Cet article s'adresse en priorité aux développeurs Mac et aux utilisateurs avancés. Si vous n'utilisez pas d'outils comme les gestionnaires de presse-papiers ou les scripts AppleScript au quotidien, vous êtes probablement peu concerné directement par cette menace précise. Mais la technique employée, des faux sites qui imitent une marque de confiance à un détail près, touche tout le monde. J'en donne un exemple très concret, et belge, en fin d'article.
Un nouveau malware Mac, et une technique qui sort de l'ordinaire
Les chercheurs de Jamf Threat Labs ont découvert début juillet un nouveau logiciel malveillant ciblant les Mac équipés de puces Apple Silicon. Baptisé PamStealer, il se distingue par un détail qui le rend particulièrement sournois : il vérifie que le mot de passe volé est bien le bon avant de l'envoyer aux pirates.
Il se fait passer pour Maccy, un gestionnaire de presse-papiers pour Mac. Si vous n'en avez jamais entendu parler, c'est normal : ce n'est pas une application grand public, mais un outil de niche très apprécié des développeurs et des utilisateurs avancés, qui permet de garder un historique de tout ce qu'on copie (par défaut, macOS ne conserve que le dernier élément copié). Maccy est un vrai logiciel, gratuit, open-source et plutôt bien noté. Son seul site officiel est maccy.app.
Comment fonctionne le piège
Les attaquants ont mis en ligne un faux site, maccyapp.com, qui imite la page officielle de Maccy à l'identique, comme le montre la capture ci-dessus. Même mise en page, même contenu, même cadenas de sécurité dans la barre d'adresse. Seule l'adresse elle-même trahit la supercherie. La différence : ce faux site distribue une image disque contenant un fichier nommé Maccy.scpt. Une fois ouvert, ce n'est pas un installateur classique. macOS l'ouvre dans l'éditeur de scripts (Script Editor), et le fichier invite la victime à appuyer sur Commande-R pour "démarrer l'installation". C'est justement ce raccourci qui déclenche le code malveillant.
Une fenêtre s'affiche alors, imitant parfaitement une demande d'autorisation macOS classique : "Maccy wants to make changes. Enter your password to allow this." Jusque-là, rien ne distingue cette fenêtre d'une vraie demande système.
C'est là qu'intervient la particularité de PamStealer : il vérifie le mot de passe saisi via le système d'authentification interne de macOS, PAM (Pluggable Authentication Modules). Si le mot de passe est incorrect, la fenêtre redemande simplement de le ressaisir, jusqu'à obtenir le bon. Une fois un mot de passe valide confirmé, une seconde fausse alerte apparaît, indiquant que "Maccy est endommagé et doit être déplacé dans la corbeille". Ce message est un leurre : à ce stade, le mot de passe a déjà été volé et le malware déjà installé durablement sur la machine.
Discret et ciblé
Ce malware est conçu pour rester sous le radar. Il ne fonctionne que sur les Mac Apple Silicon, il s'arrête automatiquement sur les Mac Intel, évite les environnements d'analyse de sécurité, et attend jusqu'à 40 minutes avant de demander l'accès complet au disque, un délai qui l'aide à ne pas être associé à l'installation initiale par la victime.
Une fois installé, il peut accéder aux données protégées de l'ordinateur (Mail, Messages, sauvegardes Time Machine), surveiller en continu le contenu du presse-papiers, et exfiltrer les données volées vers un serveur distant.
Comment se protéger
Les bons réflexes restent simples, et valent pour n'importe quel logiciel Mac, pas seulement pour Maccy :
- Téléchargez toujours vos applications depuis le site officiel du développeur, le Mac App Store, ou GitHub pour les projets open-source. Vérifiez l'adresse exacte du site avant de télécharger quoi que ce soit.
- Méfiez-vous si un programme vous demande d'utiliser un raccourci clavier comme Commande-R pour "s'installer". Une application Mac légitime ne fonctionne jamais ainsi.
- Si une fenêtre vous demande votre mot de passe suite à l'ouverture d'un fichier téléchargé, prenez le temps de vérifier que la demande est cohérente avec ce que vous êtes en train de faire.
Le point clé : Maccy est une vraie application légitime. Le problème n'est pas l'outil lui-même, mais un site clone qui usurpe son nom. Avant d'installer n'importe quel logiciel de niche, un simple contrôle de l'adresse du site suffit souvent à éviter le piège.
Un principe qui dépasse largement Maccy
Cette histoire illustre un principe qu'on retrouve partout, bien au-delà du monde des développeurs Mac : le faux site qui imite un nom de confiance à un détail près.
Une personne de mon entourage a récemment reçu un e-mail dont le lien pointait vers un site reproduisant à l'identique la page d'accueil de sa banque, BNP Paribas Fortis. Le nom de domaine utilisé par les pirates était "bnpparisbasfortis.be", avec un "s" ajouté qui transforme "paribas" en évoquant "paris". Cette personne a cliqué, est arrivée sur une copie parfaite du site de sa banque, et a saisi ses identifiants en toute confiance, d'autant plus qu'elle avait pris le réflexe de vérifier l'adresse dans la barre du navigateur avant de continuer. Le problème, c'est que cette adresse pointait bel et bien vers "bnpparisbasfortis.be" : le nom de domaine était cohérent avec ce qu'elle voyait, et la présence de ce "s" en trop, qui évoque "Paris", une ville que tout Belge connaît bien, ne lui a pas sauté aux yeux. Ce n'est pas une question d'inattention ou de manque de vigilance : c'est une technique de typosquatting bien pensée, qui peut tromper n'importe qui, même quelqu'un qui applique les bons réflexes de vérification.
Que ce soit pour une application de développeur ou pour l'accès à votre banque, le réflexe reste le même : vérifier l'adresse exacte avant de cliquer, et en cas de doute, retaper l'adresse soi-même plutôt que de suivre un lien.
En résumé : le nom de l'outil ou de la marque ne suffit jamais à garantir qu'un site est légitime. Seule l'adresse exacte compte.
Smishing : le faux SMS qui n'en est pas un · Vishing par IA : la voix clonée de votre banquier · Quishing : le QR code non vérifié
Sources et références
- Jamf Threat Labs — PamStealer: macOS Malware Posing as Clipboard Manager App, juillet 2026 (découverte originale)
- The Hacker News — PamStealer Uses Fake Maccy Sites and PAM Checks to Steal Mac Login Passwords
- Cult of Mac — PamStealer malware poses as a Mac clipboard app
- Tom's Guide — New PamStealer Mac malware poses as a clipboard manager
- Hackread — New PamStealer Malware Targets macOS Users via Fake Maccy Clipboard App
- IT-Connect — PamStealer macOS Malware Validates Passwords via PAM
- CyberInsider — New macOS malware PamStealer uses PAM to validate stolen data
Un doute sur la sécurité de vos appareils Apple ?
Si ce genre de sujet vous intéresse ou si vous avez un doute sur la sécurité de votre Mac, n'hésitez pas à me contacter.
Nous contacter