Apple a intégré à macOS 26.4 une protection contre ClickFix

Apple a intégré une surprise bienvenue à la dernière mouture de macOS 26, tout juste sortie, la version 26.4 : une protection contre la technique de compromission dite « ClickFix ».

Pour mémoire, cette technique consiste à berner un internaute pour lui faire exécuter une ligne de commande malveillante. Exécution qui pourra déboucher sur celle d’un cleptogiciel (ou infostealer), notamment.

Avec macOS 26.4, un message d’alerte prévient l’utilisateur d’une possible malveillance, lui lançant le choix de ne pas coller la ligne de commande ou, malgré l’avertissement, de continuer.

Ferdous Saljooki, chercheur en sécurité chez Jamf Software, explique l’approche retenue par les équipes de développeurs d’Apple. En fait, le système d’exploitation ne s’intéresse pas à la ligne de commande elle-même. Selon lui, son « contenu est sans intérêt ».

In macOS Tahoe 26.4 Apple added a new security feature to Terminal that warns users of potentially malicious pastes with a "Possible malware, Paste blocked" prompt. Here how it actually workspic.twitter.com/8ts5tt93jW

— Ferdous Saljooki (@malwarezoo) March 26, 2026

En pratique, l’application « Terminal vérifie de qui provient la copie ». À cette fin, « il appelle la méthode sourceSigningIdentifier sur le NSPasteboard pour lire l’identité de signature de code de l’application qui a écrit dans votre presse-papiers. Safari, Chrome, Firefox, Mail, WhatsApp, Telegram et 74 applications au total figurent sur la liste ».

Et cela ne s’arrête pas là. Ce sont au total 5 vérifications qui sont réalisées : l’origine de la ligne de commande ; la durée écoulée depuis la configuration initiale du Mac (qui doit être supérieure à 24 h) ; ne pas être développeur ; ne pas avoir ouvert le Terminal au cours des 30 derniers jours ; et ne pas avoir précédemment collé de ligne de commande malgré l’alerte.

Le message d’alerte n’apparaît que si ces 5 conditions sont réunies. Concrètement, cela implique que des populations telles que les développeurs ou les utilisateurs intensifs du terminal sont laissées plus vulnérables que d’autres. Mais cela constitue une prise en compte de leurs habitudes et évite de les entraver dans leur quotidien.