou votre banque ne vous demanderont JAMAIS d'exécuter du code PowerShell ou Terminal pour vous vérifier
- Si vous voyez ce type de popup — fermez l'onglet immédiatement
- Partagez cette règle avec vos parents et grands-parents — ils sont les plus vulnérables à cette manipulation
❓ Questions fréquentes
Si vous avez visité un site en mai 2026 et vu une popup de vérification Cloudflare vous demandant de coller et exécuter une commande dans votre terminal ou invite de commande Windows, vous êtes probablement infecté. Faites un scan antivirus complet immédiatement avec Malwarebytes ou Bitdefender.
Plus de 700 sites ont été compromis, dont Harvard University, Oxford University, Auburn University, DuckDuckGo, des entreprises d'IA et SaaS, des médias, des blogs personnels et des sites fintech. La campagne a touché des sites dans plus de 30 pays.
ClickFix affiche une fausse popup imitant parfaitement l'interface Cloudflare et demande à l'utilisateur de coller une commande dans son ordinateur pour "prouver qu'il est humain". La victime exécute elle-même le malware. L'antivirus ne détecte rien — c'est l'utilisateur qui lance l'infection.
Le piratage a affecté le blog de DuckDuckGo, pas le moteur de recherche lui-même. Vos recherches DuckDuckGo ne sont pas compromises. En revanche, si vous avez visité blog.duckduckgo.com en mai 2026 et suivi les instructions de la popup, faites un scan antivirus complet.
💡 Vous aimerez peut-être aussi
Vous avez vu cette popup et vous avez des doutes ?
Décrivez la situation à CyberGuard — il vous guide pas à pas pour vérifier si votre PC est infecté.
🤖 Parler à CyberGuard →📖 Guide complet — Protégez votre famille en ligne
30 pages · Malwares, phishing, arnaques · PDF immédiat