● Le Journal du Geek 📅 25/04/2026 à 15:00

Mac : les pirates n’utilisent plus le Terminal, et ça change tout

Cybersécurité 👤 Olivier
Illustration
© Towfiqu barbhuiya (Unsplash) Les chercheurs de Jamf Threat Labs ont mis la main sur une nouvelle variante d’attaque visant les utilisateurs de Mac. Elle repose sur une méthode bien connue, surnommée « ClickFix », mais avec une petite évolution qui change tout : ici, plus besoin de passer par un Terminal. Une fausse page Apple qui donne (presque) confiance À la place, les attaquants utilisent Script Editor, un outil intégré à macOS qui permet d’exécuter des scripts. Une différence technique, mais avec des conséquences concrètes : la manipulation devient plus simple pour l’utilisateur… et donc potentiellement plus efficace pour les cybercriminels. © Jamf Tout commence par une page web qui ressemble à s’y méprendre à une page officielle d’Apple. Elle propose d’« optimiser le stockage » de votre Mac, avec des étapes qui paraissent crédibles. Jusqu’ici, rien d’extraordinaire : ce type de page est courant dans les campagnes de phishing. Mais au moment de cliquer sur « Execute », le mécanisme change. © Jamf Habituellement, les attaques ClickFix demandent de copier-coller une commande dans Terminal. Ici, le site déclenche un lien spécial (applescript://) qui ouvre directement Script Editor. Le navigateur affiche simplement une demande d’autorisation : « autoriser ce site à ouvrir Script Editor ? ». Si l’utilisateur accepte, une fenêtre s’ouvre avec un script déjà prêt. Il ne reste plus qu’à cliquer sur « exécuter ». Dit autrement : l’utilisateur ne tape rien lui-même. Tout est déjà en place. Une fois le script lancé, le fonctionnement est assez classique pour ce type d’attaque. Le script télécharge d’abord un autre programme depuis Internet, puis l’exécute immédiatement. Le code est volontairement brouillé (encodage, compression, transformation de texte) pour compliquer l’analyse. Au bout de la chaîne, un logiciel malveillant est installé : une variante d’Atomic Stealer. Comme son nom l’indique, ce type de programme est conçu pour voler des informations : mots de passe, données personnelles, fichiers sensibles. Un détail important : une grande partie du code est exécutée directement en mémoire, sans être clairement enregistrée sur le disque. Cela rend la détection plus difficile pour certains outils de sécurité. Apple a récemment ajouté une protection dans le Terminal, qui est capable d’analyser les commandes copiées avant leur exécution. Une barrière supplémentaire, qui complique les attaques classiques. Résultat : les attaquants adaptent leur approche. Plutôt que d’insister sur le Terminal, ils passent par un autre outil du système, moins surveillé dans ce contexte. Dans les faits, cette attaque ne repose pas sur une faille complexe, mais sur une manipulation bien construite. Quelques réflexes suffisent à limiter les risques : ne jamais exécuter un script proposé par une page web ; se méfier des pages qui imitent Apple ou proposent des « optimisations » système ; refuser les demandes inhabituelles d’ouverture d’applications comme Script Editor. 🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins. Partagez 𝕏 0 commentaire Signaler une erreur NomPrénomNomAdresse de contact *L'erreur concerne *Une / des fautes d'orthographeUne formulation erronéeLe sens même de l'articleErreur à signaler à l'équipe du JDG *CommentEnvoyer Source : Jamf Malware Rail Baltica : ce gigantesque chantier européen dont vous n’aviez (peut-être) jamais entendu parler Les dernières actualités Mac : les pirates n’utilisent plus le Terminal, et ça change tout Rail Baltica : ce gigantesque chantier européen dont vous n’aviez (peut-être) jamais entendu parler La France quitte Microsoft et fait confiance à Scaleway pour le Health Data Hub Grâce à l’IA de Google, le robot quadrupède Spot apprend enfin à lire les cadrans Cette expo immersive vous plonge dans un porno féministe en VR Le syndrome de la « grenouille bouillie » : l’IA nous rend idiots, selon ces chercheurs RED by SFR dégaine ses nouveaux tarifs, avec plus d’avantages, des tarifs plus bas et toujours sans engagement Test DJI Power 1000 Mini : la batterie au look de GameCube la plus compacte du marché
← Retour