Les pop-ups “Cliquez pour réparer” ne sont plus l’apanage de Windows : ClickFix s’adapte à macOS et devient de plus en plus convaincant.
Qu’est-ce que ClickFix et d’où ça vient ?
ClickFix est une arnaque de social engineering née dans l’écosystème Windows : un faux message d’erreur apparaît et invite l’utilisateur à “réparer” (Fix) en un problème en cliquant (Click) sur un bouton.
En arrière-plan, la page copie une commande malveillante dans le presse-papier ; l’utilisateur est ensuite guidé pour ouvrir la boîte d’exécution (Windows+R), coller (Ctrl+V) puis valider, lançant ainsi un script qui télécharge et exécute un malware via des outils système légitimes (PowerShell, etc.). Parce que c’est l’utilisateur qui lance la commande manuellement, de nombreuses défenses automatiques peuvent être contournées.
Le raffinement des techniques et comment ClickFix contourne les protections
Les acteurs malveillants ont rapidement adapté ClickFix à macOS. Les premières campagnes affichaient encore des instructions Windows, mais les variantes récentes sont spécifiquement conçues pour macOS : elles expliquent d’ouvrir Spotlight (Commande+Espace), lancer Terminal et coller/ exécuter une commande. Certaines campagnes (observées par CrowdStrike) ciblent le déploiement de voleurs d’informations comme SHAMOS, variante macOS de l’info-stealer AMOS.
Image SecurityWeek
Les dernières versions sont même plus sournoises : Push Security a repéré un faux “Cloudflare Turnstile” très réaliste , qui copie automatiquement la commande dans le presse-papier, affiche une vidéo tutorielle intégrée et ajoute une minuterie pour accentuer la pression. Moins d’étapes, plus d’urgence, et la copie automatique réduisent la méfiance chez la victime. Ces mécanismes rendent difficile la détection par les protections classiques : le téléchargement n’est pas initié automatiquement par la page web mais par l’exécution manuelle du terminal, et le code malveillant peut invoquer des utilitaires système “bénins”, ce qui masque l’activité malveillante.
Vigilance + antivirus : le duo gagnant
Les possibilités de prévention côté OS et éditeurs de sécurité restent limitées : Microsoft a intégré des défenses pour détecter les pages ClickFix côté Defender, mais à ce jour Apple n'a pas encore communiqué sur le sujet. Concrètement :
Ne copiez/collez jamais de commandes dans Terminal à partir d’une page web non vérifiée.
Vérifiez l’URL et l’origine du message : Cloudflare ou un site connu ne se substituera pas à votre navigateur sans signe évident.
Ouvrez manuellement les apps (Finder → Applications) plutôt que via des instructions reçues.
