Jamf Threat Labs, spécialiste de la sécurité sur Mac, a publié le 8 avril l’analyse d’une nouvelle variante du malware ClickFix. La technique contourne la protection ajoutée par Apple dans macOS Tahoe 26.4, publié fin mars. Moins de deux semaines séparent la sortie de la protection de l’apparition de son contournement.

Comment le malware contourne-t-il la protection d’Apple ?

ClickFix n’est pas un virus mais une technique d’ingénierie sociale. L’attaquant piège l’utilisateur avec une fausse page de maintenance système, qui l’invite à coller une commande dans Terminal. Dans macOS Tahoe 26.4, Apple a ajouté un scanner de collage dans Terminal. Celui-ci inspecte le contenu et prévient l’utilisateur avant exécution.

Une attaque ClickFix se faisant passer pour un pare-feu Cloudflare. C’est cette méthode qu’Apple a bloqué avec macOS Tahoe 26.4. © MalwareBytes

La technique s’est popularisée en 2025, après la sortie de macOS Sequoia. Apple avait supprimé la possibilité de contourner Gatekeeper via