J'étais d'avis que les MacBook sont relativement plus sûrs que les autres ordinateurs portables, mais j'ai eu tort. C’est embarrassant et manifestement faux. Un nouveau rapport de Sophos X-Ops n’a ménagé aucun effort pour m’y mettre le nez.
Les chercheurs de l’entreprise ont suivi trois campagnes d’attaque distinctes entre novembre 2025 et février 2026, qui ciblaient toutes les utilisateurs de macOS avec quelque chose appelé MacSync infostealer. Pour ceux qui rattrapent leur retard, il s'agit d'un type de malware qui fouille discrètement vos mots de passe et vos informations d'identification enregistrées, agissant comme un pickpocket numérique.
Alors, concrètement, comment ça marche ?
Le malware utilisait une méthode de diffusion appelée ClickFix, qui nécessite un effort technique minimal. Il suffit aux victimes de copier et coller une commande dans le terminal de leur Mac (conçu pour exécuter et exécuter des commandes textuelles) et d'appuyer sur Entrée sur le clavier.
Premièrement, les acteurs malveillants ont utilisé de fausses pages de téléchargement OpenAI, qui ont été diffusées via des publicités sponsorisées sur Google (juste au-dessus du lien légitime). Ensuite, ils sont devenus encore plus créatifs : les attaquants ont commencé à partager des conversations partagées avec ChatGPT en arrière-plan, déguisées en « guides Mac utiles ».
Ces guides redirigeaient les utilisateurs vers de fausses pages GitHub, qui contenaient des instructions d'installation de logiciels soigneusement créées, mais en réalité, ils demandaient aux utilisateurs de copier une commande de terminal, permettant au voleur d'informations ManSync de fonctionner en arrière-plan. C'est ça; c'est toute l'attaque.
À quel point est-ce devenu grave ?
Sophos a découvert que rien qu’en décembre 2025, des acteurs malveillants avaient acheminé plus de 50 000 clics sur ces domaines malveillants. Un « clic » signifie que quelqu'un a copié la commande malveillante du terminal, mais pas nécessairement que le logiciel malveillant s'est installé avec succès ; le nombre réel d’infections pourrait être inférieur.
Les développeurs ont apporté une autre tournure à leur méthode d'attaque en février 2026, lui permettant de s'exécuter silencieusement en arrière-plan, en contournant les outils de sécurité macOS compétents tels que Gatekeeper et XProtect. Il peut, de manière très réelle, corriger la clé principale de 24 mots de votre portefeuille cryptographique de grand livre.
La société rapporte que des foyers d’infection étaient actifs sur des marchés clés, notamment dans certaines parties de l’Amérique du Nord, de l’Amérique du Sud et de l’Inde, quelques semaines seulement avant la publication de l’article (éventuellement fin mars).
De plus, l’idée selon laquelle « les Mac sont sûrs » n’est pas vraie, du moins pour le moment. À mesure que les plateformes d’IA gagnent en popularité et, plus important encore, gagnent la confiance de millions d’utilisateurs, les mauvais acteurs proposent de nouvelles façons d’utiliser les outils basés sur les LLM à leur avantage. Pour l'instant, je vous conseille de ne coller aucune commande textuelle dans le terminal de votre Mac.
