Avec macOS 26.4, Apple introduit dans le Terminal un avertissement pensé pour freiner les attaques ClickFix, qui poussent à coller des commandes dangereuses sous couvert d’assistance, de vérification de session ou de dépannage.
Apple n’a pas communiqué sur le sujet et n’a pas non plus, pour l’instant, détaillé la fonction dans ses notes de version. Pourtant, plusieurs personnes ayant installé macOS Tahoe 26.4 ont vu apparaître un nouveau message d’alerte dans Terminal lorsqu’elles y collaient des commandes copiées depuis le web. Relayée par BleepingComputer, cette nouveauté vise très clairement les attaques ClickFix, une méthode de social engineering qui consiste à pousser une victime à exécuter elle-même une commande malveillante sous prétexte de corriger un problème, de vérifier une session ou de débloquer un accès.
De la prévention pour gripper la chaîne d’infection dès son point de départ
Apple ne cherche pas à bloquer ici un malware en particulier, mais à enrayer la première étape de l’infection. Le principe des attaques ClickFix tient en peu de choses. Une fausse alerte, un message de vérification ou une consigne d’assistance pousse l’utilisateur ou l’utilisatrice à ouvrir le Terminal, puis à y coller une commande copiée depuis le web. L’attaque ne repose donc pas sur l’exploitation directe d’une faille du système, mais sur l’exécution volontaire d’une instruction présentée comme nécessaire pour rétablir une situation ou débloquer un accès.
Toute la force de la manœuvre repose sur l’illusion d’une action légitime et maîtrisée. La victime ne télécharge pas de fichier suspect au sens classique du terme et n’a pas non plus le sentiment de contourner les protections natives du système. C’est pourtant ce qu’elle fait, bien malgré elle, puisque la commande exécutée peut déclencher le téléchargement d’une charge utile, modifier des réglages sensibles et préparer le terrain pour une compromission plus durable.
Pour couper court à cette forme de manipulation, Apple a donc intégré au Terminal un avertissement chargé de suspendre le collage de commandes potentiellement malveillantes, de rappeler que des escrocs utilisent souvent ce type d’instructions pour tenter d’endommager un Mac ou de compromettre la vie privée de leur cible, et de permettre à l’utilisateur ou à l’utilisatrice d’abandonner ou de poursuivre malgré tout.
Une protection bienvenue, mais des critères encore inconnus
Apple n’a pas encore précisé ce qui déclenchait l’alerte. Les premiers éléments disponibles proviennent essentiellement de tests menés par des utilisateurs et utilisatrices, relayés par BleepingComputer. Plusieurs observations font état d’un avertissement apparaissant lorsque la commande a été copiée depuis Safari, tandis que d’autres rapportent au contraire un message moins systématique.
Faute de précisions techniques, on peut supposer que le système peut se limiter à une seule alerte par session, analyser le contenu collé, tenir compte de l’origine de la commande ou croiser plusieurs critères à la fois.
Toujours est-il que, face à la multiplication des attaques ClickFix, un avertissement de ce type devrait pouvoir freiner une partie de ces exécutions déclenchées trop vite. On rappellera quand même qu’il ne doit pas vous dispenser de faire preuve de vigilance. Une commande trouvée sur un site, dans un message, un tutoriel ou dans le cadre d’une prétendue assistance ne devrait jamais être collée dans le Terminal sans avoir été examinée avec la plus grande prudence.
