S’il a su évoluer au fil du temps et des différentes versions de Windows, arborant parfois un émoji de déception, l’« écran bleu de la mort » (communément abrégé en BSoD, pour Blue Screen of Death) reste, dans l’imaginaire collectif, tout sauf bon signe.​

Et même s’il est désormais voué à devenir noir, ce message bleu aux lettres blanches annonçant une erreur fatale continue de déclencher la panique de l’utilisateur, qui cherche à le faire disparaître au plus vite pour revenir à la normale. Et ça, les hackers l’ont bien compris.​

Les chercheurs en cybersécurité de Securonix ont ainsi révélé, le 5 janvier 2026, une campagne cybercriminelle détectée pendant la période cruciale des fêtes de fin d’année, ciblant plusieurs établissements hôteliers européens en exploitant précisément ce mécanisme de peur.​

Les premières victimes visées ? Les réceptionnistes. La première arme utilisée ? Un simple mail de phishing.​

Faux écran bleu de la mort, issu de la campagne cybercriminelle PHALT#BLYX. // Source : Securonix

Objectif final ? L’installation d’un malware

Concrètement, l’attaque commence donc par un mail qui imite un message de Booking.com annonçant l’annulation de dernière minute d’une réservation de plus de 1 000 €, ce qui incite la victime à cliquer sur « Voir les détails ».​

Le lien ne mène pas vers Booking.com, mais vers un site malveillant qui clone fidèlement l’interface du vrai service ; à l’ouverture, une erreur indique que « le chargement est trop long » et propose un bouton « Actualiser ».​

Quand la victime clique sur ce bouton, le navigateur copie discrètement une commande préparée par l’assaillant, passe en plein écran et affiche un faux écran bleu de la mort pour simuler une panne grave.​

La page explique ensuite comment « réparer » le problème en ouvrant la boîte Exécuter (Win+R), puis en collant (Ctrl+V) la commande, qui en réalité lance PowerShell et télécharge un malware.​

Selon que la machine ciblée dispose déjà de droits administrateur ou non, le programme malveillant désactive la protection en temps réel et installe sa charge utile, ou bien déclenche en boucle des fenêtres pop-up pour pousser le réceptionniste à accorder les privilèges.​

L’attaquant peut alors prendre le contrôle à distance, enregistrer les frappes clavier, exécuter des commandes, déployer d’autres malwares et maintenir un accès persistant au poste compromis.​

Une première étape vers des campagnes plus larges ?

Cette fausse manipulation de dépannage fait partie d’une méthode d’attaque récemment prisée par les hackers, baptisée ClickFix.​

Si aucune information n’a été communiquée sur le nombre exact d’organisations touchées, les chercheurs précisent que la campagne est toujours en cours.​

Dans le cas d’établissements hôteliers, le risque ne se limite pas aux structures elles‑mêmes.​ Il est fort probable qu’elles deviennent, malgré elles, des relais d’attaques contre leurs clients, via des campagnes de phishing ultra-ciblées, menées par des assaillants capables de connaître précisément les dates de séjour, le montant du voyage et diverses informations personnelles.