● 01net 📅 20/04/2026 à 12:01

macOS : les attaques ClickFix contournent déjà les nouvelles protections d'Apple

Géopolitique 👤 Naïm Bada
Illustration
© Naïm Bada pour 01net Apple a ajouté une alerte quand on colle un script dans Terminal. Les attaquants sont déjà passés par une autre porte. Jamf Threat Labs, spécialiste de la sécurité sur Mac, a publié le 8 avril l’analyse d’une nouvelle variante du malware ClickFix. La technique contourne la protection ajoutée par Apple dans macOS Tahoe 26.4, publié fin mars. Moins de deux semaines séparent la sortie de la protection de l’apparition de son contournement. Comment le malware contourne-t-il la protection d’Apple ? ClickFix n’est pas un virus mais une technique d’ingénierie sociale. L’attaquant piège l’utilisateur avec une fausse page de maintenance système, qui l’invite à coller une commande dans Terminal. Dans macOS Tahoe 26.4, Apple a ajouté un scanner de collage dans Terminal. Celui-ci inspecte le contenu et prévient l’utilisateur avant exécution. Une attaque ClickFix se faisant passer pour un pare-feu Cloudflare. C’est cette méthode qu’Apple a bloqué avec macOS Tahoe 26.4. © MalwareBytes La technique s’est popularisée en 2025, après la sortie de macOS Sequoia. Apple avait supprimé la possibilité de contourner Gatekeeper via un simple clic droit. Les attaquants ont alors abandonné les faux installeurs DMG au profit de l’ingénierie sociale, plus économique et plus rapide. La nouvelle variante repérée par les chercheurs de Jamf Threat Labs change d’outil système. L’utilisateur arrive sur une fausse page Apple promettant de libérer de l’espace disque. Un bouton « Execute » déclenche un lien utilisant le schéma applescript://, qui ouvre Script Editor avec un script prérempli. Un second clic et Atomic Stealer s’installe sur la machine. Cet infostealer conçu pour macOS récupère identifiants de navigateurs, trousseau système et portefeuilles de cryptomonnaies. © Jamf L’économie de l’attaque n’a pas changé. Pas besoin de certificat de signature Apple, pas besoin d’un développeur enregistré. Un simple schéma d’URL suffit pour rediriger l’utilisateur vers Script Editor, et éviter le nouveau garde-fou de Terminal. © Jamf Apple peut-elle vraiment bloquer ce type d’attaque ? Chaque protection ajoute une friction qui élimine une partie des victimes. La suppression du clic droit sur Gatekeeper a fait chuter les infections par faux DMG. Le scanner de collage bloque les utilisateurs moyens. Script Editor affiche lui aussi un prompt « unidentified developer » avant d’enregistrer un script téléchargé depuis une page web. Mais l’utilisateur qui clique « Execute » sur une page promettant de libérer de l’espace disque cliquera aussi sur le prompt suivant. L’ingénierie sociale attaque une couche qu’aucun correctif ne peut patcher. Elle vise la hâte, la confiance mal placée, le réflexe d’accepter ce qui semble venir d’Apple. Selon Jamf, les trojans représentent désormais la moitié des détections de malware sur Mac. Les faux installeurs DMG avaient perdu du terrain après Sequoia, et ClickFix avait pris leur place. Le scanner de Terminal arrive, et Script Editor devient à son tour le point d’entrée privilégié. Chaque verrou technique déplace l’attaque vers la porte suivante, sans jamais la bloquer à la source. 👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp. Source : Jamf malwareprotection macOS Naïm Bada Sur le même sujet Un virus nord-coréen se cache dans la colonne vertébrale des cryptos Un PDF suffit à pirater votre PC avec Acrobat Reader, Adobe réagit… 4 mois plus tard Cyberattaques russes contre l’iPhone : de nouveaux pirates exploitent le kit DarkSword « Un véritable fantôme » : ce virus s’attaque à 850 extensions de navigateur « sans laisser de traces » Meilleur antivirus 2026 : quel est le meilleur choix ? Quel est le meilleur VPN ? Meilleur stockage cloud en 2026 : lequel choisir ? Comment accéder au Dark Web ? Tutoriel 3 étapes 2026 Meilleur gestionnaire de mots de passe : le guide en avril 2026 Meilleur VPN gratuit : 7 services à choisir et 2 à fuir Les dernières actualités iPhone : iOS 27 ajouterait ces 2 boutons pour simplifier la personnalisation de votre écran d’accueil macOS : les attaques ClickFix contournent déjà les nouvelles protections d’Apple Bouygues Telecom : attention à cette hausse de prix qui pourrait passer inaperçue Google voudrait muscler ses puces IA avec un nouveau fournisseur 50 minutes et 26 secondes : un robot humanoïde pulvérise le record du monde humain au semi-marathon Fuite massive en France : des millions de données d’état civil volées à l’Agence Nationale des Titres Sécurisés Cyberattaques Windows : une faille transforme l’antivirus Defender en arme pour les pirates Shokz éclate le prix de son top casque sport : l’OpenRun Pro 2 chute à -45% ⚡️ Les tests à la une AirPods Pro 3 Google Pixel 9a Google Pixel 10 Google Pixel 10 Pro XL iPhone 17 iPhone 17 Pro iPhone 16e Samsung Galaxy S25 Samsung Galaxy S25 Ultra Samsung Galaxy A56 Samsung Galaxy A26 Samsung Galaxy A17 Starlink Xiaomi Redmi Note 14 4G Xiaomi Redmi Note 14 Pro Xiaomi 15T Pro
← Retour