Les utilisateurs de macOS sont à nouveau ciblés par une menace redoutable. Baptisé ClickLock Stealer, ce malware de type « stealer » utilise l’ingénierie sociale pour s’installer. Sa particularité : s’il n’obtient pas le mot de passe administrateur, il rend la machine inutilisable en fermant toutes les applications.
Les utilisateurs de macOS sont une nouvelle fois dans le viseur des cybercriminels. Des chercheurs en sécurité ont identifié une nouvelle menace, nommée ClickLock Stealer. Ce malware est « agressif » et repose sur de l’ingénierie sociale ciblant les utilisateurs Apple.

Cette nouvelle menace adopte une approche particulièrement offensive : au lieu d’exploiter une faille du système, elle tente de persuader la victime d’installer elle-même le malware. Si celle-ci refuse de donner le mot de passe administrateur, l’ordinateur devient quasiment inutilisable jusqu’à ce qu’elle le fasse.
Bien que cette attaque nécessite l’intervention de l’utilisateur, son mode opératoire en fait l’un des voleurs d’informations pour macOS les plus sophistiqués découverts ces derniers mois.
Qu’est-ce que le malware ClickLock Stealer ?
Il faut d’abord comprendre la nature de ce malware. ClickLock Stealer appartient à la catégorie des « stealers » ou « infostealers », un type de programme malveillant dont l’objectif premier est de dérober des données sensibles sur l’ordinateur de la victime.
Plutôt que de détruire des fichiers ou de chiffrer le système comme un ransomware, ce logiciel cherche à collecter un maximum de données, telles que :
- Les mots de passe enregistrés dans les navigateurs ;
- Les cookies de session (permettant d’accéder à des comptes sans mot de passe) ;
- Les informations stockées dans le trousseau iCloud (Apple Keychain) ;
- Les données des gestionnaires de mots de passe ;
- Les portefeuilles de cryptomonnaies ;
- L’historique de navigation et les identifiants des applications.
Concrètement, si un attaquant récupère ces informations, il peut accéder à des comptes bancaires, réseaux sociaux, services de messagerie ou plateformes professionnelles.

Schéma de la chaîne d’attaque du malware ClickLock Stealer.
L’attaque débute par de l’ingénierie sociale
Contrairement à une idée répandue, ce malware ne pénètre pas seul dans l’ordinateur.
Les chercheurs pensent que l’attaque utilise la technique ClickFix, une campagne d’ingénierie sociale qui trompe l’utilisateur pour qu’il exécute une commande malveillante dans le Terminal de macOS.
Le scénario est généralement le suivant :
- L’utilisateur visite un site web compromis ;
- Une fausse vérification apparaît, souvent déguisée en CAPTCHA ou message de Cloudflare ;
- Il est invité à copier-coller une commande dans le Terminal pour « confirmer qu’il est humain » ou « résoudre un problème de sécurité » ;
- En exécutant cette commande, l’utilisateur installe lui-même le malware.
Techniquement, c’est donc la victime qui ouvre la porte à l’attaquant.
Que se passe-t-il après l’installation ?
C’est là que ClickLock Stealer se différencie des autres menaces. Une fois installé, il affiche une fenêtre ressemblant beaucoup aux messages légitimes de macOS pour demander le mot de passe utilisateur.

Si la victime saisit son mot de passe, le malware le valide instantanément et obtient ainsi l’accès au trousseau iCloud (Apple Keychain) et à d’autres zones protégées du système.
Mais si l’utilisateur ferme la fenêtre, l’attaque ne s’arrête pas là.
En cas de refus, le malware installe des mécanismes persistants, actifs même après un redémarrage de l’ordinateur.
Au démarrage suivant, il commence à fermer automatiquement les applications essentielles de macOS environ toutes les 210 millisecondes, notamment :
- Le Finder ;
- Le Dock ;
- Spotlight ;
- Le Terminal ;
- Le Moniteur d’activité ;
- Les navigateurs internet.
Le résultat est un ordinateur pratiquement inutilisable. Les applications se ferment dès leur ouverture, rendant toute tentative de suppression de la menace extrêmement difficile.
Ce comportement peut durer plusieurs heures, voire jours, jusqu’à ce que la victime finisse par fournir le mot de passe.
Pourquoi les attaquants veulent-ils le mot de passe ?
Beaucoup d’utilisateurs pensent que le mot de passe du Mac sert uniquement à ouvrir une session. En réalité, ces informations protègent plusieurs composants critiques du système.
Avec elles, le malware peut déverrouiller le trousseau iCloud (Apple Keychain), où peuvent être stockées :
- Les identifiants de sites web ;
- Les clés cryptographiques ;
- Les certificats numériques ;
- Les réseaux Wi-Fi ;
- Les données utilisées par les applications d’authentification.
De plus, le malware peut obtenir une clé de sécurité utilisée par Google Chrome et d’autres navigateurs similaires pour protéger mots de passe et cookies.
En pratique, cela permet aux attaquants de lire ces informations même après les avoir copiées sur leurs propres systèmes.
Le malware installe aussi une « porte dérobée »
Le vol de données n’est pas le seul problème. Les chercheurs ont découvert que ClickLock Stealer installe également un « backdoor » (porte dérobée), autorisant les attaquants à se reconnecter à distance à l’ordinateur même après le vol initial.
Cela signifie que le système peut rester compromis à l’insu de l’utilisateur.
Qui est touché ?
Selon Group-IB, plus de 100 victimes dans 33 pays ont été identifiées depuis mai, plus de la moitié des cas étant situés en Europe.
Les chercheurs estiment également que le développement du malware est toujours en cours et que de nouvelles variantes pourraient apparaître prochainement.

Si le mot de passe est saisi, le malware accède au trousseau iCloud ; s’il est refusé, il se met à fermer les applications toutes les 210 millisecondes et reste actif même après un redémarrage.
Comment se protéger de ce malware ?
La bonne nouvelle est que cette menace repose presque entièrement sur l’ingénierie sociale.
Quelques recommandations simples réduisent considérablement les risques :
- Ne copiez ni n’exécutez jamais de commandes dans le Terminal suggérées par des sites inconnus ;
- Méfiez-vous des pages demandant de « confirmer que vous êtes humain » via le Terminal ;
- Installez les applications uniquement depuis l’App Store ou des développeurs reconnus ;
- Maintenez macOS à jour ;
- Utilisez un logiciel de sécurité capable de détecter les menaces récentes.
Si, après avoir exécuté une commande suspecte, votre ordinateur commence à fermer des applications en boucle ou qu’une demande de mot de passe macOS inattendue apparaît, ne le saisissez pas.
Les experts recommandent d’éteindre immédiatement l’appareil et de démarrer en mode sans échec, avant de tenter de supprimer la menace.