On dit encore que les Mac ne choppent pas de malwares. Les chiffres de 2025 racontent une autre histoire : Malwarebytes recense que 11% de l’ensemble des détections sur Mac concernaient des malwares en 2023, dans son rapport State of Malware 2024. Sophos relie de son côté près de 40% de ses mises à jour de protection macOS 2025 à une seule famille, l’Atomic macOS Stealer (AMOS). Un Mac protégé en 2026 combine 3 couches : les protections natives de macOS activées correctement, un outil de surveillance réseau comme LuLu ou BlockBlock et la capacité à reconnaître une attaque ClickFix avant de coller quoi que ce soit dans le Terminal. Ce guide couvre les 3, avec les emplacements exacts dans Réglages Système et les pièges qui annulent tout le reste.
Pourquoi votre Mac n’est plus à l’abri en 2026
Gatekeeper et XProtect existent depuis des années. Pendant longtemps ça a suffi. Les chiffres publiés depuis 2024 changent la donne. Dans son rapport State of Malware 2024, Malwarebytes chiffre à 11% la part des détections sur Mac liées à des malwares en 2023. Sophos va plus loin : dans son bilan 2025, l’éditeur relie près de 40% de ses mises à jour de protection macOS à une seule famille, AMOS, avec un pic de détections de 300% sur le seul mois d’août 2025. D’autres familles poussent la discrétion plus loin encore : PamStealer valide chaque mot de passe volé avant de l’exfiltrer, pour ne transmettre que des identifiants qui fonctionnent encore.
D’autres chiffres pèsent autant que le volume. Le rapport Jamf Security 360 (2026) relève que 58% des Mac en entreprise tournent encore sur une version de macOS obsolète et que 73% hébergent au moins une application vulnérable. Deux failles qui viennent d’une mise à jour repoussée et d’une app jamais désinstallée.
Selon le rapport Mid-2026 de MacPaw (Moonlock), le stealer Odyssey concentre 62,7% des détections d’infostealers sur macOS au premier semestre 2026, diffusé principalement via de fausses pages Homebrew, TradingView et LogMeIn.
Comment fonctionne ClickFix, l’attaque qui vous fait taper la commande vous-même
ClickFix mise sur un réflexe humain : résoudre soi-même un petit problème affiché à l’écran, sans faille technique à exploiter. Sur macOS, la chaîne se déroule en 4 temps, documentés par Netskope dans son analyse d’avril 2026.

- Une fausse page de vérification humaine, souvent un faux CAPTCHA ou un faux message d’erreur, copie silencieusement une commande dans le presse-papiers.
- La page demande d’ouvrir Spotlight ou le Terminal et de coller un « code de vérification ».
- La commande collée est en réalité une requête curl qui télécharge un script depuis un serveur contrôlé par l’attaquant.
- Le script collecte le nom d’utilisateur, code en dur l’adresse du serveur de commande et de contrôle, puis stocke les données volées dans un répertoire temporaire avant de les envoyer.
Ne collez rien. C’est la seule règle qui compte face à ClickFix. Si une fenêtre Terminal s’ouvre toute seule pendant que vous consultez un site, ne la balayez pas d’un revers de main dans Stage Manager : fermez-la sans exécuter la commande affichée. macOS Tahoe 26.4 ajoute une alerte native quand une app tente de coller une commande potentiellement dangereuse dans le Terminal. Cette protection n’existe pas sur les versions antérieures de Sequoia.
Activer les protections déjà présentes dans macOS
Avant d’installer quoi que ce soit, macOS embarque déjà 4 protections actives par défaut, que vous ayez un Mac Intel ou une puce M-série (M3, M4 Pro, M4 Max) : Gatekeeper vérifie la signature des apps téléchargées, XProtect scanne les signatures de malwares connues en tâche de fond, FileVault chiffre le disque et l’App Sandbox isole chaque app du reste du système.
Vérifiez que FileVault est actif : Réglages Système > Confidentialité et sécurité > FileVault. S’il est désactivé, cliquez sur Activer puis conservez la clé ailleurs que sur ce Mac.
Vérifiez Gatekeeper : Réglages Système > Confidentialité et sécurité > Sécurité, puis assurez-vous que l’option autorise uniquement l’App Store et les développeurs identifiés. Depuis macOS Ventura, un Mac réglé pour tout accepter ne se configure plus depuis cette interface mais via une commande Terminal, ce qui désactive une bonne partie de la vérification de signature.
