Ah, macOS. Ce petit bijou de design, de fluidité, de sécurité… Enfin, de sécurité supposée. Car pendant que certains utilisateurs d’Apple s’émerveillent encore devant le bruit des touches du clavier papillon, d’autres se réveillent avec un backdoor bien au chaud dans leur système. AMOS (Atomic macOS Stealer), le malware qui a compris que les utilisateurs mac ne lisent pas les alertes de sécurité, vient de se doter d’un joli petit appendice : une porte dérobée persistante.
📦 Mais d’abord, c’est quoi AMOS ?
AMOS, pour Atomic macOS Stealer, c’est un malware tout droit sorti de l’imagination fertile des cybercriminels spécialisés dans les systèmes Apple. L’original a fait surface pour la première fois en avril 2023, vendu en tant que Malware-as-a-Service (MaaS) pour la modique somme de 1 000 $ par mois sur des forums russes. Oui, un abonnement. Comme Netflix, mais pour voler vos mots de passe.
Son objectif ? Voler tout ce qui bouge :
- Mots de passe,
- Données iCloud,
- Crypto-wallets (au revoir Metamask, au revoir Exodus),
- Et même les données de remplissage automatique de vos navigateurs.
AMOS se diffusait principalement via des fichiers .dmg piégés, souvent masqués derrière des installations d’outils populaires ou des cracks de logiciels bien juteux (coucou les versions « gratuites » de Final Cut Pro sur les torrents douteux).
Pendant un moment, Apple s’est félicité de sa réactivité : les versions d’AMOS étaient régulièrement détectées, notarisation bloquée, et les signatures révoquées. Bravo. Sauf que voilà, l’équipe derrière AMOS ne dort jamais, et surtout, elle s’améliore. Pas comme le système de mise à jour silencieuse d’XProtect, qui met parfois des jours à réagir.
🔁 Juillet 2025 : AMOS revient… avec une clé sous le paillasson
Dans la dernière version repérée le 7 juillet 2025, un analyste malware vigilant a découvert que l’info-stealer n’était plus seulement un voleur opportuniste, mais désormais un squatteur professionnel. Il embarque désormais un backdoor intégré, permettant à l’attaquant un accès persistant au système infecté.
Traduction : même si vous redémarrez, même si vous pensez avoir supprimé le fichier infecté, même si vous êtes le genre de personne qui vide la corbeille trois fois par jour… l’attaquant est toujours là. Il peut revenir, exécuter du code à distance, installer d’autres saloperies, ou juste lire vos mails en sirotant son café.
C’est un peu comme si AMOS disait :
“Tu ne m’as pas juste installé. Je fais partie de ta vie maintenant.”
🧩 Détails techniques (pour les maso-sécu)
La backdoor s’installe comme une LaunchAgent dans ~/Library/LaunchAgents, avec un nom qui fleure bon le faux utilitaire Apple (genre com.apple.help.plist, subtil n’est-ce pas ?). Une fois en place, elle exécute un script au démarrage du système, et se connecte à un serveur C2 (Command & Control), prêt à exécuter des ordres malveillants.
Cerise sur le gâteau ? L’agent s’assure de vérifier régulièrement sa présence, et se réinstalle si jamais un utilisateur curieux tente de le supprimer. Oui, comme un ex toxique qui refuse le ghosting.
🍏 Mais pourtant… « Mac c’est sûr, non ? »
C’est bien là tout le génie (ou l’ironie) de cette affaire. AMOS ne fonctionne que sur macOS. Et il a été pensé spécifiquement pour contourner les protections d’Apple. Il abuse notamment :
- de la crédulité des utilisateurs (ah, ce moment où on clique sur « ouvrir quand même »),
- de l’absence de solution EDR sérieuse par défaut sur macOS,
- de la lenteur des mises à jour de XProtect et Gatekeeper,
- et du fait que certains outils de sécurité tiers sont encore absents ou payants sur mac.
Spoiler alert : Non, macOS n’est pas invincible. Et ce n’est pas parce qu’il y a une pomme dessus que vous êtes protégés des vers.
💡 Leçon pour les DSI et les utilisateurs un peu naïfs
- Utilisez un EDR digne de ce nom compatible macOS. Oui, ça existe.
- Bloquez les installations de logiciels non approuvés par politique de sécurité.
- Surveillez les LaunchAgents et LaunchDaemons dans vos endpoints.
- Formez vos utilisateurs. Un crack de Photoshop sur TorrentZ ne vaut pas une compromission complète.
Et si vous êtes RSSI dans une boîte qui s’imagine que les Mac sont « hors périmètre sécu », vous avez un très joli réveil qui vous attend ce lundi matin.
📎 En résumé :
Vous pensiez qu’un malware sur macOS c’était une légende urbaine ? AMOS vient de prouver qu’il est très réel, très tenace, et maintenant très persistant. Prochaine étape ? Un malware qui vous envoie un café brûlant au visage si vous tapez votre mot de passe admin sans réfléchir.
