Tech

Attaque ClickFix : un simple clic installe Atomic Stealer sur votre Mac — êtes‑vous vulnérable ?

Une nouvelle variante de l’attaque dite « ClickFix » vise désormais les utilisateurs de macOS en contournant les protections introduites par Apple. Plutôt que d’inciter la victime à copier un commande dans le Terminal — manœuvre aujourd’hui accompagnée d’un avertissement explicite dans les versions récentes de macOS — les assaillants exploitent le Script Editor : un simple clic suffit pour importer et exécuter une chaîne de scripts qui finit par installer l’infâme voleur de données Atomic Stealer (connu aussi sous le nom AMOS).

Le scénario classique, détourné

Le mode opératoire initial du ClickFix est relativement simple et repose sur l’ingénierie sociale : un internaute recherche comment récupérer de l’espace disque, tombe sur un faux site imitant l’assistance Apple et suit des « instructions » qui lui sont présentées comme légitimes. Historiquement, ces instructions demandaient d’exécuter une commande dans le Terminal. Apple a partiellement fait reculer cette menace en introduisant des avertissements lors de l’exécution de commandes potentiellement dangereuses. Les cybercriminels ont donc adapté leur méthode.

Le nouvel artifice : Script Editor à la place du Terminal

Les chercheurs de Jamf ont identifié une variante plus sournoise : le site malveillant fournit désormais un bouton qui, lorsqu’on clique dessus, copie automatiquement un code dans le Script Editor du Mac. L’utilisateur, pensant suivre une procédure inoffensive, colle et exécute le script. C’est là que la chaîne d’exécution démarre : le script initial télécharge en cascade d’autres scripts et finit par récupérer et installer Atomic Stealer.

Pourquoi cette méthode est‑elle si dangereuse ?

Plusieurs éléments rendent cette approche préoccupante :

  • elle réduit les frictions pour la victime : un simple clic remplace la copie manuelle d’une commande complexe ;
  • elle exploite un outil légitime d’Apple (Script Editor), ce qui rend la manipulation moins suspecte pour un utilisateur moyen ;
  • sur les versions plus anciennes de macOS, il n’y a pas ou peu d’avertissement avant l’exécution d’un script, donc la protection utilisateur est moindre ;
  • Atomic Stealer est un malware puissant : il peut exfiltrer des données sensibles du Keychain, des extensions de portefeuilles cryptos, des mots de passe, cookies et numéros de cartes de crédit présents dans les navigateurs.
    • Article à lire  L’UE veut interdire les réseaux sociaux aux moins de 16 ans : ce que ça change (et pourquoi les PDG pourraient être tenus responsables)

    Ce que fait Atomic Stealer (AMOS)

    Atomic Stealer est une famille d’infostealers en pleine évolution. Ses fonctionnalités documentées incluent :

  • extraction de credentials et de secrets stockés localement (Keychain) ;
  • lecture et exportation des données des extensions de wallets de cryptomonnaies ;
  • exfiltration de cookies et de mots de passe sauvegardés dans les navigateurs ;
  • capacité d’installer des backdoors pour maintenir un accès à distance persistant.

    • La combinaison de vol d’identifiants et de persistance rend ce malware particulièrement rentable pour des acteurs russes, chinois ou des opérations de cybercriminalité commerciale qui revendront les informations sur des marchés clandestins.

    Mesures immédiates pour les utilisateurs

    Face à cette menace, plusieurs bonnes pratiques doivent être rappelées et appliquées sans délai :

  • ne jamais cliquer sur des boutons provenant de sites non officiels ou suspects ;
  • vérifier systématiquement l’URL d’un site et privilégier les ressources officielles (support Apple, documentation reconnue) ;
  • mettre à jour macOS vers la dernière version disponible — les protections ajoutées par Apple (alertes à l’exécution, sandboxing renforcé) réduisent le risque ;
  • désactiver l’exécution automatique ou l’autorisation d’exécuter des scripts lorsqu’on n’en a pas explicitement besoin ;
  • installer et maintenir un logiciel de sécurité réputé capable de détecter des comportements suspects et des infostealers ;
  • activer l’authentification à deux facteurs sur les services sensibles et surveiller toute activité de connexion inhabituelle.

    • Que faire en cas d’infection suspectée ?

    Si vous pensez que votre Mac a été compromis suite à l’exécution d’un script non vérifié, voici une démarche logique :

  • isoler la machine du réseau (déconnecter le Wi‑Fi / Ethernet) afin de limiter l’exfiltration des données ;
  • lancer une analyse complète avec un outil anti‑malware fiable ;
  • changer les mots de passe sensibles depuis un appareil propre (autre ordinateur ou smartphone n’ayant pas été exposé) et révoquer les sessions actives sur les services importants ;
  • vérifier Keychain et les extensions de wallet — idéalement en concertation avec le support technique ou un spécialiste ;
  • considérer la restauration complète du système à partir d’une sauvegarde saine antérieure si l’on suspecte une compromission profonde.
    • Article à lire  Sora 2 : générez des vidéos ultra‑réalistes gratuitement — la révolution IA qui remplace les tournages ?

    Responsabilité des plateformes et prévention

    Cette évolution du ClickFix met en lumière deux enjeux majeurs : la responsabilité des plateformes de recherche et la nécessité d’une pédagogie accrue. Les résultats de recherche renvoyant vers des faux sites qui usurpent l’identité d’Apple constituent un vecteur initial clé. Google, Bing et les autres moteurs ont des procédures de retrait et de signalement ; leur activation rapide peut réduire la surface d’attaque. Parallèlement, il revient aux éditeurs (Apple en tête) de renforcer les garde‑fous techniques et d’améliorer les messages d’alerte destinés aux utilisateurs non techniques.

    Un panorama global inquiétant

    Le mécanisme décrit ici n’est pas une simple curiosité technique : il illustre comment la créativité des cybercriminels s’adapte aux protections successives des éditeurs. Chaque renforcement déclenche une transformation des tactiques adverses. Pour les utilisateurs et les organisations, la clé reste la vigilance, la mise à jour régulière des systèmes et l’adoption d’une culture de sécurité numérique active — ne pas croire que « Mac = invulnérable » et traiter toute instruction technique trouvée au hasard sur Internet avec une extrême prudence.

    Related Posts

    You May Have Missed