Cet article s'adresse en priorité aux développeurs Mac et aux utilisateurs avancés. Si vous n'utilisez pas d'outils comme les gestionnaires de presse-papiers ou les scripts AppleScript au quotidien, vous êtes probablement peu concerné directement par cette menace précise. Mais la technique employée, des faux sites qui imitent une marque de confiance à un détail près, touche tout le monde. J'en donne un exemple très concret, et belge, en fin d'article.

Un nouveau malware Mac, et une technique qui sort de l'ordinaire

Les chercheurs de Jamf Threat Labs ont découvert début juillet un nouveau logiciel malveillant ciblant les Mac équipés de puces Apple Silicon. Baptisé PamStealer, il se distingue par un détail qui le rend particulièrement sournois : il vérifie que le mot de passe volé est bien le bon avant de l'envoyer aux pirates.

Il se fait passer pour Maccy, un gestionnaire de presse-papiers pour Mac. Si vous n'en avez jamais entendu parler, c'est normal : ce n'est pas une application grand public, mais un outil de niche très apprécié des développeurs et des utilisateurs avancés, qui permet de garder un historique de tout ce qu'on copie (par défaut, macOS ne conserve que le dernier élément copié). Maccy est un vrai logiciel, gratuit, open-source et plutôt bien noté. Son seul site officiel est maccy.app.

Comment fonctionne le piège

Les attaquants ont mis en ligne un faux site, maccyapp.com, qui imite la page officielle de Maccy à l'identique, comme le montre la capture ci-dessus. Même mise en page, même contenu, même cadenas de sécurité dans la barre d'adresse. Seule l'adresse elle-même trahit la supercherie. La différence : ce faux site distribue une image disque contenant un fichier nommé Maccy.scpt. Une fois ouvert, ce n'est pas un installateur classique. macOS l'ouvre dans l'éditeur de scripts (Script Editor), et le fichier invite la victime à appuyer sur Commande-R pour "démarrer l'installation". C'est justement ce raccourci qui déclenche le code malveillant.

Une fenêtre s'affiche alors, imitant parfaitement une demande d'autorisation macOS classique : "Maccy wants to make changes. Enter your password to allow this." Jusque-là, rien ne distingue cette fenêtre d'une vraie demande système.

C'est là qu'intervient la particularité de PamStealer : il vérifie le mot de passe saisi via le système d'authentification interne de macOS, PAM (Pluggable Authentication Modules). Si le mot de passe est incorrect, la fenêtre redemande simplement de le ressaisir, jusqu'à obtenir le bon. Une fois un mot de passe valide confirmé, une seconde fausse alerte apparaît, indiquant que "Maccy est endommagé et doit être déplacé dans la corbeille". Ce message est un leurre : à ce stade, le mot de passe a déjà été volé et le malware déjà installé durablement sur la machine.

Discret et ciblé

Ce malware est conçu pour rester sous le radar. Il ne fonctionne que sur les Mac Apple Silicon, il s'arrête automatiquement sur les Mac Intel, évite les environnements d'analyse de sécurité, et attend jusqu'à 40 minutes avant de demander l'accès complet au disque, un délai qui l'aide à ne pas être associé à l'installation initiale par la victime.

Une fois installé, il peut accéder aux données protégées de l'ordinateur (Mail, Messages, sauvegardes Time Machine), surveiller en continu le contenu du presse-papiers, et exfiltrer les données volées vers un serveur distant.

Comment se protéger

Les bons réflexes restent simples, et valent pour n'importe quel logiciel Mac, pas seulement pour Maccy :

Le point clé : Maccy est une vraie application légitime. Le problème n'est pas l'outil lui-même, mais un site clone qui usurpe son nom. Avant d'installer n'importe quel logiciel de niche, un simple contrôle de l'adresse du site suffit souvent à éviter le piège.

Un principe qui dépasse largement Maccy

Cette histoire illustre un principe qu'on retrouve partout, bien au-delà du monde des développeurs Mac : le faux site qui imite un nom de confiance à un détail près.

Un exemple concret et local, sans rapport avec Apple

Une personne de mon entourage a récemment reçu un e-mail dont le lien pointait vers un site reproduisant à l'identique la page d'accueil de sa banque, BNP Paribas Fortis. Le nom de domaine utilisé par les pirates était "bnpparisbasfortis.be", avec un "s" ajouté qui transforme "paribas" en évoquant "paris". Cette personne a cliqué, est arrivée sur une copie parfaite du site de sa banque, et a saisi ses identifiants en toute confiance, d'autant plus qu'elle avait pris le réflexe de vérifier l'adresse dans la barre du navigateur avant de continuer. Le problème, c'est que cette adresse pointait bel et bien vers "bnpparisbasfortis.be" : le nom de domaine était cohérent avec ce qu'elle voyait, et la présence de ce "s" en trop, qui évoque "Paris", une ville que tout Belge connaît bien, ne lui a pas sauté aux yeux. Ce n'est pas une question d'inattention ou de manque de vigilance : c'est une technique de typosquatting bien pensée, qui peut tromper n'importe qui, même quelqu'un qui applique les bons réflexes de vérification.

Que ce soit pour une application de développeur ou pour l'accès à votre banque, le réflexe reste le même : vérifier l'adresse exacte avant de cliquer, et en cas de doute, retaper l'adresse soi-même plutôt que de suivre un lien.

En résumé : le nom de l'outil ou de la marque ne suffit jamais à garantir qu'un site est légitime. Seule l'adresse exacte compte.

À lire aussi — série "Arnaques 2026" — d'autres techniques d'escroquerie qui exploitent la même logique de confiance détournée.

Smishing : le faux SMS qui n'en est pas un  ·  Vishing par IA : la voix clonée de votre banquier  ·  Quishing : le QR code non vérifié

Sources et références

Cet article a été rédigé par Pascal Paligot, passionné d'Apple depuis la fin des années 1970 et expert indépendant à Bruxelles, avec l'assistance de Claude (Anthropic) pour la recherche et la structuration des sources.

Un doute sur la sécurité de vos appareils Apple ?

Si ce genre de sujet vous intéresse ou si vous avez un doute sur la sécurité de votre Mac, n'hésitez pas à me contacter.

Nous contacter