Avec macOS 26.4, Apple a ajouté une protection contre certaines attaques vicieuses. Il y a un message qui apparaît dans certains cas si vous copiez une commande depuis un navigateur, et que vous tentez de coller dans le terminal de macOS. Ça m’a intrigué, parce que je propose régulièrement des commandes dans mes posts… et au départ je n’arrivais pas à reproduire le message.
La protection, elle a de l’intérêt : des arnaqueurs piratent des sites, fabriquent de faux sites ou font des posts (sur Medium, notamment) pour tenter de faire exécuter des commandes qui installent un malware. Ils promettent un truc trop beau pour être vrai (une astuce pour macOS, un logiciel gratuit, etc.) et espèrent que la personne qui va coller la commande ne comprend pas trop ce qu’elle fait. Soyons clairs, ça marche : une bonne partie des gens est incapable de comprendre les commandes et parfois elles sont pensées pour tenter de cacher ce qu’elles font réellement. Tout le monde peut se faire avoir, que ce soit par méconnaissance (sans jugement) ou dans un moment d’inattention.
Le message que vous ne verrez probablement pas
Le message d’Apple est simple : il prévient quand on essaye de coller depuis Safari (notamment) et propose de ne pas coller ou de le faire quand même. Je ne sais pas si c’est réellement efficace (c’est du même niveau que les messages des banques ou des autorisations qu’on accepte machinalement) mais pourquoi pas.
Plusieurs conditions
Ce qui est intéressant, c’est que l’alerte n’apparaît pas quand on colle directement quelque chose dans le terminal, sinon ce serait vite (très) énervant. Cette page sur GitHub donne des conditions.
• Le Mac doit avoir été installé depuis 24 heures
• Le terminal ne doit pas avoir été lancé depuis 30 jours
• La commande doit avoir été copié depuis une application identifiée (navigateur, client mail, client de messagerie). Apple a une liste de 74 apps.
• L’utilisateur ne doit pas avoir cliqué sur Coller quand même.
• L’utilisateur n’est pas un développeur. Apple vérifie la présence de certains outils, comme les outils de développement Xcode, mais aussi Xcode et certains environnement de développement.
C’était compliqué de le reproduire parce que j’ai des outils de développement et que j’utilise régulièrement le terminal. L’alerte, dans les faits, ne sera donc probablement visible que chez un utilisateur qui n’a réellement aucune idée de ce qu’il fait avec le terminal. Toutes les personnes qui ont une vague connaissance du terminal ne la verront jamais. Pour l’obtenir, j’ai pris l’ordinateur de ma femme, qui n’a pas lancé le terminal depuis un moment, même si elle a fait un peu de Python.
Par ailleurs, de ce que j’ai vu, le mécanisme ne vérifie absolument pas le contenu du presse-papier (et donc ne vérifie pas la commande). Le mécanisme empêche juste de coller quelque chose (au sens large) quand Apple considère que c’est inhabituel et peut-être dangereux. Je ne sais pas si c’est très efficace avec toutes les conditions, mais au moins les personnes qui collent des commandes pour des raisons légitimes ne sont pas ennuyées. Même si elles peuvent donc faire des erreurs et se faire arnaquer.
