Ces derniers mois, les cyberattaques de type ClickFix se sont multipliées, que ce soit à l’encontre de Windows, d’Android, d’iOS ou encore de macOS. Lors d’une attaque de cet acabit, les pirates ne vont pas tenter d’exploiter des vulnérabilités dans le code du système d’exploitation ou dans un logiciel. En fait, les hackers vont plutôt manipuler l’internaute pour le pousser à réaliser lui-même des actions malveillantes sur son appareil. Le plus souvent, les pirates persuadent leur cible de copier et de coller des lignes de commande, qui aboutissent à l’installation d’un virus. Les attaquants prétendent parfois que la commande peut corriger un problème technique ou installer un logiciel gratuit.
Les attaques ClickFix sont redoutables parce qu’elles ne passent pas par un fichier malveillant, mais simplement par le clavier, ou le presse‑papiers, de l’utilisateur. Comme c’est la victime elle‑même qui tape ou colle la commande, les protections habituelles ne s’activent. Sur macOS, la stratégie permet d’agir sans alerter Gatekeeper. C’est le mécanisme qui protège les utilisateurs contre les virus et les applications non sécurisées. Avant l’installation, il vérifie si l’application provient d’une source fiable et d’un développeur reconnu par Apple. Étant donné qu’aucune source externe n’est identifiée lorsqu’un utilisateur tape du code dans le Terminal, Gatekeeper reste inactif. ESET a observé une explosion des attaques ClickFix, avec une hausse de 517% en seulement six mois. C’est désormais le deuxième vecteur d’attaque le plus courant après le phishing.
À lire aussi : Pas de virus sur Mac ? Le « mythe du macOS sans malware s’effondre »
La riposte d’Apple contre les attaques ClickFix
Face à l’explosion des attaques ClickFix, Apple a décidé de prendre des mesures pour protéger macOS. Depuis la mise à jour macOS Tahoe 26.4, l’ordinateur va intervenir lorsque l’utilisateur copie une commande depuis Safari puis la colle dans Terminal. Le système d’exploitation va alors prendre le temps d’analyser le contenu de la commande pour déceler des éléments suspects. Si des instructions suspectes sont épinglées, un avertissement va s’afficher à l’écran :
« Logiciel malveillant possible, collage bloqué. Votre Mac n’a pas été endommagé. Les escrocs encouragent souvent à coller du texte dans le Terminal pour tenter de nuire à votre Mac ou de compromettre votre vie privée. Ces instructions sont généralement proposées via des sites web, des agents de chat, des applications, des fichiers ou un appel téléphonique ».
Vous pouvez évidemment passer outre de l’avertissement d’Apple en cliquant sur « Coller quand même ». Apple n’a pas précisé publiquement quels sont les éléments qui provoquent l’affichage d’une alerte. Le géant de Cupertino souhaite probablement éviter que les cybercriminels comprennent le fonctionnement du mécanisme et trouvent le moyen de le contourner.
À lire aussi : Alerte sur Mac – un virus a trouvé comment contourner la sécurité d’Apple
Un mécanisme de sécurité qui n’est pas infaillible
Comme le soulignent les chercheurs de MalwareBytes, le système mis en place par Apple n’est pas infaillible. En effet, macOS n’affichera pas d’avertissement si vous collez une commande en provenance d’une autre application que Safari. En d’autres termes, les personnes qui utilisent un autre navigateur, comme Chrome, Opera ou Firefox, ne sont pas protégées. De même, l’utilisateur qui tape manuellement la ligne de commande malveillante, sans passer par le copier‑coller, ne déclenchera pas d’avertissement. Enfin, MalwareBytes précise que toutes les commandes malveillantes ne sont pas forcément repérées par Apple.
Pour éviter les mauvaises surprises, on vous conseille de ne jamais exécuter une commande trouvée en ligne sans comprendre précisément ce qu’elle va faire sur votre ordinateur. Avant de les lancer sur le Terminal, prenez le temps de vous renseigner sur ce qu’elles cachent comme instructions, notamment en contactant l’assistance Apple. Surtout, ne vous précipitez pas, même si la page sur laquelle vous vous trouvez affiche « des compteurs à rebours, des indicateurs du nombre d’utilisateurs ou d’autres techniques de pression pour vous pousser à agir rapidement », souligne MalwareBytes.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : MalwareBytes