Sur un Mac exposé à un usage professionnel ou à des données sensibles, activez aussi le Mode Isolement (Lockdown Mode) via Réglages Système > Confidentialité et sécurité > Mode Isolement, présenté par Apple comme protection contre les attaques ciblées les plus sophistiquées.
La mise à jour reste la mesure qui pèse le plus lourd. C’est aussi celle qu’on repousse le plus. Une mise à jour macOS a déjà cassé un raccourci clavier ou un réglage réseau qui marchait la veille. C’est précisément ce qui fait hésiter à cliquer sur Installer maintenant. XProtect ne protège que contre les signatures déjà connues : une mise à jour retardée de 3 mois laisse ce trou ouvert tout ce temps.
Ajouter BlockBlock et LuLu, la couche que macOS ne fournit pas
Gatekeeper et XProtect vérifient ce qui s’installe. LuLu, un pare-feu gratuit développé par Objective-See, couvre la couche que les deux premiers laissent ouverte : les connexions sortantes une fois l’app lancée. Il bloque par défaut toute connexion non explicitement autorisée et affiche une alerte à chaque nouvelle tentative.
BlockBlock, du même éditeur, surveille les emplacements de persistance (LaunchAgents, LaunchDaemons, extensions de connexion) où un malware s’installe pour survivre à un redémarrage.
Installation : téléchargez le fichier .dmg de chaque outil, montez l’image, glissez l’app dans Applications, puis autorisez son extension système via Réglages Système > Général > Éléments de connexion et extensions. Redémarrez. C’est tout.
Faut-il un antivirus tiers en plus ?
Un tuto de plus qui renvoie vers Réglages Système > Général n’apporte rien à quelqu’un qui configure déjà ses Raccourcis pour automatiser ses sauvegardes. Le taux de détection réel compte plus qu’une case cochée dans les réglages.
Le test Mac Security Test & Review 2026 d’AV-Comparatives compare les solutions gratuites et payantes sur des échantillons de malwares macOS actifs plutôt que sur leur réputation marketing. Les résultats varient fortement d’un éditeur à l’autre, y compris entre la version gratuite et la version payante d’un même éditeur.
Malwarebytes for Mac, en version gratuite, couvre le scan à la demande et la suppression des adwares, la famille la plus fréquente sur macOS. Pour un usage professionnel avec des données sensibles, la version payante ajoute la protection en temps réel, absente de la version gratuite.
Les pièges qui annulent toutes vos protections
3 erreurs reviennent dans la majorité des infections macOS documentées en 2025 et 2026.
- Désactiver Gatekeeper pour lancer une version « craquée » d’un logiciel payant : c’est justement le vecteur que privilégie AMOS, distribué comme fausse version piratée d’apps populaires.
- Cliquer sur une publicité ou un faux guide d’installation pour le navigateur ChatGPT Atlas : les attaquants exploitent la popularité de cette app bien réelle avec de fausses pages qui mènent à un script en une ligne à coller dans le Terminal.
- Installer un paquet Homebrew depuis un lien trouvé sur un forum plutôt que depuis brew.sh : les fausses pages Homebrew, TradingView et LogMeIn restent les vecteurs principaux du stealer Odyssey selon le rapport Mid-2026 de MacPaw.
Ces 3 erreurs ne demandent aucune compétence technique à l’attaquant, juste un clic de la victime.
Le cas du Mac au bureau : MDM et gestion de flotte
Sur un parc de Mac géré en entreprise, les réglages individuels ne suffisent pas : le service informatique pousse une politique de mise à jour et de FileVault via un MDM (Mobile Device Management), typiquement Jamf ou Kandji. Le rapport Jamf Security 360 cité plus haut porte justement sur ce parc géré : 58% de versions obsolètes malgré un MDM en place, souvent parce que la politique de déploiement n’impose pas de délai maximal après la sortie d’une mise à jour de sécurité.
Si vous gérez un Mac professionnel sans MDM, appliquez manuellement les mêmes règles : FileVault actif, Gatekeeper restreint, mise à jour installée dans les 2 semaines suivant sa sortie.
Ce qu’il faut vérifier maintenant
Ouvrez Réglages Système > Confidentialité et sécurité et contrôlez ces 3 lignes dans l’ordre : FileVault actif, Gatekeeper restreint aux développeurs identifiés, dernière mise à jour installée. Si l’une des 3 manque, corrigez-la maintenant avant de fermer cette page.
