ClickFix et MacSync : un infostealer macOS via faux outils IA
Des campagnes ClickFix propagent MacSync, un infostealer macOS, via de faux sites d'outils IA comme ChatGPT. Mots de passe, crypto et Keychain vises.
Si vous pensez qu'avoir un Mac vous protege des virus et des pirates, mauvaise nouvelle. Des chercheurs en securite viennent de documenter une serie d'attaques qui ciblent specifiquement les Mac en utilisant de faux outils d'intelligence artificielle comme appat.
Le piege : de faux sites d'IA
Le principe est simple. Vous cherchez un outil d'intelligence artificielle sur Google, par exemple quelque chose lie a ChatGPT. Vous cliquez sur un des premiers resultats, qui est en fait une publicite payee par des pirates. Vous atterrissez sur un site qui a l'air credible, parfois heberge sur Google Sites (ce qui renforce la confiance), et le site vous propose de telecharger un outil.
Sauf qu'au lieu de vous donner un fichier a installer, le site vous demande d'ouvrir le Terminal de votre Mac (l'equivalent de la ligne de commande, l'interface texte ou on tape des instructions) et de coller une commande. C'est la que le piege se referme.
Pourquoi ca marche ?
La technique s'appelle ClickFix. Pas de faille technique, pas de virus qui s'installe tout seul. C'est vous qui faites le boulot a la place du pirate. Vous copiez une commande, vous la collez dans le Terminal, vous l'executez. Votre Mac fait exactement ce que vous lui demandez. Sauf que la commande telecharge et installe un programme malveillant appele MacSync.
C'est un peu comme si un escroc vous demandait poliment de lui donner les cles de chez vous, et que vous le faisiez parce qu'il portait un beau costume.
Ce que MacSync vole
Une fois installe, MacSync ratisse large. Il recupere vos mots de passe stockes dans le navigateur et dans le Trousseau de macOS (le gestionnaire de mots de passe integre de votre Mac, la ou sont stockes vos mots de passe Wi-Fi, vos codes de sites web, etc.). Il fouille vos fichiers et documents. Et surtout, il cherche les phrases de recuperation de portefeuilles de cryptomonnaies, ces fameux 12 ou 24 mots qui donnent acces total a vos fonds.
Le vol de ces phrases est particulierement grave : avec elles, un pirate peut vider votre portefeuille crypto en quelques secondes, et c'est irreversible.
Trois vagues d'attaques
Les chercheurs ont observe trois campagnes distinctes entre fin 2025 et debut 2026. La premiere utilisait un faux ChatGPT. La deuxieme ciblait les gens qui cherchaient comment nettoyer leur Mac. La troisieme, la plus avancee, execute le programme malveillant directement dans la memoire de l'ordinateur sans laisser de fichier sur le disque, ce qui le rend quasi invisible pour les antivirus.
Comment se proteger ?
La regle numero un : ne jamais copier-coller une commande depuis un site web dans votre Terminal. Si un site vous demande ca, c'est un signal d'alarme majeur.
Quelques reflexes en plus : mefiez-vous des resultats sponsorises sur Google (les pubs en haut de page). Utilisez un gestionnaire de mots de passe dedie. Ne stockez jamais vos phrases de recuperation crypto dans un fichier sur l'ordinateur, ecrivez-les sur papier et rangez-les en lieu sur. Et gardez bien actives les protections de securite de votre Mac.
Les Mac ne sont pas immunises contre les menaces. La meilleure protection, c'est votre vigilance.
À lire aussi
Un marin localise le Charles de Gaulle via Strava
Le Monde a retrouve la position exacte du porte-avions francais grace a l'appli de sport Strava. Une faille de securite qui persiste malgre les alertes.
StravaLeaks 2026 : analyse d'une faille OPSEC persistante
Comment l'application Strava permet de geolocaliseer des actifs militaires en temps reel. Analyse technique de la faille, vecteurs d'exploitation et contre-mesures.
Oracle publie un patch d'urgence pour une faille critique
Oracle corrige en urgence une vulnérabilité critique dans Identity Manager permettant une prise de contrôle à distance sans mot de passe.