Un logiciel malveillant inédit, baptisé ClickLock, bloque littéralement l’écran des utilisateurs de macOS jusqu’à ce qu’ils tapent leur mot de passe.

La toute première trace de cette menace remonte au 9 juin 2026, avec un script shell déposé sur VirusTotal. À ce moment-là, aucun des antivirus référencés sur la plateforme ne le repère comme malveillant. C’est précisément ce qui met la puce à l’oreille des chercheurs de Group-IB, qui livrent leurs conclusions dans une étude publiée le 16 juillet.

Baptisé ClickLock, en référence à la technique ClickFix qu’il exploite et au « verrouillage » qu’il impose à ses victimes, ce nouveau malware cible les utilisateurs de macOS, avec une préférence marquée pour les détenteurs de cryptomonnaies. Il s’en prend également à quiconque stocke des identifiants sensibles dans un navigateur ou un gestionnaire de mots de passe.

Signe de sa dangerosité, l’attaque ne requiert ni faille de sécurité ni élévation de privilèges pour fonctionner.

Exemple de page de phishing ClickFix // Source : Malwarebytes
Exemple de page de phishing ClickFix // Source : Malwarebytes

Un chantage à l’écran figé

La porte d’entrée est une utilisation classique de la fameuse technique ClickFix, qui continue de faire des ravages. Sur une fausse page web imitant par exemple une vérification Cloudflare, la victime est incitée à coller une commande dans le Terminal de son Mac. Une fois la commande exécutée, une barre de progression factice s’affiche pour occuper l’utilisateur pendant que, en coulisses, plusieurs modules se téléchargent silencieusement.

Capture d'écran du comportement du logiciel malveillant capturé par VirusTotal Sandbox. // Source : Group IB
Capture d’écran du comportement du logiciel malveillant // Source : Group IB

Le piège commence en douceur, avec une fenêtre de mot de passe macOS falsifiée mais crédible, reprenant le vrai identifiant de la victime. Si celle-ci l’annule, ClickLock passe à la contrainte et s’installe durablement via deux agents système. À la prochaine connexion de l’utilisateur, le malware ferme alors en boucle toutes les applications visibles (Finder, navigateurs, Terminal, Moniteur d’activité), ne laissant à l’écran que la demande de mot de passe, une pression qui peut durer jusqu’à 83 heures selon les analyses du script malveillant.

Un second mécanisme, actif pendant près de 35 jours, force de la même façon l’autorisation d’accès au Trousseau macOS afin de récupérer la clé de chiffrement de Chrome.

Une fois les accès obtenus, un module collecte massivement les identifiants de huit navigateurs, les extensions de portefeuilles crypto, les applications de portefeuilles de bureau, les adresses blockchain, les historiques de shell ou encore les identifiants FTP. Le tout est compressé puis exfiltré vers un bot Telegram contrôlé par les attaquants. Les chercheurs ont également signalé l’installation d’une backdoor en fin de processus pour garantir un accès distant permanent, déguisée en processus lié à iCloud.

Une centaine de victimes, pour l’instant

Selon Group-IB, l’opération reste à ce stade limitée, une centaine de victimes recensées dans 33 pays depuis le mois de mai, l’Europe concentrant plus de la moitié des cas. Les chercheurs estiment que la campagne malveillante est encore en développement.

Pour s’en prémunir, la règle reste la même que pour toutes les attaques ayant le ClickFix comme porte d’entrée : ne jamais coller de commande dans le Terminal à la demande d’un site web, quelle que soit son apparence.

une comparateur meilleur gestionnaire mdp numerama

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+
Toute l'actu tech en un clien d'oeil

Toute l'actu tech en un clin d'œil

Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !


Le futur n’attend pas : anticipez l’avenir des nouvelles technologies et de l’IA en lisant gratuitement ToujoursPlus, chaque jeudi dans votre boîte mail !